Słowacki  ESET posiada na całym globie 13 biur badawczo- rozwojowych, w tym jedno w Krakowie.  Polacy zajmują się się analizą malware’u, a także projektami związanymi z  przeglądarką Chrome czy UEFI (następca BIOS-u). W ostatnich dniach bardzo głośno było o wirusie LoJax, który zagnieżdża się właśnie w  UEFI. Wraz z uruchomieniem komputera robak infekuje system operacyjny zapisując w nim złośliwe pliki. 

– LoJax jest trudny do usunięcia. Nie można go wyeliminować poprzez sformatowanie dysku lub nawet wymianą nośnika. Nie pomoże też wymiana systemu operacyjnego, gdyż wirus ukrywa się w układzie scalonym płyty głównej – wyjaśnia Kamil Sadkowski, starszy analityk zagrożeń z ESET. 

Według raportu ESET większość ofiar ataku to instytucje rządowe z Europy Środkowo- Wschodniej,  w tym również z Polski.  Ich autorem jest prawdopodobnie rosyjska grupa hakerska APT28.  Wcześniej o tego typu atakach dyskutowano jedynie  na konferencjach naukowych, ale jak do tej pory nie wykryto ich w świecie rzeczywistym.  Specjaliści z firmy ESET uważają, że wykrycie Lojaxa jest jednym z najważniejszych tegorocznych wydarzeń w branży IT. 

 

W poszukiwaniu robaków

Wykrywanie oraz identyfikowanie malware’u jest mozolnym procesem sprowadzającym się do analizy długich linii kodu.  Niemniej, aby to było możliwe, trzeba dotrzeć do próbek zagrożeń.  ESET czerpie je z kilku źródeł.  Najprostszym sposobem jest śledzenie korespondencji od internautów, obserwacja baz szkodliwych linków, a także serwisu internetowego VirusTotal.  Bardziej wysublimowaną metodą jest tzw. honey pot, czyli zastawianie pułapek na hakerów w postaci słabo zabezpieczonych stacji roboczych.  Cyberprzestępcy włamują się do nich, a ich zachowania są doskonałym materiałem dla analityków zagrożeń.  Ponadto ESET posiada własny system monitorowania zagrożeń Live Grid, bazujący na chmurze.  Platforma cały czas aktualizuje informacje pochodzące od użytkowników, którzy wyrazili zgodę na podłączenie do sieci. 

– To dla nas najbardziej cenna baza wiedzy na temat powstających na całym świecie zagrożeń. – przyznaje Kamil Sadkowski.

Pozyskane próbki trzeba poddać analizie.  ESET wykorzystuje do tego celu replikatory, opracowane przez rodzimych specjalistów, a także automatyczne detekcje, a czasami nadwyczajne umiejętności analityków.   Ciekawy przykład stanowi sposób wykrycia w ubiegłym roku Industroyera. To wirus, będący następcą słynnego Stuxneta, atakujący obiekty przemysłowe – gazociągi, elektrownie czy wodociągi.  

– Industroyer posiadał znacznik czasowy i  o określonej godzinie w danym dniu powodował wyłączenia obiektów przemysłowych. Byliśmy w stanie namierzyć to zagrożenie właśnie dzięki temu znacznikowi. Powiązaliśmy go z dniem i godziną przerw dostaw energii elektrycznej na Ukrainie. – opowiada  Kamil Sadkowski

Wprawdzie Industroyer był poważnym zagrożeniem,  niemniej ubiegły rok w branży bezpieczeństwa IT upłynął pod znakiem ransomware’u. Hakerzy nie zrezygnowali z tej formy ataków,  ale w ostatnich miesiącach nasilił się tzw. cryptojacking. W jaki sposób to działa? Kod “wstrzyknięty” w stronę internetową wykorzystuje moc obliczeniową procesora do generowania wirtualnej waluty bez  zgody użytkownika.

– Złośliwe skrypty znajdują się najczęściej na stronach ze streamingiem wideo, ale znaleźliśmy je również na witrynach sklepów internetowych, parafii czy polskich miasy – dodaje Kamil Sadkowski.  

 

Aplikacje dla naiwnych 

Jednym z największych wyzwań  dla dostawców oprogramowania antywirusowego jest ochrona smartfonów. Analitycy przewidują, że w ciągu najbliższych dwóch lat ilość wirusów adresowanych dla użytkowników inteligentnych telefonów wzrośnie o 440 procent, a szczególnie narażone są terminale z systemem operacyjnym Android.  To wyraźna analogia z rynkiem komputerów, gdzie króluje system Windows. W segmencie smartfonów  system operacyjny kontroluje około 85 proc. rynku, trudno się zatem dziwić, że hakerzy koncentrują się na użytkownikach telefonu z "zielonym robotem". Ich właściciele często pobierają aplikacje spoza Google Play, narażając smartfony na infekcje. Ale Lukas Stefanko, analityk zagrożeń w ESET,  przyznaje, że również na oficjalnej platformie zakupowej Google nie brakuje złośliwego oprogramowania. 

– W ostatnich kilku miesiącach znalazłem 50 złośliwych aplikacji w Google Play, które łącznie miały 350 tysięcy instalacji. Niektóre już zostały usunięte, ale część z nich nadal można pobierać. Co ważne, większość z nich jest przeznaczona dla dzieci jako gry lub kolorowanki. – wyjaśnia Lukas Stefanko.

Telefony komórkowe są narażone na te same formy ataków co komputery PC – trojany bankowe, cryptojacking czy ransmoware. Co ciekawe, za odszyfrowanie smartfona trzeba zapłacić hakerom od 10 USD do 500 USD.  Tym co najbardziej niepokoi specjalistów bezpieczeństwa IT jest  naiwność użytkowników inteligentnych telefonów, którzy potrafią zapłacić za aplikacje wydłużająca czas baterii, a nawet wirtualną kartę SD zapewniającą dodatkową 32 GB pamięci.