Znajdź zawartość

Dokonana przez Kaspersky Lab analiza trojana Duqu wskazuje, że przestępcy pracowali nad szkodliwym kodem od co najmniej czterech lat. Laboratorium badało fragmenty trojana przesłane przez ekspertów z Sudanu. Okazało się, że jeden ze sterowników został skompilowany w sierpniu 2007 roku. Analizowany sterownik musiał zostać napisany przez twórców Duqu, gdyż nie spotkano go w żadnym innym szkodliwym kodzie. Z badań wynika również, iż podczas wszystkich ataków z użyciem Duqu wykorzystano pliki skompilowane niedługo przed atakiem i napisane pod kątem atakowanego celu. To oznacza, że szkodliwy kod jest odpowiednio dostosowywany do ataku. Zmiany są raczej niewielkie, ale podczas każdej operacji używane są unikatowe pliki. Każdy atak przyporządkowany jest innemu serwerowi kontrolnemu, którego lokalizacja jest zawarta w plikach. To oznacza, że napastnicy są zorientowani na konkretne cele. Są profesjonalistami, przykładają się do roboty - powiedział Raul Schouwenberg z Kaspersky Lab.

Kaspersky Lab, w swoim najnowszym raporcie, krytykuje nieprawdziwe i alarmistyczne stwierdzenia, które na temat Operation Shady RAT opublikowała firma McAfee. Kaspersky posuwa się nawet do określenia całego zamieszania mianem Shoddy [tandetny - red.] RAT. Raport [McAfee - red.] sugeruje, że inne ataki, których świadkami byliśmy w ciągu ostatnich miesięcy, nie są ani zaawansowane technologicznie ani nie są niczym nowym. Czym niby te niezaawansowane ataki różnią się od tego, który opisaliście w swoim raporcie? Te rzekomo ‚niezaawansowane' ataki powinniście właśnie nazwać ‚zaawansowanymi'. To zagrożenia takie jak TDSS, Zeus, Conficker, Bredolab, Stuxnet, Sinowal czy Rustock, które stwarzają dla rządów, firm i organizacji znacznie większe zagrożenie niż Shaddy RAT - czytamy w raporcie Kaspersky Lab. Na przykład TDSS kontroluje jeden z największych światowych botnetów składających się z ponad 4,5 miliona maszyn na całym świecie. Większość ekspertów ds. bezpieczeństwa nawet nie pofatygowało się, by jakoś nazwać złośliwy kod Shady RAT, ponieważ jest on dość prymitywny - stwierdzają specjaliści. Kaspersky dodaje, że większość antywirusów bez problemu zwalcza Shady RAT, a sam szkodliwy kod nie zawiera żadnych nowych technik i nie działa w nowatorski sposób. Wręcz przeciwnie, analizy wykonane przez ekspertów Kaspersky'ego ujawniły zaskakujące niedociągnięcia, dowodzące, że autorzy kodu są słabymi programistami i brakuje im podstawowej wiedzy o bezpieczeństwie sieciowym. W miażdżącym raporcie czytamy też: ponadto sposób, w jaki kod ten atakuje - czyli poprzez rozsyłanie spamu z zarażonymi załącznikami - jest uznawany za przestarzały. Większość współczesnych ataków jest dokonywanych bezpośrednio przez sieć. Shady RAT nie korzysta ponadto z żadnej zaawansowanej lub wcześniej nieznanej techniki ukrywania swojej obecności w systemie, nie ma żadnych mechanizmów chroniących go przed oprogramowaniem antywirusowym ani w żaden sposób nie szyfruje transmisji pomiędzy zarażonym komputerem a serwerem. Nie musimy chyba dodawać, że dopiero takie funkcje charakteryzują zaawansowany szkodliwy kod. Zdaniem Kaspersky'ego kod Shady RAT-a mógłby stworzyć w zaciszu domowym każdy początkujący programista.

Firma ArcaBit, polski producent oprogramowania antywirusowego, znalazła się w doborowym towarzystwie trzech światowych gigantów. Obok Trend Micro, Symanteka i Kaspersky Lab jest przedsiębiorstwem, którego produkty antywirusowe są oficjalnie zalecane przez Microsoft. Jedynie w przypadku oprogramowania antywirusowego tych czterech firm Microsoft potwierdził, że jest ono w pełni kompatybilne z systemem Windows Vista. ArcaBit jest producentem programu ArcaVir, który można kupić w wersjach dla systemów Windows czy Linux oraz dla Windows Server, Exchange Server, Novell NetWare, Lotus Domino Server, Unix, Pocket PC czy Mac OS X. Najnowszy produkt firmy – pakiet ArcaVir 2007 – wygrał właśnie przetarg zorganizowany przez Ministerstwo Edukacji Narodowej. Zostanie on wykorzystany do zabezpieczenia niemal 5 tysięcy pracowni i 60 000 komputerów w polskich szkołach.