Wiele niebezpiecznych grup hakerskich korzystających z różnych form złośliwego oprogramowania, sprawia wrażenie nieświadomych zasad funkcjonowania swoich tworów. Bardzo często hakerzy nie radzą sobie z odpowiednim przetestowaniem wirusów pod kątem efektywności, zanim zaatakują swoje potencjalne ofiary.
 

Gabor Szappanos, główny analityk zagrożeń w SophosLabs postanowił sprawdzić wybrane ataki różnych grup przestępczych, przeprowadzone z użyciem konkretnych rodzajów złośliwego oprogramowania (malware i advanced persistent threats – APT) – wszystkie skierowana przeciwko wybranej wersji Microsoft Office. Okazało się, że żadna z grup nie była w stanie modyfikować ataku tak, aby zainfekować inne wersje Microsoft Office, mimo tego, że kilka z nich teoretycznie było wrażliwych na podobne ataki. Próby zmian w oryginalnym kodzie wirusów zwykle kończyły się fiaskiem lub jego minimalną modyfikacją. Co ciekawe, hakerzy skupieni na wykorzystywaniu APT, którzy często są uważane za najbardziej wyrafinowanych przestępców, okazały się najmniej efektywne, zarówno w modyfikowaniu kodu, jak
i zapewnianiu jakości swoich działań. Mainstreamowe i oportunistyczne grupy hakerskie osiągały zdecydowanie więcej sukcesów w dostosowywaniu wirusów do swoich potrzeb.


Tabela pokazująca grupy hakerskie podzielone według poziomu efektywności w modyfikacji kodu wirusów. Kolor czerwony oznacza autorów złośliwych programów, które nie działały poprawnie po modyfikacji.

Autor opracowania zaznacza, że mimo porażek w kodowaniu, hakerzy wciąż są bardzo efektywni
w infekowaniu swoich celów i uzyskiwaniu pożądanych danych lub pieniędzy. Można wyjaśnić to porównaniem spoza wirtualnego świata: grupy hakerskie są jak włamywacze, którzy potrafią używać wytrychów, ale którzy nie potrafią ich przerobić, jeśli nie radzą sobie z innym zamkiem.

 „Jeśli analitycy bezpieczeństwa i administratorzy systemów będą śledzić komunikaty wrażliwości na złośliwe oprogramowanie i na nie odpowiednio reagować, mogą bez problemu odeprzeć ataki hakerskie.” – mówi Gabor Szappanos, podając to jako główną konkluzję przeprowadzonych badań. Innymi słowy: regularne uaktualnienia wrażliwego oprogramowania i używanie dodatkowych technologii ochrony (jak np. systemy IPS) do blokowania ataków powinno być bardzo efektywne w przypadku ochrony przed zdecydowaną większością stargetowanych i oportunistycznych ataków.

Mimo stosunkowo dobrych wiadomości wynikających z testu, Szappanos ostrzega: „Niezależnie od wszystkiego, nigdy nie powinniśmy lekceważyć autorów złośliwego oprogramowania wspomnianych w tym raporcie. Potrafią oni tworzyć wyrafinowane rodziny Trojanów i wprowadzać je do systemów dużych i ważnych organizacji. Fakt, że nie są oni mistrzami modyfikacji i dostosowywania swoich produktów, nie oznacza wcale, że są mniej niebezpieczni”.

Nie są jednak wszechmocni.” – dodaje Szappanos. „Rozumienie ich ograniczeń pozwala nam lepiej przygotować linie obroni.” 

źródło: Sophos

Kan