Ataki komputerowe typu backdoor

Backdoor odnosi się do dowolnej metody, za pomocą której autoryzowani i nieautoryzowani użytkownicy są w stanie obejść normalne środki bezpieczeństwa i uzyskać dostęp użytkownika wysokiego poziomu (inaczej dostęp root) w systemie komputerowym, sieci lub aplikacji.

POBIERZ MALWAREBYTES ZA DARMO

Także dla Windows, iOS, Android, Chromebook i Dla Biznesu

Co to jest backdoor?

Wyobraź sobie, że jesteś włamywaczem rozglądającym się za możliwością kradzieży. Na trawniku widzisz tabliczkę z napisem „Chronione przez...”, a przy drzwiach Ring kamerę. Jako sprytny włamywacz przeskakujesz płot prowadzący do tyłu domu. Widzisz tylne drzwi, krzyżujesz palce i próbujesz klamki — są otwarte. Dla zwykłego obserwatora nie ma żadnych oznak włamania. W rzeczywistości nic nie stoi na przeszkodzie, abyś obrabował ten dom ponownie przez te same drzwi, zakładając, że nie narobisz bałaganu.

Komputerowe backdoory działają bardzo podobnie.

W świecie cyberbezpieczeństwa backdoor oznacza każdą metodę, dzięki której dopuszczeni i nieautoryzowani użytkownicy mogą obejść normalne zabezpieczenia i uzyskać dostęp na poziomie administratora (inaczej root access) do systemu komputerowego, sieci lub aplikacji programowej. Raz wewnątrz, cyberprzestępcy mogą używać backdoora do kradzieży danych osobowych i finansowych, instalowania dodatkowego złośliwego oprogramowania oraz porywania urządzeń.

Ale backdoory nie są tylko dla złych ludzi. Backdoory mogą być również instalowane przez twórców oprogramowania lub sprzętu jako celowe środki uzyskiwania dostępu do ich technologii po czasie. Backdoory tego nieprzestępczego rodzaju są użyteczne do pomagania klientom, którzy są beznadziejnie zablokowani w swoich urządzeniach lub do rozwiązywania problemów z oprogramowaniem.

W przeciwieństwie do innych cyberzagrożeń, które ujawniają się użytkownikowi (patrz ransomware), backdoory znane są ze swojej dyskrecji. Backdoory istnieją dla wybranej grupy osób, które wiedzą jak uzyskać łatwy dostęp do systemu lub aplikacji.

Jako zagrożenie, tylne furtki nie znikną w najbliższym czasie. Według raportu State of Malware od Malwarebytes Labs, w 2018 roku tylne furtki były czwartym najczęściej wykrywanym zagrożeniem zarówno dla konsumentów, jak i firm, z odpowiednimi wzrostami o 34% i 173% w porównaniu z rokiem poprzednim.

Jeśli obawiasz się backdoorów, słyszałeś o nich w wiadomościach i chcesz wiedzieć, o co w tym wszystkim chodzi, lub masz backdoora na komputerze i musisz się go teraz pozbyć, jesteś we właściwym miejscu. Czytaj dalej, aby dowiedzieć się wszystkiego, co kiedykolwiek chciałeś wiedzieć o backdoorach.

„Backdoor odnosi się do każdej metody, dzięki której dopuszczeni i nieautoryzowani użytkownicy mogą obejść normalne środki bezpieczeństwa i uzyskać dostęp na poziomie administratora (inaczej root access) do systemu komputerowego, sieci lub aplikacji programowej.”

Nowości o backdoorach

Jak działają backdoory?

Zacznijmy od zorientowania się, jak backdoory w ogóle pojawiają się na Twoim komputerze. Może się to stać na kilka różnych sposobów. Albo backdoor jest wynikiem złośliwego oprogramowania, albo decyzji producenta (sprzętu lub oprogramowania).

Złośliwe oprogramowanie backdoor jest zazwyczaj klasyfikowane jako Trojan. Trojan to złośliwy program komputerowy, udający coś, czym nie jest, w celu dostarczenia złośliwego oprogramowania, kradzieży danych lub otwarcia backdoora w Twoim systemie. Podobnie jak Koń trojański w starożytnej literaturze greckiej, komputerowe Trojany zawsze kryją w sobie niemiłą niespodziankę.

Trojany to niesamowicie wszechstronne narzędzia w arsenale cyberprzestępców. Pojawiają się pod wieloma postaciami, jak na przykład załącznik do e-maila lub pobierany plik, i mogą dostarczać różne zagrożenia związane z malware.

Na domiar złego, Trojany czasem wykazują zdolności do samoreplikacji i rozprzestrzeniania się na inne systemy, bez dodatkowych poleceń od cyberprzestępców, którzy je stworzyli. Weźmy na przykład bankowego Trojana Emotet. Emotet rozpoczął swoją działalność w 2014 roku jako kradzież danych, rozprzestrzeniając się po urządzeniach i kradnąc wrażliwe dane finansowe. Od tego czasu Emotet przekształcił się w pojazd dostarczający inne formy malware. Emotet pomógł uczynić Trojana najczęściej wykrywanym zagrożeniem w 2018 roku, według raportu State of Malware.

W jednym z przykładów złośliwego oprogramowania typu backdoor cyberprzestępcy ukryli złośliwe oprogramowanie w darmowym konwerterze plików. Nic dziwnego - niczego nie konwertował. W rzeczywistości pobrany plik został zaprojektowany wyłącznie w celu otwarcia backdoora w systemie docelowym. W innym przykładzie cyberprzestępcy ukryli złośliwe oprogramowanie typu backdoor w narzędziu używanym do piracenia aplikacji Adobe (niech to będzie lekcja na temat piractwa oprogramowania). W ostatnim przykładzie pozornie legalna aplikacja do wyświetlania kryptowalut o nazwie CoinTicker działała zgodnie z reklamą, wyświetlając informacje o różnych formach kryptowalut i rynkach, ale otworzyła również backdoora.

Gdy cyberprzestępcy mają już swoje krzesło w drzwiach, mogą użyć tzw. rootkita. Rootkit to pakiet malware zaprojektowany do unikania wykrycia i ukrywania aktywności w Internecie (przed Tobą i Twoim systemem operacyjnym). Rootkity zapewniają atakującym stały dostęp do zainfekowanych systemów. W istocie, rootkit to klin, który trzyma backdoor otwarty.

"Backdoory były czwartym najczęściej wykrywanym zagrożeniem w 2018 r. zarówno dla konsumentów, jak i firm - odpowiednio wzrost o 34 i 173 procent w porównaniu z rokiem poprzednim".

Wbudowane lub firmowe backdoory są wprowadzone na miejsce przez samego producenta sprzętu i oprogramowania. Inaczej niż złośliwe oprogramowanie backdoor, wbudowane backdoory nie są z założenia przestępcze. Często istnieją jako artefakty procesu tworzenia oprogramowania.

Deweloperzy oprogramowania tworzą te konta backdoor, aby mogli szybko poruszać się po aplikacjach podczas ich kodowania, testować swoje aplikacje i naprawiać błędy (czyli błędy) bez konieczności tworzenia „prawdziwego” konta. Te backdoory nie powinny być dostarczane z ostatecznym oprogramowaniem przeznaczonym do publicznego użytku, ale czasami tak się dzieje. Nie jest to koniec świata, ale zawsze istnieje ryzyko, że backdoor firmowy trafi w ręce cyberprzestępców.

Podczas gdy większość wbudowanych backdoorów, o których wiemy, należy do pierwszej kategorii (tj. kategorii "ups, nie chcieliśmy tego tam umieścić"), członkowie paktu wymiany informacji wywiadowczych Five Eyes (USA, Wielka Brytania, Kanada, Australia i Nowa Zelandia) poprosili Apple, Facebooka i Google o zainstalowanie backdoorów w ich technologii, aby pomóc w gromadzeniu dowodów podczas dochodzeń karnych. Chociaż wszystkie trzy firmy odmówiły, wszystkie trzy dostarczają dane niższego szczebla w zakresie wymaganym przez prawo.

Kraje Five Eyes podkreśliły, że te backdoory są w najlepszym interesie globalnego bezpieczeństwa, ale istnieje wiele możliwości nadużyć. CBS News odkryło, że dziesiątki funkcjonariuszy policji w całym kraju korzystało z obecnie dostępnych kryminalnych baz danych, aby pomóc sobie i swoim przyjaciołom nękać swoje byłe, skradać się do kobiet i nękać dziennikarzy, którzy oburzyli się na ich nękanie i skradanie się.

Co by było, gdyby agencje rządowe zdecydowały, że nie przyjmą odmowy?

To prowadzi nas do backdoora w łańcuchu dostaw. Jak sama nazwa sugeruje, backdoor w łańcuchu dostaw jest wprowadzany cichaczem do oprogramowania lub sprzętu na pewnym etapie w łańcuchu dostaw. Może się to zdarzyć w momencie, gdy surowce są wysyłane od dostawcy do producenta, lub gdy gotowy produkt przenosi się od producenta do konsumenta.

Na przykład, agencja rządowa mogłaby przechwycić gotowe routery, serwery i inne urządzenia sieciowe w drodze do klienta, a następnie zainstalować w firmware tylne furtki. A tak przy okazji, Narodowa Agencja Bezpieczeństwa (NSA) w USA faktycznie to zrobiła, jak ujawniono w globalnych ujawnieniach związanych z monitorowaniem Edwarda Snowdena w 2013 roku.

Infiltracje w łańcuchu dostaw mogą również zachodzić w oprogramowaniu. Weźmy na przykład kod open source. Biblioteki kodu open source to darmowe repozytoria kodu, aplikacji i narzędzi rozwojowych, z których każda organizacja może korzystać zamiast kodować wszystko od podstaw. Brzmi świetnie, prawda? Wszyscy pracują razem dla wspólnego dobra, dzieląc się owocami swojej pracy. W większości jest to świetne. Każdy wkład w kod źródłowy podlega kontroli, ale zdarzały się przypadki, kiedy złośliwy kod przedostał się do użytkowników końcowych.

W lipcu 2018 roku złośliwe oprogramowanie cryptominingowe zostało znalezione w aplikacji (lub "snap", jak nazywają to w świecie Linuksa) dla Ubuntu i innych systemów operacyjnych opartych na Linuksie. Canonical, twórcy Ubuntu, przyznali: "Niemożliwe jest, aby repozytorium na dużą skalę akceptowało oprogramowanie dopiero po szczegółowym sprawdzeniu każdego pojedynczego pliku".

Czy backdoory i exploity to to samo?

Malwarebytes Labs definiuje exploits jako „znane luki w oprogramowaniu, które można wykorzystać do zdobycia pewnego poziomu kontroli nad systemami, na których działa to oprogramowanie.” I wiemy, że tylnia furtka działa jak tajne wejście do twojego komputera. Więc czy tylne furtki i exploits to jedno i to samo?

Chociaż backdoory i exploity wydają się na pierwszy rzut oka bardzo podobne, nie są tym samym.

Exploity to przypadkowe luki w oprogramowaniu wykorzystywane do uzyskania dostępu do Twojego komputera i potencjalnie rozprzestrzenienia jakiegoś złośliwego oprogramowania. Innymi słowy, exploity to po prostu błędy oprogramowania, które badacze lub cyberprzestępcy znaleźli sposób, by wykorzystać. Backdoory, z drugiej strony, są celowo wprowadzane przez producentów lub cyberprzestępców, aby móc wchodzić i wychodzić z systemu wedle woli.

"Exploity to przypadkowe luki w oprogramowaniu wykorzystywane do uzyskania dostępu do komputera i potencjalnego wdrożenia złośliwego oprogramowania..... Z drugiej strony, backdoory są celowo umieszczane przez producentów lub cyberprzestępców, aby dostać się do systemu i wydostać się z niego według własnego uznania".

Co mogą zrobić hakerzy z backdoorem?

Hakerzy mogą używać backdoora do instalacji wszelkiego rodzaju złośliwego oprogramowania na Twoim komputerze.

  • Oprogramowanie szpiegujące to rodzaj złośliwego oprogramowania, które po wdrożeniu w systemie zbiera informacje o użytkowniku, stronach odwiedzanych w Internecie, pobieranych rzeczach, otwieranych plikach, nazwach użytkowników, hasłach i innych wartościowych rzeczach. Mniejsza forma oprogramowania szpiegującego zwana keyloggerami śledzi każde naciśnięcie klawisza i kliknięcie. Firmy mogą wykorzystywać oprogramowanie szpiegujące/keyloggery jako uzasadniony i legalny sposób monitorowania pracowników w pracy.
  • Ransomware to rodzaj złośliwego oprogramowania zaprojektowanego do szyfrowania plików i blokowania komputera. Aby odzyskać cenne zdjęcia, dokumenty itp. (lub dowolny typ pliku wybrany przez atakujących), musisz zapłacić atakującym za pomocą jakiejś formy kryptowaluty, zwykle Bitcoin.
  • Użycie Twojego komputera w ataku DDoS. Korzystając z backdoora, aby uzyskać dostęp super użytkownika do Twojego systemu, cyberprzestępcy mogą zdalnie przejąć kontrolę nad Twoim komputerem, rekrutując go do sieci zhakowanych komputerów, czyli botnetu. Dzięki tej sieci zombie komputerów, przestępcy mogą następnie zalewać stronę internetową lub sieć ruchem z botnetu, w tym, co jest znane jako rozproszony atak odmowy usługi (DDoS). Natłok ruchu uniemożliwia stronie lub sieci odpowiedź na legalne żądania, skutecznie wyłączając stronę z działania.
  • Złośliwe oprogramowanie typu cryptojacking ma na celu wykorzystanie zasobów systemu do wydobywania kryptowalut. Krótko mówiąc, za każdym razem, gdy ktoś wymienia kryptowalutę, transakcja jest rejestrowana w zaszyfrowanej wirtualnej księdze znanej jako blockchain. Kopanie kryptowalut to proces walidacji tych transakcji online w zamian za więcej kryptowaluty i wymaga ogromnej mocy obliczeniowej. Zamiast kupować drogi sprzęt wymagany do kryptominingu, przestępcy odkryli, że mogą po prostu zaciągnąć zhakowane komputery do botnetu, który działa tak samo jak drogie farmy kryptowalut.

Jaka jest historia backdoorów?

Oto przegląd niektórych najbardziej (nie)sławnych backdoorów, zarówno prawdziwych, jak i fikcyjnych, od czasu pojawienia się komputerów.

Można powiedzieć, że backdoory weszły do świadomości publicznej w filmie science fiction z 1983 roku WarGames z Matthew Broderickiem (co wydaje się jak wersja próbna Ferris Buellera). Broderick jako psotny nastoletni haker David Lightman używa wbudowanego backdoora, aby uzyskać dostęp do wojskowego superkomputera zaprojektowanego do prowadzenia symulacji nuklearnych. Lighman nieświadomie uruchamia komputer, który nie potrafi odróżnić rzeczywistości od symulacji. A także jakiś geniusz zdecydował się dać komputerowi dostęp do całego arsenału nuklearnego Stanów Zjednoczonych. Komedia trwa, gdy komputer grozi wysadzeniem całego świata.

W 1993 roku NSA opracowało chip szyfrujący z wbudowanym backdoor, przeznaczony do użytku w komputerach i telefonach. Podobno chip miał zabezpieczać wrażliwe komunikacje, jednocześnie pozwalając organom ścigania i agencjom rządowym na dezaszyfrowanie i podsłuchiwanie transmisji głosowych i danych, kiedy jest to uzasadnione. Hardware backdoory mają wielkie przewagi nad tymi programowymi. Mianowicie, są trudniejsze do usunięcia—trzeba wyciągnąć sprzęt lub przeprogramować firmware, aby to zrobić. Chip jednak został odrzucony z powodu obaw związanych z prywatnością, zanim zdążył zdobyć jakąkolwiek adopcję.

W 2005 roku Sony BMG weszło w biznes backdoorów, wysyłając miliony płyt CD z muzyką z szkodliwym rootkitem zabezpieczenia przed kopiowaniem. Mało wiedziałeś, że podczas słuchania najnowszej edycji Now That’s What I Call Music! Twoja płyta CD zawiera rootkit, który instalowałby się automatycznie po włożeniu do komputera.

Zaplanowany, aby monitorować Twoje nawyki słuchania, rootkit Sony BMG również powstrzymywał Cię przed wypalaniem płyt CD i pozostawiał ogromną lukę bezpieczeństwa w Twoim komputerze, którą mogli wykorzystać cyberprzestępcy. Sony BMG zapłaciło miliony, aby uregulować pozwy związane z rootkitem i wycofało jeszcze więcej milionów płyt CD.

W 2014 roku w kilku routerach Netgear i Linksys znaleziono wbudowane tylne furtki (backdoory). SerComm, zewnętrzny producent odpowiedzialny za składanie tych routerów, zaprzeczył, jakoby celowo umieścił furtki w swoim sprzęcie. Jednakże, kiedy wydana przez SerComm poprawka ukryła backdoor zamiast go naprawić, stało się oczywiste, że firma coś kombinuje. Co dokładnie chciało osiągnąć SerComm za pomocą tylnej furtki, wciąż pozostaje niejasne.

W tym samym roku programiści pracujący nad odnogą systemu operacyjnego Android Google'a (nazywaną Replicant) odkryli tylne furtki na urządzeniach mobilnych Samsung, w tym w serii telefonów Galaxy. Tylną furtkę można było rzekomo wykorzystać do zdalnego dostępu do wszystkich plików przechowywanych na zainfekowanych urządzeniach. W odpowiedzi na odkrycie Samsung nazwał furtkę „funkcją”, która nie stwarza „zagrożenia dla bezpieczeństwa”.

Z kolei inny znany producent telefonów, Apple, odmawia umieszczania tylnych furtek w swoich produktach, pomimo wielokrotnych próśb ze strony FBI i Departamentu Sprawiedliwości USA. Naciski wzrosły po atakach terrorystycznych w San Bernardino w 2015 roku, kiedy FBI odzyskało iPhone'a należącego do jednego z napastników. Zamiast kompromitować bezpieczeństwo swoich urządzeń z iOS, Apple podwoiło swoje wysiłki na rzecz ochrony prywatności i uczyniło swoje iPhone'y oraz iPady jeszcze trudniejszymi do złamania. FBI ostatecznie wycofało swoje żądanie, gdy udało im się zhakować starszego i mniej bezpiecznego iPhone'a z pomocą tajemniczej trzeciej strony.

Wtyczki z ukrytymi złośliwymi kodami dla WordPressa, Joomla, Drupala i innych systemów zarządzania treścią (CMS) stanowią ciągły problem. W 2017 roku badacze odkryli kampanię SEO (SEO) dotykającą ponad 300 tys. stron WordPress. Cała akcja kręciła się wokół wtyczki CAPTCHA Simply WordPress. Po jej zainstalowaniu Simply WordPress otwierało tylną furtkę, pozwalając na dostęp administracyjny do zainfekowanych stron. Stamtąd odpowiedzialny haker osadzać mógł ukryte linki do swojego podejrzanego serwisu pożyczek payday (inne strony linkujące do twojej strony są świetne dla SEO).

Rok 2017 był także świadkiem niszczycielskiego ransomware NotPetya. Prawdopodobnym pacjentem zero był koń trojański z tylna furtką, przebrany za aktualizację oprogramowania ukraińskiej aplikacji księgowej MeDoc. Na pytanie odpowiedzią firmy MeDoc było zaprzeczenie, jakoby byli źródłem NotPetya. Prawdziwe pytanie brzmi - dlaczego ktoś zdecydowałby się na wysoce podejrzaną ukraińską aplikację księgową MeDoc?

W 2018 roku w historii brzmiącej jak scena z kiepskiego thrillera klasy B Bloomberg Businessweek poinformował, że chińscy szpiedzy wspierani przez państwo infiltrowali producenta serwerów Supermicro. Szpiedzy rzekomo zainstalowali szpiegowskie chipy z tylnymi furtkami na komponentach serwerowych przeznaczonych dla kilkudziesięciu amerykańskich firm technologicznych oraz organizacji rządowych USA - w tym Amazon, Apple i CIA.

Po zainstalowaniu w centrum danych, szpiegowskie chipy miały komunikować się z chińskimi serwerami C&C, dając operacjom chińskim nieograniczony dostęp do danych w sieci. Amazon, Apple oraz różni urzędnicy rządowi USA odrzucili zarzuty wynikające z historii Bloomberga. Supermicro, w swojej obronie, nazwało tę historię „praktycznie niemożliwą”, a żadne inne media nie podjęły tego tematu.

Na koniec, jako przykład sytuacji, gdzie firma żałuje braku tylnej furtki, kanadyjska giełda kryptowalut QuadrigaCX stała się obiektem wiadomości na początku 2019 roku, kiedy założyciel firmy nagle zmarł podczas wakacji w Indiach, zabierając ze sobą hasło do wszystkiego. QuadrigaCX twierdzi, że całość zasobów kryptowalutowych klientów o wartości 190 mln dolarów jest nieodwołalnie zamknięta w „zimnym przechowywaniu”, gdzie będzie czekać dekady, aby być warta fortunę—oraz być nic nie warta, w zależności od przyszłości kryptowalut.

Jak mogę się chronić przed backdoorami?

Dobre i złe wieści. Zła wiadomość jest taka, że trudno jest zidentyfikować i chronić się przed wbudowanymi tylnymi furtkami. Często producenci nawet nie wiedzą, że tylna furtka istnieje. Dobra wiadomość jest taka, że istnieją sposoby na ochronę przed innymi rodzajami tylnych furtek.

Zmień swoje domyślne hasła. Pracownicy działu IT w twojej firmie nigdy nie zamierzali, aby twoje faktyczne hasło brzmiało „guest” lub „12345”. Jeśli zostawisz domyślne hasło bez zmian, nieświadomie tworzysz tylną furtkę. Zmień je jak najszybciej i włącz uwierzytelnianie wieloskładnikowe (MFA) przy okazji. Tak, śledzenie unikalnego hasła dla każdej aplikacji może być trudne. Raport Malwarebytes Labs na temat prywatności danych wykazał, że 29% respondentów używało tego samego hasła w wielu aplikacjach i urządzeniach. Nieźle, ale zawsze można się poprawić.

Monitoruj aktywność sieci. Każdy dziwny wzrost danych może oznaczać, że ktoś używa tylnej furtki w twoim systemie. Aby temu zapobiec, użyj zapór sieciowych do śledzenia ruchu przychodzącego i wychodzącego z różnych aplikacji zainstalowanych na twoim komputerze.

Wybieraj aplikacje i wtyczki ostrożnie. Jak już wcześniej wspominaliśmy, cyberprzestępcy lubią ukrywać tylne furtki wewnątrz pozornie nieszkodliwych darmowych aplikacji i wtyczek. Najlepszą obroną tutaj jest upewnienie się, że aplikacje i wtyczki pochodzą z wiarygodnego źródła.

Użytkownicy Androida i Chromebooków powinni trzymać się aplikacji z Google Play, natomiast użytkownicy Mac i iOS powinni korzystać z Apple’s App Store. Dodatkowy technologiczny tip - kiedy nowo zainstalowana aplikacja prosi o dostęp do danych lub funkcji na twoim urządzeniu, zastanów się dwa razy. Podejrzane aplikacje zdarzały się już na etapie weryfikacji w Google i Apple.

Wracając do badania dotyczącego prywatności danych, większość respondentów dobrze śledziła uprawnienia aplikacji, ale 26% stwierdziło: „Nie wiem”. Znajdź trochę czasu, może nawet teraz, aby przejrzeć uprawnienia aplikacji na swoich urządzeniach (Malwarebytes dla Androida zrobi to za ciebie). Jeśli chodzi o wtyczki WordPress i podobne. Sprawdź oceny użytkowników i opinie, a także unikaj instalowania czegokolwiek z mniej niż świetną oceną.

Używaj dobrego rozwiązania do zarządzania cyberbezpieczeństwem. Każde dobre rozwiązanie antymalware powinno powstrzymywać cyberprzestępców przed wdrożeniem trojanów i rootkitów używanych do otwierania tych uciążliwych tylnych furtek. Malwarebytes, na przykład, oferuje rozwiązania dla Windows, Mac i Chromebook. Nie wspominając o Malwarebytes dla Androida i Malwarebytes dla iOS, dzięki czemu możesz być chroniony na wszystkich swoich urządzeniach. Klienci biznesowi - mamy coś również dla was. Sprawdź wszystkie rozwiązania biznesowe Malwarebytes.

A jeśli twoje zainteresowanie tylnymi furtkami sięga dalej niż to, co tu przeczytałeś, koniecznie przeczytaj i subskrybuj blog Malwarebytes Labs. Znajdziesz tam wszystkie najnowsze informacje o tylnych furtkach i wszystkim innym, co ma znaczenie w świecie cyberbezpieczeństwa.