Tento článok je súčasťou Príručky o digitálnej bezpečnosti pre učiteľov 1. a 2. stupňa základných škôl.
Malvér môže mať rôzne podoby. Do tejto skupiny sa radia vírusy, červy, ale aj trójske kone, či ďalšie typy škodlivého kódu. Nižšie si povieme viac o niektorých skupinách malvéru, s ktorými sa dnešný používateľ stretne asi najčastejšie:
Trójsky kôň (alebo Trojan)
Funguje na podobnom princípe ako pôvodný trójsky kôň. Navonok predstiera legitímnu funkciu (napríklad prehrávač videa, četovacia aplikácia) alebo sa vydáva za neškodný súbor (dokument, aktualizácia), no v skutočnosti má za cieľ škodiť. Niektoré trójske kone pritom naozaj poskytujú používateľovi časť sľúbených funkcií či služieb, no ich hlavným cieľom je najmä zbierať dáta, škodiť, okradnúť a pod.
Ransomvér
Po infekcii buď zablokuje obrazovku zariadenia, alebo zašifruje jeho dáta. Za odblokovanie/odšifrovanie od obete následne žiada výkupné. Najznámejšie príklady boli WannaCry (2017) alebo CryptoLocker (2013). Ransomvér (Not)Petya (2017) bol aj súčasťou najničivejšieho kyberútoku v histórii, ktorý napáchal škody za minimálne 10 miliárd dolárov.
Spyvér
Škodlivý kód, ktorý špehuje infikované zariadenie obete. Cieľom je zozbierať čo najviac informácií o jej správaní, ale tiež hesiel, prístupových kódov či iných citlivých dát, ktoré sa následne odosielajú na server útočníkov. Tí zozbierané údaje speňažia prostredníctvom „dark webu“10 alebo využijú na ďalšiu škodlivú činnosť. Touto cestou sa citlivé dáta používateľa môžu dostať do rúk zločincov, ktorí ich dokážu zneužiť na poškodenie obetí, napríklad ďalšou krádežou dát, peňazí či krádež ich identity.
Bankový malvér
Zameriava sa výhradne na krádež finančných informácií obete, ako sú čísla kreditných kariet, prístupy do bankových účtov, kryptopeňaženiek či iných služieb spojených s peniazmi alebo kryptomenami.
Downloader/Dropper
Tento škodlivý kód sa po inštalácii pripojí na vybranú webovú stránku či server a stiahne do zariadenia obete ďalší škodlivý kód podľa výberu útočníka.
Password Stealer
Password stealer je typovo veľmi podobný spyvéru a bankovému malvéru, no zameriava sa na súbory či programy, ktoré by mohli obsahovať heslá. Mnohé sa napríklad snažia kradnúť heslá uložené v prehliadačoch či zraniteľných manažéroch hesiel.
Keylogger
Tento kód sleduje naozaj každý krok používateľa alebo presnejšie každé jeho „ťuknutie“ do klávesnice alebo pohyb myši. Týmto spôsobom dokáže detailne zachytávať (mapovať) činnosť obete a môže ukradnúť aj dáta, ktoré obeť nemá nikde uložené a len ich príležitostne zadáva do niektorej služby či programu.
Backdoor
Aj tento názov je veľmi výstižný. Backdoor predstavuje „zadné vrátka“, ktoré útočník dokáže zneužiť na prístup do systému obete, jej sledovanie či inštalovanie ďalšieho malvéru. Backdoor je často základným nástrojom a východiskom vyspelých útočníkov (APT), o ktorých podrobnejšie píšeme nižšie.
Advér (adware)
Ak je zariadenie infikované advérom, zobrazuje sa mu neprimerané množstvo reklám a to aj v čase, keď by to neočakával – napríklad keď má vypnutý prehliadač. Ak sa vám advér nezdá príliš nebezpečný, môžete sa mýliť. Okrem toho, že obťažuje používateľa, používa aj niektoré agresívne techniky, ktoré sú charakteristické pre malvér. Môže tak bez vedomia obete napríklad manipulovať nastavenia zariadenia či inštalovať alebo odinštalovať ďalší softvér. Práve tieto kroky pritom môžu znamenať riziko ďalšej, oveľa vážnejšej infekcie.
Samozrejme, funkcie škodlivého kódu môžu byť rôzne a môžu sa zameriavať napríklad aj na sieťovú komunikáciu, zbierať citlivé dáta z pamäte zariadenia, či dokonca útočiť ešte predtým, než sa vôbec naštartuje operačný systém. Výnimkou nie sú ani rôzne kombinácie už uvedených funkcií alebo malvér, ktorý má viacero úrovní či modulov s podobnou funkciou (downloader + ransomvér, downloader + bankový malvér + keylogger atď.)
Čo dokáže vyspelý malvér určený na cielené útoky (APT11)?
Zločinci, ktorí stoja za týmto malvérom, sú vo väčšine prípadov mimoriadne skúsení vývojári, ktorí majú za sebou roky práce so škodlivým kódom. Ich „produkty“ sú väčšinou modulárne – teda skladajú sa z viacerých častí, ktoré sa dajú ľahko pridať alebo ubrať – využívajú verejne neznáme zraniteľnosti v softvéri či veľmi prepracované manipulačné techniky, aby sa dostali do systémov obete. Je pravdepodobné, že na vývoj malvéru majú dostatok času a peňazí, takže zisk nie je ich hlavnou motiváciou a zameriavajú sa skôr na špionáž či výsledný ničivý efekt svojej práce.
Zločinci, ktorí stoja za týmto malvérom, sú vo väčšine prípadov mimoriadne skúsení vývojári, ktorí majú za sebou roky práce so škodlivým kódom. Ich „produkty“ sú väčšinou modulárne – teda skladajú sa z viacerých častí, ktoré sa dajú ľahko pridať alebo ubrať – využívajú verejne neznáme zraniteľnosti v softvéri či veľmi prepracované manipulačné techniky, aby sa dostali do systémov obete. Je pravdepodobné, že na vývoj malvéru majú dostatok času a peňazí, takže zisk nie je ich hlavnou motiváciou a zameriavajú sa skôr na špionáž či výsledný ničivý efekt svojej práce.
Prečo sa už nehovorí o vírusoch a červoch?
Obe tieto kategórie škodlivého kódu boli rozšírené v minulosti – presnejšie v 80. a 90. rokoch. Dnes je škála malvéru oveľa širšia a vírusy ani červy nepatria k najdominantnejším typom, najmä ak sa porovnajú s PUA, trójskymi koňmi, advérom či ransomvérom.
- Vírusy fungovali podobne ako chrípka či iné vírusové ochorenie. Potrebovali hostiteľa, teda zraniteľné programy a aplikácie, ktoré mohli nainfikovať, a prostredníctvom ktorých sa ďalej šírili.
- Červy na šírenie nepotrebovali ďalší program ako vírusy. Dokázali sa replikovať (množiť) samotné a šíriť sa prostredníctvom siete, e-mailov, četových aplikácií či prenosných médií (napr. USB kľúčov). Takéto správanie sa objavuje aj v súčasnosti v spojitosti s trójskymi koňmi, tie však na tento účel využívajú rôzne – často aj legitímne – nástroje či aplikácie.
Kompletnú verziu Príručku o digitálnej bezpečnosti pre učiteľov 1. a 2. stupňa základných škôl si môžete stiahnuť vo formáte pdf. na tomto odkaze.
