Flashback w Polsce i na świecie

Data publikacji: 26/04/2012, rz

apple-zombieNa początku kwietnia pojawiły się doniesienia o wykryciu bonetu złożonego głównie z użytkowników systemów z rodziny Mac OS X. Informacje o różnych wariantach Flashbacka pojawiały się już od września ubiegłego roku. Ponieważ było to kolejne zagrożenie wymierzone w użytkowników spod znaku nadgryzionego jabłka, CERT Polska postanowił przyjrzeć się temu bliżej. Dzięki uprzejmości Doctor Web przeanalizowaliśmy skalę występowania zjawiska w Polsce i na świecie.

Występowanie na świecie

CERT Polska uzyskał dane dotyczące aktywności botów zarejestrowanych w dniach od 03 kwietnia 2012 do 10 kwietnia 2012. W sumie zostało zanotowanych 657711 połączeń z 639239 unikalnych adresów IP ze 183 krajów.

Flashback-World
Rys. 1. Występowanie zainfekowanych adresów IP na świecie.

Najwięcej infekcji odnotowano w Stanach Zjednoczonych, skąd pochodziło ponad 55% zainfekowanych adresów IP. Na miejscu drugim uplasowała się Kanada (18,1%) a za nią Wielka Brytania (13,3%). Ostatnim krajem z którego pochodzi zauważalna ilość połączeń z unikalnych adresów IP (powyżej 1%) jest Australia z ponad 7,7%.

top10country
352621 United States
115804 Canada
84733 United Kingdom
48991 Australia
4146 France
2960 Unknown
2700 Germany
2572 Spain
2158 Mexico
2116 Italy
1650 Brazil
1402 Netherlands
886 Switzerland
798 Belgium
736 India
735 Sweden
730 New Zealand
579 Norway
572 Denmark
569 Indonesia
545 Turkey
529 Japan
524 Chile
463 Portugal
426 Ireland
419 Austria
388 Philippines
385 Argentina
352 Colombia
340 Malaysia
331 Hong Kong
326 Poland
324 United Arab Emirates
301 Thailand
295 Finland
283 Greece
272 Puerto Rico
220 Israel
211 South Africa
188 Saudi Arabia
165 Singapore
164 China
162 Venezuela
161 Ecuador
141 Taiwan
140 Iceland
135 Hungary
133 Czech Republic
132 Romania
130 Korea, Republic of
129 Egypt
120 Peru
112 Panama
108 Costa Rica
105 Dominican Republic
104 Vietnam
96 Europe
87 Guatemala
75 Slovenia
75 Lebanon
74 Pakistan
73 Qatar
72 Croatia
71 Morocco
70 Luxembourg
65 Slovakia
63 Kuwait
59 Cyprus
57 Serbia
52 Jersey
51 Russian Federation
47 Jordan
47 Estonia
45 Latvia
43 Jamaica
42 Lithuania
42 Kenya
40 Iran, Islamic Republic of
40 Bolivia
39 Nigeria
38 Brunei Darussalam
36 Malta
36 Bulgaria
35 Bahamas
34 Bahrain
33 Bermuda
30 Trinidad and Tobago
28 Mauritius
26 Guernsey
25 Macau
24 Cambodia
24 Barbados
23 Anonymous Proxy
22 Oman
21 Cayman Islands
20 Tunisia
20 Honduras
20 El Salvador
19 Uruguay
19 Nicaragua
18 Sri Lanka
18 Bangladesh
17 Macedonia
17 Bosnia and Herzegovina
16 Satellite Provider
16 Isle of Man
16 Guam
16 French Polynesia
16 Curacao
16 Aruba
15 New Caledonia
15 Ghana
14 Nepal
13 Tanzania, United Republic of
12 Virgin Islands, U.S.
12 Paraguay
12 Maldives
12 Algeria
12 Albania
11 Palestinian Territory
11 Monaco
11 Georgia
9 Senegal
9 Montenegro
8 Virgin Islands, British
8 Mozambique
8 Iraq
8 Cameroon
8 Andorra
7 Uganda
7 Grenada
7 Gibraltar
7 Antigua and Barbuda
6 Ukraine
6 Turks and Caicos Islands
6 Saint Martin
6 Mongolia
6 Haiti
6 Angola
6 Afghanistan
5 Saint Vincent and the Grenadines
5 Papua New Guinea
5 Namibia
5 Fiji
5 Cote D'Ivoire
4 Zimbabwe
4 Yemen
4 Syrian Arab Republic
4 Saint Kitts and Nevis
4 Madagascar
4 Faroe Islands
4 Dominica
4 Belize
3 Zambia
3 Sudan
3 Saint Lucia
3 Liechtenstein
3 Cape Verde
3 Botswana
3 Azerbaijan
3 Asia/Pacific Region
2 Tajikistan
2 Suriname
2 Rwanda
2 Northern Mariana Islands
2 Kazakhstan
2 Holy See (Vatican City State)
2 Guyana
2 Greenland
2 Cuba
2 Congo, The Democratic Republic of the
1 Vanuatu
1 Samoa
1 Saint Pierre and Miquelon
1 Moldova, Republic of
1 Marshall Islands
1 Libyan Arab Jamahiriya
1 Liberia
1 Lesotho
1 Lao People's Democratic Republic
1 Guadeloupe
1 Gabon
1 Ethiopia
1 Bhutan
1 Benin
1 Anguilla
Rys. 2. Zestawienie 10 krajów z największą ilością zainfekowanych adresów IP.
Flashback-Canada
Flashback-USA Flashback-UK Flashback-Australia
Rys. 3. Występowanie zainfekowanych adresów IP w czterech najbardziej infekowanych krajach.

Zidentyfikowaliśmy 5433 dostawców internetowych skąd pochodziły zainfekowane adresy IP. Najbardziej zainfekowane sieci, zgodnie z oczekiwaniami, pochodziły z krajów z największą ilością infekcji.

top20isp
Rys. 4. Zestawienie 20 dostawców internetowych z największą ilością zainfekowanych adresów IP.

Skala zagrożenia w Polsce

Polska z 326 zainfekowanymi adresami IP uplasowała się na 31 miejscu w globalnym zestawieniu (0,05%).

Flashback-Poland
Rys. 5. Występowanie zainfekowanych adresów IP w Polsce.

Najbardziej zainfekowane sieci należały do największych polskich dostawców internetowych: Telekomunikacja Polska S.A. (29,14%), UPC Broadband (14,11%) i ASTER Sp. z.o.o. (10,74%) oraz Netia SA (10,12%).

PLtop10isp
95 Telekomunikacja Polska S.A.
46 UPC Broadband
35 ASTER Sp. z.o.o.
33 Netia SA
10 ATOMNET ATOM SA
9 Vectra Technologie S.A. Autonomous System
9 PTK Centertel Sp. z o.o.
9 INEA S.A.
7 P4 Sp. z o.o.
7 Multimedia Polska SA
5 Toya sp.z.o.o
4 Polska Telefonia Cyfrowa S.A.
3 Telefonia Dialog S.A.
3 Polkomtel S.A.
3 Crowley Data Poland, sp. z o.o.
2 Telekomunikacja Internetowa Sp. z o.o.
2 NPLAY.PL, Lublin, Poland
2 NASK Research and Academic Computer Networks
2 Jarsat s.c. Jaroslaw i Elzbieta Przedwojscy
2 Internetia Sp. z o.o.
2 East & West Sp. z o.o.
2 ASTER Krakow Sp. z o.o.
2 ASTA-NET MALDZINSKI, RYCZEK S.J.
1 ZTS Echostar Studio Poznan Poland
1 Zaklad Uslug Antenowych "SAT-MONT-SERVICE" Jacek Mruk Krzysztof Mruk
1 WROCMAN-EDU educational part of WASK network, Wroclaw, Poland
1 Urzad Dzielnicy Bemowo m.st. Warszawy
1 TVK Tel-Ka Wroclaw
1 TTcomm S.A.
1 TK Telekom sp. z o.o.
1 TELKONEKT Sp. z o.o.
1 TASK Academic Computer Centre
1 SUPERMEDIA Sp.z.o.o.
1 STK TV-SAT 364
1 P.T. INTER-MEDIA Sp. z o.o.
1 Przedsiebiorstwo Uslugowe "TELSAT" Kisielewski Tomasz
1 POZMAN POZMAN-EDU
1 POLMEX - SERWIS S.C. Artur Furtak, Monika Joanna Furtak
1 Poland, Lublin
1 Petrotel Sp. z o.o.
1 Net-Serwis Sp. z o. o.
1 Multiplay Polska Sp. z o.o.
1 Metro Internet Sp. z o.o.
1 Metropolitan Area Network Autonomous System
1 maxnet
1 JMDI Jacek Maleszko
1 ITSA Autonomous System
1 ISP Local provider
1 INTELKOM Pawel Ciaglo
1 Gemini Internet & ISTS sp. z o.o.
1 Fibertech Networks Sp. z o.o.
1 ENTANET International Ltd
1 ATMAN Autonomous System
1 ART-COM Sp. z o.o.
1 Aero 2 sp. z o.o.
Rys. 6. Zestawienie polskich dostawców internetowych .

Znikomy udział polskich adresów IP w stosunku do pozostałych prawdopodobnie wynika zarówno z mniejszej popularności systemów Mac OS X w Polsce jak i ukierunkowania ataku na użytkowników anglojęzycznych.