В кризис вирусописатели мельчают

По словам спикеров, одним из самых заметных событий в антивирусном мире за последние полгода, стала борьба с крупнейшим ботнетом конфикером (кидо), появившимся в начале года. По оценкам «Лаборатории Касперского», в течение января, первой половины февраля, этот управляемый ботнет вырос до размеров 5-6 млн компьютеров. Именно тогда была создана специальная международная рабочая группа Consumer working group (?), состоящая из экспертов, понимающих, насколько велика опасность злоумышленного управления таким большим ботнетом, - направив его на любое государство, можно вывести из строя всю его инфраструктуру. В этой группе, состоящей на данный момент из более чем тридцати различный организаций, собрались не только представители конкурирующих антивирусных компаний (Semantec, Trend Micro, «Лаборатория Касперского» и т.д.), но и представители правительственных и глобальных межправитeльственных организации (ICANN), различных организаций провайдеров, а также владельцы корневых доменов.

Известно, что одним из методов борьбы с ботнетами, является отправка зараженным компьютерам вылечивающей их программы. В данном случае, сделать подобное было невозможно из-за противоречия этого средства законам многих государств. Поэтому единственной средством борьбы с конфикером стало лишение владельцев этого ботнета средств управления, посредством блокировки доменных имен, с которых осуществлялась передача зараженным компьютерам различных команд и обновлений.

«В итоге, каждый день мы блокируем по 500 новых доменов начиная с января месяца, именно этим группа продолжает заниматься и в настоящее время, - рассказывает ведущий антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк. - Сегодня эти зараженные компьютеры никуда не делись, многие пользователи по-прежнему не знают, что их компьютеры заражены, и этот ботнет по-прежнему составляет 5-6 млн компьютеров».

Сам по себе бот не содержал в себе никакой деструктивной функциональности для проведения интернет-атак, единственной его задачей было скачивание следующего обновления, которое уже могло содержать в себе абсолютно любой функционал, в том числе и наиболее вредоносный. Например, апрельское обновление этого конфикера было связанно с распространением программы - иксмаса (валедак), которая, в свою очередь загружала поддельный антивирус. Поддельный антивирус скрытно устанавливается в системе и при истечение определенного времени, сообщает владельцу, что его компьютер заражен. Затем он предлагает просканировать компьютер пользователя, находит несколько зараженных файлов, зачастую им же и созданных, и для их предлагает пользователю зарегистрироваться, оплатив соответствующую стоимости реального антивирусного решения сумму. Таким образом, владельцы ботнета кидо попытались обналичить его теоретические возможности и в какой-то степени, продали его. О стоимости этого ботнета можно судить по следующим данным: несколько лет назад в Голландии поймали ботнетчика, который пытался за 35 тысяч Евро продать ботнет, численностью 50 тысяч компьютеров. Исходя из того, что эта цена была завышена примерно в 1,5 раза, можно представить стоимость конфикера кидо размером в 5-6 млн компьютеров.

Руководитель Центра глобальных исследований и анализа угроз «Лаборатории Касперского» Александр Гостев: « Для нас, на самом деле, было удивительным, наблюдая за кидо, увидеть, что произошла загрузка в систему иксмаса, который по сути является спамботом (транспортная программа, загружающая спам посредством зараженных компьютеров), и поддельного антивируса одновременно. Видимо, это действительно самый простой способ монетизации ботнетов».

Вообще, на данный момент, спам и поддельные антивирусы являются основными видами кибер-преступности в сети Интернет. Если спам существует достаточно давно, то поддельные антивирусы, появившись впервые только два года назад, стремительно распространяются и даже конфикер кидо оказался с ними связан. Что касается иксмаса, попадающего на зараженные компьютеры, то по наблюдениям специалистов «Лаборатории Касперского», один зараженный компьютер, на который попадал этот бот, мог в течение одних только суток разослать около 80 тысяч спам-писем. Вспомнив о 5-млн ботнете, легко представить, какую серьезную угрозу представлял собой конфикер кидо.

Если говорить о примерном объеме рынка спама в России, то по оценкам экспертов компании, в 2008 году заработали он составил $200-250 млн, причем спам является не самым прибыльным видом кибер-преступности в России и зачастую связан с легальным бизнесом.

«Кризис шагает по планете и теневой рынок спама на него очень чутко реагирует, - рассказывает директор лаборатории контентной фильтрации «Лаборатории Касперского» Андрей Никишин. - Анализируя данные, мы обнаружили интересную закономерность, что изменения в тематике спама начались задолго до того, как Россию этот кризис затронул. Получается, что спамерская индустрия всегда идет на шаг впереди глобальных политико-экономических изменений, что, в принципе, может стать еще одним фактором для их прогнозирования и оценок положения российской экономики».

Из сети ушла реклама различных услуг, связанных с реальным сектором экономики, а тематика спам-рассылок изменилась. По словам г-на Никишина, долгое время кто-то пытался продать месторождение нефти, сейчас столь же безуспешно пытается продать крупный пакет акций одного из акционерных обществ. Кроме того резко, в 3-4 раза, возросла реклама различных порнографических услуг, а также количество предложений о самой спам-рассылке. Спамеры в очередной раз переоткрывают свои старые технологии, на Западе участились предложения русских невест, а в Германии, Франции, Испании, растет число предложений об удаленной работе с помощью Интернета, - именно так злоумышленники ведут поиск людей для обналичивания украденных денег. В Латинской Америке, из-за развития электронной коммерции, широкое распространение получил фишинг (создание точной копии существующей веб-страницы с целью заставить пользователя ввести свои личные, финансовые данные или пароль). Несколько лет назад американские коллеги при помощи классических маркетинговых схем, подсчитали рентабельность теневого интернет-бизнеса. В итоге, выяснилось, что банальный фишинг не уступает по рентабельности наркоторговле и на $ 1 вложенный можно заработать $400.

В России фишинга практически нет, если нас и атакуют, то объектами для атаки становятся webmoney, mail.ru и социальные сети.

«История с последним взломом в конце июля социальной сети «В контакте» крайне показательна, потому что здесь объединилось сразу несколько тенденций года, - рассказывает Александр Гостев. - Порядка 40 тысяч пользователей стали жертвами простейшей атаки, когда «В контакте» распространялось некое приложение под различными названиями, просуществолвавшее всего два дня, после чего было заблокировано администрацией сети. Это приложение, установленное множеством пользователей, изменяло всего лишь один хостовый файл на компьютере, в результате чего, при желании попасть на сайт «В контакте», пользователь попадал на другой фишинговый сайт. Здесь, вводя свои данные, он получал сообщение о заблокировании аккаунта, а для его восстановления ему необходимо было отправить SMS на некий короткий номер. В результате, сообщение отправило множество людей, а злоумышленники очень быстро монетизировали эту кибер-атаку, получив прямую прибыль. Кроме того, они получили аккаунты пользователей, которые тоже можно было использовать, например, рассылать спам «В контакте», заманивать пользователей на вредоносные или фишинговые сайты.

«SMS-мошенничество является абсолютным российским феноменом, в таких масштабах нами нигде больше не зафиксированным, - рассказывает старший вирусный аналитик «Лаборатории Касперского» Денис Масленников. - Все началось в мае прошлого года, когда мы стали чаще регистрировать программы, управляющие маршрутизацией SMS на короткие номера. Осенью 2008 года была опубликована полугодовая отчетность «Лаборатории Касперского», в которой мы указывали, что злоумышленники активизировались на рынке SMS-платежей и намерены использовать его в своих корыстных целях. По сути, именно с этого момента мобильные угрозы стали коммерциализироваться».

Стоимость таких сообщений варьируется от $3 до $10 и в России любой желающий абсолютно анонимно способен стать участником системы SMS-биллинга, при этом существует масса провайдеров, располагающих подобными короткими номерами. Люди регистрируются, получают некий префикс и на этот номер уже способны принимать SMS-сообщения. Из-за потери незначительной суммы никто в суд не обращается, в результате не было не только ни одного уголовного дела по SMS-мошенничеству, но даже не проводилось реальных расследований подобных инцидентов. Обычно все дело заканчивается блокированием контент-провайдером этого префикса, при этом, что происходит с потерянными деньгами, непонятно вообще.

«Если говорить о распространении вредоносного ПО на другие электронные устройства, то одним из самых интересных инцидентов этого года стала история с троянским вирусом в банкоматах, - говорит старший вирусный аналитик «Лаборатории Касперского» Сергей Голованов. - Недавно закончившийся над злоумышленниками суд, которые только по официальным данным украли около 10 млн рублей, приговорил их к 5 годам условного заключения и штрафу в 100 тыс. рублей, что явно является слишком мягким наказанием. Кроме того, в начале этого года мы зафиксировали вредоносную программы для операционной системы Symbian, распространяемую для смартфонов в Китае. Червь размножался элементарно, посылая SMS-сообщение всему контактному листу в телефоне со ссылкой для скачивания себя под различными предлогами. Месяц назад появилась новая версия этого вируса, распространившаяся помимо Китая и на Ближнем Востоке, где помимо простого размножения посредством SMS, он подключался к вредоносному серверу и обновлял образцы спам-сообщений. По сути, это уже зачатки для мобильного ботнета». Кроме того, уже существуют вредоносные программы, которые детектируются, не смотря на то, что они выдают себя за легальные, и которые являются полноценными шпионскими программами, ведущими лог всех ваших сделанных звонков, сообщений, передавая эту информацию на некий удаленный сервер злоумышленников. С начала 2009 года, количество подобных вредоносных программ на основе платформы Java, позволяющей охватить очень большую мобильную аудитории, стабилизировалось, при этом, особенностью всех Java-интерпретаторов является обязательное уведомление пользователя перед запуском программы или любой ее активностью. «Если бы пользователи внимательно смотрели на эти запросы, а не просто без малейших раздумий отвечали бы «Да», то можно было бы избежать множества проблем» - заключает Сергей Голованов.

Еще одной тенденцией этого года, стало появление т.н. буткитов, - вредоносных программ, размещающих свою загрузочную часть в boot-секторе диска и получающих управление компьютером еще до старта самой операционной системы, что позволяет обходить любую антивирусную защиту.

Александр Гостев: «В итоге, мы видим два варианта развития событий: либо антивирусная индустрия движется в сторону развития гипервизоров (виртуализация), и антивирус становится монополистом, внутри себя запускающим всю операционную систему, либо мы движемся в сторону неких аппаратных решений, когда антивирусная программа будет проверять систему еще до ее загрузки. Саму виртуализацию мы уже частично используем в некоторых наших продуктах (в частности, в Kaspersky Internet Security 2010 (KIS)), где существует некий эмулятор, создающий виртуальную среду с наличием системных файлов, запущенными программами и т.д. Запуская инфицированный файл в такой виртуальной среде, наблюдая за его дальнейшими действиями и проводя эвристический анализ, можно определить его предназначение и степень вредоносности».

Виртуализация интересна еще и тем, что вирусописатели разрабатывают свои программы таким образом, чтобы они перед запуском проводили анализ наличия виртуальной машины, а в случае ее обнаружения, просто не запускались. В настоящее время крупные компании все чаще переходят на более бюджетные формы ИТ-инфраструктуры, используя технологию виртуализации, поэтому все вредоносные программы с описанной выше логикой действий, там просто перестают работать. Но, в целом, если еще несколько лет назад, виртуализация казалась панацеей, которая может почти полностью защитить от любых кибер-угроз, то теперь становится понятно, что злоумышленники просто так не сдадутся и впоследствии может появится вирус, способный перемещаться из физических машин в виртуальные.

«Вопрос здесь в другом, - говорит Александр Гостев. - Какое распространение получит такой вирус? Например, уже сейчас вирусописатели могут снабжать буткитом каждый вирус, чтобы он загружался еще до запуска операционной системы, но они этого не делают, потому что им достаточно простого изменения файла host. В итоге за меньшие деньги, они получают сходный эффект, но антивирусная индустрия научилась с этим бороться, например, продукты Лаборатории Касперского детектируют такие вредоносные hosts файлы».

Профессионально-технический уровень вирусописателей снижается, но их вредоносные программы работают, не смотря на простоту, все более эффективно. Кроме того, по существующей статистике, новая вредоносная программа в мире появляется каждые 2 секунды, поэтому частота обновлений антивирусных баз показывает скорость реакции компании на изменение ситуации с кибер-угрозами.

Александр Гостев: «Тенденция такова, что нужно сводить время выпуска обновлений до нескольких минут, а то и секунд. Именно эту задачу решает Kaspersky Security Network (KSN), при помощи которого у нас есть реальная возможность поставлять на компьютер пользователя детектирование в срочный случаях, буквально, в течение нескольких секунд с момента обнаружения этого вируса нами. Мы бы никогда не стали 5-й антивирусной компанией в мире без этого, более того, все остальные лидеры потянулись за нами».
По наблюдению специалистов «Лаборатории Касперского», уровень компьютерной грамотности пользователей рунета постоянно снижается. Компания пытается противостоять этой тенденции, развивая образовательные проекты «антивирусная школа» и «антивирусная академия». В их рамках организуются различные семинары и уроки в школах, есть собственный web-сайт, где проводятся различные конкурсы, обучение детей основам компьютерной грамотности. Сейчас приближается к концу региональная программа «Правила безопасного Интернета», инициированная «Лебораторией Касперского» и поддержанная Минкомсвязи, в рамках которой прошли региональные круглые столы и конференции. Конечно, у компании есть и свои интересы, - возможно, в дальнейшем, кто-то из участников этих программ станет ее сотрудниками, потому что вирусных аналитиков в России не готовит пока ни один ВУЗ.

Справка:
«Лаборатория Касперского» — один из самых популярных в России производитель систем защиты от вирусов, спама и хакерских атак. Компания входит в пятерку ведущих мировых производителей программных решений для обеспечения информационной безопасности. Партнерская сеть компании объединяет более 700 партнеров первого уровня более чем в 100 странах мира. Технологии компании защищают более 250 млн пользователей во всем мире. «Лаборатория Касперского» — это международная группа компаний с центральным офисом в Москве и пятью региональными дивизионами, через которые осуществляется управление деятельностью локальных представительств и партнеров компании в соответствующих регионах: в Западной Европе, Восточной Европе, на Ближнем Востоке и в Африке, в Северной и Южной Америке, Японии и других странах Азиатско-Тихоокеанского региона. Среди клиентов компании Центральный Банк РФ, Сбербанк, Татнефть, Министерство экономического развития РФ, Министерство юстиции, Министерство финансов РФ (Федеральное казначейство), МВД России и другие.