План антивирусной обороны. Компании, занимающиеся информационной безопасностью, подвели итоги боев 2014 года и сделали прогноз на следующий

Итоги кибератак в 2014 году

В уходящем году зафиксировано более 16 миллионов попыток заражения компьютеров с операционной системой Windows вредоносным банковским программным обеспечением (ПО). Кроме того, было обнаружено более 12 тысяч мобильных банковских троянцев, при помощи которых пользователи Android подверглись атакам в 90 странах мира.

В целом в течение года с мобильными угрозами столкнулся каждый пятый пользователь платформы Android, и в 53 процентах случаев в атаках применялись банковские и смс-троянцы. Интересно, что общее количество смс-троянцев, традиционно составляющих большинство в рейтинге мобильных угроз, в этом году сократилось на 12 процентов.

Эксперты «Лаборатории Касперского» связывают этот спад с изменением ситуации с платными сообщениями в России — теперь операторы сотовой связи обязаны уведомлять пользователя о стоимости платных сообщений, а тот в свою очередь должен подтверждать операцию. Это обстоятельство исключает сокрытие факта отправки платного смс, чем раньше активно пользовались злоумышленники.

«Одно из центральных событий года — обнаружение масштабной кибератаки "операция Windigo", направленной на веб-серверы под управлением Linux (свыше 60 процентов рынка серверов) и пользовательские устройства на базе ОС Windows», — говорит Артем Баранов, ведущий вирусный аналитик компании ESET Russia.

По его словам, эта кампания не имеет аналогов с точки зрения сложности, возможностей инфраструктуры и масштаба заражения. За неполные три года киберпреступники установили контроль над рекордным числом веб-серверов — 25 тысяч, каждый день под угрозой заражения находилось более 500 тысяч компьютеров. Эта кибератака показывает истинные масштабы организованной киберпреступности.

Что касается мобильной платформы Android, то ничего принципиально нового эксперты ESET в текущем году не заметили. Изначально небезопасная архитектура этой ОС открывает перед злоумышленниками большие возможности, чем они и пользуются, полагают в компании.

Самыми популярными были вредоносные программы, подписывающие пользователя на платные рассылки и рассылающие платные смс. Платформы iOS, Windows Phone 8.1 и Windows RT по-прежнему считаются наиболее безопасными ОС. Для iOS в этом году появилось несколько вредоносных программ, но все они ориентированы на устройства, прошедшие операцию jailbreak.

Согласно предварительным данным компании Positive Technologies, по сравнению с прошлым годом ситуация изменилась незначительно. Этот год характерен тем, что было много наделавших шума серьезных уязвимостей, таких как Heartbleed и Shellshock. Но именно из-за известности подобных уязвимостей компании их относительно быстро устраняли.

«При этом, устраняя одни прорехи, компании забывают о других: получить доступ к важным системам по-прежнему можно через такие классические уязвимости, как ошибки в коде веб-приложений и словарные пароли, а повысить привилегии во внутренней сети до максимальных практически везде можно в считаные часы из-за недостаточной защиты учетных записей администраторов (в частности, из-за отсутствия двухфакторной аутентификации)», — добавляет Евгения Поцелуевская, руководитель отдела аналитики Positive Technologies.

Что касается ситуации с угрозами в интернете в целом, то в этом году было обнаружено более 123 миллионов уникальных вредоносных объектов. Атакам в сети за последние 12 месяцев подверглись более 38 процентов компьютеров на платформе Windows.

Пользователи компьютеров на базе Mac OS X традиционно страдали от киберугроз меньше других, однако и среди них количество попыток заражения в 2014 году внушительное — около четырех миллионов. Таким образом, атаке подвергся каждый второй пользователь продуктов компании Apple, а на одного человека пришлось в среднем девять угроз. Кроме того, в этом году был обнаружен первый шифровальщик файлов на OS X и первый похититель биткоинов для Mac-платформы.

По словам Сергея Ложкина, антивирусного эксперта «Лаборатории Касперского», ситуация с киберугрозами продолжает стремительно меняться. В середине 1990-х защитные продукты обеспечивали безопасность лишь настольных ПК, а количество вирусов вряд ли превышало пять тысяч. Сегодня же пользователи все чаще выходят в интернет с мобильных устройств и все чаще выполняют на своих смартфонах и планшетах операции, ранее проводимые лишь при помощи компьютера. Соответственно, смещается и поле угроз.

«В 2014 году уровень опасности при серфинге в интернете с традиционного компьютера снизился на три процентных пункта, но с другой стороны количество атак на пользователей мобильных устройств увеличилось в разы по сравнению с предыдущим годом. Одно остается неизменным — интернет все так же играет роль основного источника вредоносных объектов для пользователей большинства стран мира», — отметил Ложкин.

По мнению Сергея Гордейчика, заместителя генерального директора Positive Technologies по развитию технологий, в этом году также произошел перелом в отношении к кибербезопасности как в обществе, так и со стороны государства и бизнеса. Откровения Эдварда Сноудена, практические доказательства масштабных киберопераций спецслужб и криминальных синдикатов, взломы и уязвимости сим-карт, систем управления солнечными электростанциями и даже спутников, прослушка сотовых переговоров ведущих политических деятелей — все это заставляет задуматься о том, какую роль IT-технологии и их защищенность играет в современном мире.

Бизнес под угрозой

Что касается корпоративного сегмента, то за 2014 год число организаций, подвергшихся сложным таргетированным атакам, выросло в 2,4 раза — за последние 12 месяцев более чем 4,4 тысячи крупных структур по меньшей мере в 55 странах стали целью киберпреступников. Кроме того, были зафиксированы масштабные мошеннические операции, повлекшие потери миллионов долларов.

Также были раскрыты таргетированные кампании как минимум в 20 различных секторах рынка, включая государственные, энергетические, исследовательские, индустриальные, здравоохранительные, строительные, телекоммуникационные и другие фирмы.

В частности, киберпреступники перехватывали пароли, файлы, геолокационную информацию, транслировали аудиоданные, делали снимки экранов, контролировали веб-камеры. Скорее всего, в некоторых случаях атаки имели поддержку государственных структур — например, кампании «Маска» и Regin. Другие с большей вероятностью осуществлялись профессиональными группировками кибернаемников: HackingTeam 2.0, Darkhotel, CosmicDuke, Epic Turla и Crouching Yeti.

Regin в свою очередь является первой обнаруженной вредоносной платформой, которая вдобавок к стандартным шпионским возможностям может проникать в GSM-сети и осуществлять слежку за звонками и передаваемыми сообщениями. Также необычную тактику применили киберпреступники, стоящие за операцией Darkhotel, когда хакеры взламывали Wi-Fi-сети десятков отелей и атаковали остановившихся там на время деловой поездки высокопоставленных лиц — генеральных директоров, вице-президентов, управляющих продажами и маркетингом. Regin и Darkhotel объединяет то, что обе операции были активны в течение десятка лет, что делает их одними из самых продолжительных за всю историю подобных атак.

Все вышеперечисленные кампании нацеливались на ценные данные компаний и должностных лиц, однако злоумышленников интересовали и деньги. В июне 2014 года были атакованы клиенты крупного европейского банка, что привело к краже полумиллиона евро всего за неделю. Но самой необычной операцией, связанной с банковским сектором, можно назвать серию атак в Восточной Европе — преступники с помощью зловреда Tyupkin заражали банкоматы, работающие под управлением Windows XP, после чего получали над ними полный контроль и опустошали содержимое.

Опасения на 2015 год

По мнению экспертов «Лаборатории Касперского», атаки с целью получения доступа к аккаунтам онлайн-банкинга и подмены платежных реквизитов продолжатся, однако этот «рынок» уже не настолько прибыльный, как раньше: на нем наблюдается переизбыток атакующих, а многие пользователи и сервисы научились обеспечивать защиту транзакций. Поэтому, скорее всего, обычные киберпреступники будут брать на вооружение опыт хакерских группировок, выполняющих сложные таргетированные атаки. При этом внимание переключится с пользователей на сами финансовые организации. В случае успешной атаки на банк хакеры смогут удаленно управлять выдачей денег в банкоматах, выполнять денежные переводы и незаметно манипулировать системой онлайн-банкинга.

Не исключено, что отдельный вектор атаки нацелится на банкоматы. Крупные группы преступников разделятся на более мелкие, действующие независимо группировки. Тому способствует нарастающий интерес властей к сводным хакерским формированиям — в частности, ФБР публикует данные об участниках, что повышает риск их обнаружения. Снижение числа участников в группе приведет к увеличению общего количества подобных команд — следовательно, атакам подвергнутся еще больше компаний.

Кроме того, несмотря на старания Apple, в торрентах и пиратских установочных пакетах наблюдается рост числа вредоносных программ для компьютеров Mac. Зловредам сложно проникнуть в закрытую систему без ведома пользователя, поэтому злоумышленники предпочитают объединять их с утилитами, пользующимися популярностью — чаще всего, это генераторы ключей для легитимного коммерческого ПО. А так как большинство владельцев Mac убеждены в безопасности своей системы и не защищают их специальными решениями, зловреды могут контролировать их компьютеры, включенные в глобальные ботнеты, годами без ведома пользователя — в 2015 году вполне вероятно продолжится рост подобных ботнетов.

По мнению Сергея Гордейчика, учитывая сложную геополитическую обстановку, «холодная кибервойна» будет наращивать масштаб и интенсивность.

«Следующий год должен показать, насколько те направления, которые государство и бизнес обозначило в качестве приоритетных, действительно актуальны. Напомню, что в 2012-2014 годах в России было начато несколько масштабных проектов под эгидой Совбеза, Минкомсвязи и ФСБ, включая повышение устойчивости российского сегмента интернета, перенос систем, обрабатывающих персональные данные, на локальные сервера, а также построение государственной системы компьютерных атак. Сейчас эти проекты вышли из "бумаги" и находятся в стадии НИОКР, и должны показать результаты в следующем году», — отметил он.

В ESET также ожидают в следующем году новые виды так называемого кибероружия.