Для «традиционной» киберпреступности по-прежнему основными способами нелегального заработка остаются кражи учетных записей систем онлайн-банкинга, рассылка спама, организация DDoS-атак, вымогательство и мошенничество. Наиболее явно эти методы проявились именно в России, которую продолжает захлестывать настоящий вал угроз в социальных сетях, «банковские» троянские программы и бесчисленные «блокировщики Windows».
Значительно ухудшилась ситуация в области угроз для мобильных телефонов. Стремительный рост количества устройств на базе платформы Android повлек за собой столь же взрывной эффект и в отношении вредоносных программ для них. Впервые появившись чуть более года назад (в августе 2010 года), троянские программы, функционирующие на Android, уже обошли по своему количеству развивавшиеся несколько лет угрозы для Symbian и уже насчитывают несколько сотен различных вариантов. Вне всякого сомнения мы стоим на пороге значительных вирусных эпидемий на мобильных Android-устройствах.
Угрозы для персональных компьютеров продолжали развиваться в сторону обхода существующих механизмов защиты, реализованных как в ОС Windows, так и в антивирусных программах. В 2011 году мы столкнулись, причем в эпидемиологическом масштабе, с заражением загрузочных записей (MBR и VBR), а троянская программа MyBios продемонстрировала возможности заражения на уровне BIOS.
DDoS-атаки в 2011 году использовались многократно и с самыми разными целями. Наиболее громкие атаки в мировом масштабе были связаны с деятельностью групп Anonymous и LulzSec. В России же наиболее известными атаками стали инциденты с популярным сервисом блогов LiveJournal. Однако основное число атак пришлось на предприятия реального сектора услуг, интернет-магазины и игровые ресурсы.
К сожалению, несмотря на значительно выросший профессиональный уровень правоохранительных органов, приостановить этот поток угроз пока не удается.
Целевые атаки
В области атак на организации, правительственные и военные структуры 2011 год стал самым громким за последние много лет. Сложившаяся ситуация в точности повторила прогноз экспертов «Лаборатории Касперского» о том, что все больше и больше угроз будет происходить со стороны относительно новых организаторов. Наиболее выраженными «игроками» стали различные движения хактивистов, государственные структуры ряда стран мира, а также сами бизнес-структуры, активно использующие методы кибершпионажа за конкурентами.
Специфика целевых атак такова, что они крайне трудно обнаруживаются. Однако в случае обнаружения организация-жертва старается скрыть факт атаки. Зачастую это неразглашение информации вызвано объективными причинами, такими как необходимость ответной «игры» с атакующими или попытка вернуть украденные данные тем или иным способом.
В целом необходимо признать, что в области защиты корпоративных пользователей сложилась парадоксальная ситуация – они защищены хуже, чем персональные пользователи и более уязвимы даже для крайне примитивных атак. Причинами этого парадокса является то, что если для каждого персонального пользователя уровень его защиты определяется только в зависимости от тех мер, которые предпринимает он сам, то уровень защиты любой организации определяется по наиболее «слабому» звену.
Уже первый квартал 2011 года задал темп всему году, начавшись с ряда серьезных атак на различные организации. Наиболее громкими стали взломы компаний HBGary и RSA. Кроме этого жертвами различных инцидентов стали BMI, Lush, сайты Play.com, wiki.php.net и т.д. В результате успешных атак в руках злоумышленников оказалась различная информация (в том числе персональные данные пользователей), которая, хотя и не дает возможности быстрого обогащения, но представляет интерес для киберпреступников.
В случае с HBGary и RSA впервые объектами атак стали компании, специализирующиеся в области IT-безопасности. Задача взлома компаний, занимающихся IT-безопасностью, с технической точки зрения очень непроста. Примечательно, что обе эти атаки были осуществлены двумя разными «источниками» из числа тех о которых мы как раз говорили – в одном случае ответственность взяли на себя представители движения Anonymous, во втором случае (с RSA) эксперты, расследовавшие инцидент, склоняются к «китайскому» следу.
После атаки на HBGary огромное количество конфиденциальной информации было выложено в открытый доступ. Именно удар по репутации компании, которым стала огласка взлома, и был основной целью злоумышленников.
Атака на RSA происходила по классической схеме – целевые атаки по электронной почте на ряд сотрудников компании. Сыграл свою роль и человеческий фактор. Злоумышленники разослали сотрудникам компании xls-файл c названием «2011 Recruitment Plan.xls», надеясь, что хоть один человек, получивший письмо, откроет файл. Их расчет оказался верен: один из сотрудников RSA открыл злополучный файл, содержащий zero-day эксплойт, что позволило злоумышленникам получить контроль над его компьютером и прорваться сквозь мощную защиту корпоративной сети.
Взлом RSA впоследствии оказался только первым звеном длинной цепи запланированных атак. Главной целью была компания Lockheed Martin, один из крупнейших производителей военной техники и подрядчик Министерства обороны США. Ряд данных, украденных в ходе атаки на RSA, затем был использован для попытки проникновения в сеть этой компании и еще нескольких американских организаций, также связанных с оборонной промышленностью. Однако, по сообщениям американских экспертов, эти атаки были успешно отражены.
Второй квартал 2011 года оказался еще более насыщенным инцидентами, связанными со взломом крупных компаний, чем первый. В список пострадавших вошли такие компании, как Sony, Honda, Fox News, Epsilon, Citibank. В большинстве случаев была украдены данные клиентов компаний.
Персональные данные множества пользователей могут быть интересны и киберкриминалу (для проведения различного рода атак, в особенности целевых), и некоторым легальным коммерческим структурам. При этом нет никакой информации о продаже этих данных на черном рынке или использовании злоумышленниками. Такое поведение хакеров говорит о том, что заработать на продаже краденой информации не было их главной целью.
Второй квартал 2011 года многим запомнится одной из самых крупных утечек персональных данных, произошедшей в результате взлома сервисов, принадлежащих компании Sony: PlayStation Network, Qriocity и Sony Online Entertainment. По оценкам самой Sony, в руках злоумышленников могли оказаться данные 77 миллионов (!) пользователей сервисов PSN и Qriocity. Несколько недель, пока велось расследование инцидентов и шло обновление системы безопасности, сервисы Sony были недоступны по всему миру, что, естественно, вызвало негодование клиентов компании. Когда пришло время возобновления работы сервисов, пользователи должны были восстановить свои аккаунты, используя для идентификации в том числе некоторые персональные данные, которые могли быть украдены в ходе атаки. При этом важно отметить, что никакой информации от пользователей об инцидентах при восстановлении аккаунтов не поступило.
Помимо личных данных пользователей, подобные сервисы хранят данные кредитных карт клиентов, которые пользовались их платными услугами. Однако компания заявила, что в руках хакеров может быть только часть информации о кредитных картах без кода cvv2, а именно номер карты и срок ее действия. Опять же, никаких новостей о том, что эта информация была использована или продана в злонамеренных целях, не было.
Корпоративный шпионаж и разведывательная деятельность, ведущиеся в Сети разных стран мира, постепенно входят в число наиболее широко освещаемых проблем информационной безопасности, вытесняя в этом смысле традиционную киберпреступность. Однако из-за новизны темы и ее относительной закрытости для широкой публики при ее освещении часто появляется нежелательный налет сенсационности.
В августе IT-сообщество было взбудоражено сообщением компании McAfee (год назад купленной корпорацией Intel) о том, что ими зафиксирована чуть ли не крупнейшая кибератака в истории, длившаяся более пяти лет и охватившая множество организаций в разных странах: от военных подрядчиков министерства обороны США до спортивного комитета Вьетнама. Атака получила название Shady Rat. Все бы хорошо, но публикация этой информации удивительным образом не только совпала с открытием конференции BlackHat в Лас-Вегасе, но еще и была подкреплена специальной статьей в журнале Vanity Fair. Согласитесь, эксклюзивный материал об угрозе национальной безопасности в модном журнале – это необычный для индустрии безопасности путь информировать общественность о недавно обнаруженных проблемах.
При ближайшем рассмотрении оказалось, что, во-первых, «обнаруженный исследователями» сервер злоумышленников был уже несколько месяцев известен аналитикам из многих других антивирусных компаний. Во-вторых, на момент публикации сервер продолжал функционировать, при этом содержал практически всю информацию, на основе которой McAfee подготовила отчет, в публичном доступе. В-третьих, шпионские программы, при помощи которых якобы осуществлялась самая сложная и массовая атака в истории, уже многие годы детектировались многими антивирусами простыми эвристическими методами. Кроме перечисленных пунктов были и другие, также вызывавшие вопросы. Эти вопросы были публично заданы, в том числе и экспертами «Лаборатории Касперского».
Исследование экспертов «Лаборатории Касперского» позволяет утверждать, что Shady Rat не является ни самой долгой, ни самой крупной, ни самой изощренной атакой в истории. Более того, по мнению экспертов, недопустима публикация информации о любых атаках без описания всех используемых компонентов и технологий, поскольку такие ограниченные публикации не дают возможности специалистам принять соответствующие меры по защите своих ресурсов.
Еще более ответственно следует подходить к вопросу публикации информации, когда это касается так называемых APT (Advanced Persistent Threat), в последнее время ставших у экспертов по IT-безопасности, и в СМИ столь же любимым словом, как «кибервойны» и «кибероружие». Однако в этот термин все вкладывают разный смысл. Впрочем, вопрос терминологии имеет второстепенное значение, если речь на самом деле идет о случаях корпоративного шпионажа или действиях спецслужб. В таких случаях гораздо важнее то, что излишнее внимание к теме и преждевременная публикация информации может сорвать расследование и нанести еще больший ущерб жертвам атак.
Объектами целевых атак в 2011 году в основном были американские компании и ведомства, однако и другие страны мира также пострадали от крайне серьезных инцидентов. На этом фоне особо выделяется история с атакой против японской корпорации Mitsubishi Heavy Industries, которая помимо всего прочего является производителем военной техники.
Информация об атаке на японскую корпорацию Mitsubishi появилась в середине сентября, однако проведенное расследование показало, что вероятнее всего началась она еще в июле и находилась в активной фазе в августе.
По данным, обнародованным в японской прессе, было заражено около 80 компьютеров и серверов заводов, которые занимаются производством оборудования для подводных лодок, ракет и атомной промышленности. Например, вредоносные программы обнаружили на судостроительном заводе в Кобе, специализирующемся на производстве подводных лодок и компонентов для атомных станций. Атаке хакеров подверглись заводы в Нагое, где делают ракеты и ракетные двигатели, а также завод в Нагасаки, производящий сторожевые корабли. Кроме того, зловреды были обнаружены и на компьютерах головного офиса компании.
Экспертам «Лаборатории Касперского» удалось получить образцы вредоносных программ, использованных в этой атаке. Теперь можно с уверенностью утверждать, что эта атака была тщательно спланирована и проведена в соответствии со сценарием, классическим для подобных угроз. В конце июля ряду сотрудников Mitsubishi злоумышленники направили письма, содержащие PDF-файл, который представлял собой эксплойт уязвимости в Adobe Reader. После открытия файла происходила установка вредоносного модуля, открывающего хакерам полный удаленный доступ к системе. В дальнейшем с зараженного компьютера хакеры проникали все дальше в сеть компании, взламывая необходимые им серверы и собирая интересующую их информацию, которая затем пересылалась на хакерский сервер. Всего в ходе атаки использовалось около десятка различных вредоносных программ, часть которых была разработана с учетом организации внутренней сети компании.
В ходе расследования, проводимого токийской полицией, выяснилось, что на 83 компьютерах, ставших объектами атаки, было обнаружено около 50 различных вредоносных программ. Только на одном из этих компьютеров их было найдено 28. Также было установлено, что хакеры совершили более 300 000 обращений к зараженным системам. Поиск источников атаки выявил еще один зараженный компьютер, принадлежащий Society of Japanese Aerospace Companies (SJAC). Именно с него хакеры отправляли вредоносные письма на машины в компаниях Mitsubishi Heavy и Kawasaki Heavy. К самому же компьютеру атакующие обращались через анонимный прокси-сервер в США, тем самым тщательно заметая все следы. Несмотря на это, японские эксперты продолжают придерживаться версии о «китайском» происхождении хакеров.
Первоначально было заявлено, что конфиденциальная информация не была похищена. Но затем в ходе расследования, которое длилось почти месяц после инцидента, в прессу попала информация о том, что хакерам все-таки удалось украсть данные о разработках реактивных истребителей, а также чертежи ядерных электростанций.
Кроме атаки на Mitsubishi Heavy Industries в Японии широкую известность получила целевая атака против членов нижней палаты японского парламента и ряда дипломатических миссий этой страны по всему миру. В парламенте оказались заражены 32 компьютера, и хакеры могли получить (и, вероятно, получили) доступ к внутренним документам и всей электронной переписке парламентариев. Вирусы также были обнаружены на компьютерах в посольствах Японии во Франции, Нидерландах, Мьянме, США, Канаде, Китае и Южной Корее. Вредоносные программы общались с двумя серверами, расположенными в Китае, которые злоумышленники ранее уже использовали в атаках против компании Google.
Что же касается России, то ее компании и ведомства также все чаще становятся объектами целевых атак. В настоящее время наиболее выражены атаки именно против различных государственных структур, а также научно-исследовательских институтов. Атаки связанные с промышленным шпионажем относительно редки, а информация о них остается без публичного оглашения.
Наиболее серьезным и массовым инцидентом такого рода в России стала атака Lurid. Инцидент был раскрыт в ходе расследования, проведенного специалистами компании TrendMicro. Им удалось перехватить обращения к нескольким серверам, которые использовались для управления сетью из полутора тысяч взломанных компьютеров, расположенных в основном в России, странах бывшего Советского Союза, а также Восточной Европе.
Благодаря помощи коллег из Trend Micro экспертам «Лаборатории Касперского» удалось проанализировать списки российских жертв. Анализ показал, что и здесь речь идет о целевых атаках на конкретные организации, причем весьма специфические. Атакующих интересовали предприятия авиакосмической отрасли, научно-исследовательские институты, ряд коммерческих организаций, государственные ведомства и некоторые средства массовой информации.
Инцидент Lurid затронул сразу несколько стран и начался как минимум в марте этого года. Как и в случае с Mitsubishi, на первом этапе атаки использовались письма в электронной почте. И в этом инциденте также нельзя достоверно установить объем и содержание данных, которые могли быть украдены хакерами, но список целей атаки говорит сам за себя.
Хактивизм
На протяжении всего этого года можно было наблюдать небывалый всплеск активности компьютерных злоумышленников, движимых не просто жаждой наживы, а жаждой мести к политикам, госорганам, большим корпорациям и государствам. Политически мотивированные хакеры проникали в самые охраняемые системы, публиковали данные о сотнях тысяч людей по всему миру, а самые технологически развитые системы находились под постоянным DDoS-ом со стороны крупных ботнетов.
Государственные ресурсы Канады, Франции и Южной Кореи подверглись атакам хакеров в первом квартале. Если при атаках на частные компании злоумышленники, как правило, преследуют денежную выгоду, то цель атак на различные государственные структуры не столь прозрачна. В Канаде и во Франции целью злоумышленников были засекреченные документы. В Южной Корее атаке подверглись принадлежащие правительству аккаунты в Twitter и YouTube. Как и в случае с Anonymous и HBGary, мотивацией для совершения атаки послужила не жажда наживы. Действия взломщиков по большей части являлись акциями протеста против тех или иных решений организаций и органов государственной власти. Поскольку интернет прочно вошел в нашу жизнь, то он постепенно становится не только важной частью глобального информационного поля, но и ареной политической борьбы.
Волна «хактивизма» — взлома или вывода из строя каких-либо систем в знак протеста против действия государственных органов или больших корпораций — была особенно сильна в середине 2011 года.
Во втором квартале на сцене появилась новая группировка LulzSec, за 50 дней своего существования успевшая взломать множество систем и опубликовать личную информацию десятков тысяч пользователей.
Как и в случае с группой Anonymous, действия LulzSec не были финансово мотивироваными. Сами представители группировки утверждают, что они взламывали серверы компаний просто «смеха ради». При этом, в отличие от Anonymous, новая группировка более активно использовала социальные медиа, в том числе Twitter, для оповещения мира о своих действиях.
Под удар LulzSec попали и крупные корпорации, такие как Sony, EA, AOL, и государственные органы: сенат США, ЦРУ, SOCA UK и т.д. Информация, которая попадала в руки LulzSec в результате атак, публиковалась на их сайте, а затем выкладывалась в torrent-сети. Чаще всего это были персональные данные пользователей.
Будет не лишним разобраться, каким образом группировка могла проникать внутрь защищенных систем. Многие атаки могли быть совершены с использованием уже известных механизмов для автоматического поиска уязвимостей, в том числе SQL-инъекций. Получив доступ к данным, хранившимся на наименее защищенном сервере, таким как логины и пароли/хеши паролей, хакеры могли использовать их для последующих взломов, ведь даже люди, имеющие права администраторов сетей, до сих пор часто используют один и тот же пароль для различных сервисов.
Со временем атаки LulzSec получили политическую окраску. LulzSec объединила усилия с группировкой Anonymous для организации ряда атак на государственные органы и крупные корпорации с целью публикации закрытых данных. В результате серии атак под общим названием «AntiSec» хакеры смогли получить доступ в том числе к данным полиции Аризоны. В открытом доступе была размещена переписка сотрудников, засекреченные документы, а также персональная информация и пароли некоторых сотрудников полиции. Сами представители группировки объявили, что они совершили эту атаку в знак протеста против решения сената Аризоны об ужесточении миграционной политики. ("We are targeting AZDPS specifically because we are against SB1070 and the racial-profiling anti-immigrant police state that is Arizona").
Естественно, все эти атаки не могли не привлечь внимания со стороны правоохранительных органов. В Испании было арестовано 3, а в Турции 32 человека по подозрению в причастности к атакам, организованным группой Anonymous. В конце июня LulzSec объявила о своем роспуске. Возможно, одной из причин этого роспуска стало расследование, которое активно ведется сразу в нескольких странах мира с целью выявления и поимки членов группировки.
Наиболее активно группа хактивистов Anonymous вела себя в июле и августе после ареста нескольких членов этой организации. Атакам подверглись итальянская киберполиция; ряд полицейских подразделений в США; Booz Allen Hamilton ― компания, работающая в том числе на правительство США; а также компании-подрядчики ФБР: ManTech International и IRC Federal. Также в списке жертв хактивистов значится и компания Vanguard Defense, занимающаяся разработкой военной техники. В результате атак хакерам стала доступна информация о сотрудниках и клиентах компаний, внутренние документы, переписка, а также засекреченные данные, которые позже выкладывались членами группы в открытый доступ на pastebin.com или торрент-трекеры.
Эти атаки стали местью хакеров за аресты ряда членов их группировок. В публичный доступ попали гигабайты приватной информации, причем в ситуации с итальянской киберполицией были обнародованы документы, вероятней всего изначально принадлежавшие индийскому посольству в России.
Позднее в США хакеры атаковали серверы транспортной системы Сан-Франциско и украли персональные данные 2 тысяч пассажиров, которые затем были опубликованы.
Среди политических взломов стоит отметить дефейсы правительственных сайтов в Сирии и Ливии, произошедшие на фоне продолжающихся гражданских столкновений в этих странах.
В сентябре Anonymous предпочла взломам компаний участие в организации гражданских акций протеста. Активные действия правоохранительных органов – арест не одного десятка лиц, причастных к атакам Anonymous, – все же заставляют задумываться желающих присоединиться к этому движению. Поэтому новобранцы избирают менее опасные формы протеста, которые в большинстве стран мира разрешены законом. Однако, учитывая отсутствие единого центра и общей политики у Anonymous, мы можем с уверенностью сказать, что «хакерское крыло» организации все равно продолжит свои атаки.
В 2011 году после серии расследований относительно атак на Sony, PayPal, Visa и MasterCard правоохранительными органами из Германии, США, Испании, Британии, Австралии и Турции арестовано свыше 100 человек. Примечательно, что после этих арестов, количество акций группы только увеличилось, а присоединение Anonymous к движению Occupy Wall Street способствовало только увеличению количеству членов этой группы и её популяризации в глазах общественности.
Анализируя причины, по которым технические специалисты совершают подобные противоправные действия, можно обратиться к статистике сайта Zone-h.com. На данном сайте злоумышленники могут зарегистрировать и увековечить свои достижения по модификации содержимого взломанных сайтов. К каждому подомному взлому прилагается опросник о причинах.
Причины взломов
Источник http://www.zone-h.org
Как видно, причина «для прикола» занимает первое место, что оправдывает имя группы LulzSec вставшая на сторону Anonymous для поддержки их громких взломов. Политические и патриотические причины идут на 4 и 5 месте, соответственно, что говорит нам, что по подобным причинам совершается каждый 10 взлом. В абсолютных цифрах с учетом всплеска активности злоумышленников в 2009 году это даёт нам более 100 000 взломов за 2011 год.
Рост количества взломов корпоративных систем
Источник http://www.zone-h.org
Duqu
Самой интригующей вредоносной программой года стал троянец Duqu, который, как предполагают эксперты, был написан создателями скандально известного червя Stuxnet. Также важно отметить, что если Stuxnet способен передаваться с одного компьютера на другой при помощи различных механизмов, Duqu – это троянская программа, которая, судя по всему, не размножается самостоятельно.
В отличие от Stuxnet, Duqu не нацелен на оборудование PLC/SCADA напрямую, хотя некоторые из его подпрограмм могли бы использоваться для кражи информации, имеющей отношение к промышленным объектам. Duqu, по всей видимости, предназначен для сбора конфиденциальной информации о его мишенях, что может включать практически любые данные, хранящиеся в цифровом формате на компьютере жертвы. Это его основное отличие от Stuxnet, главной целью которого были диверсии на промышленных объектах.
В ходе расследования «Лаборатории Касперского» были обнаружены несколько пострадавших от Duqu организаций, в основном в Иране и Судане. Эта географическая привязка, а также характер деятельности организаций, дает возможность предположить, что основной миссией Duqu был шпионаж за развитием ядерной программы Ирана.
Также как и в истории с Stuxnet, в деле Duqu не обошлось без использования неизвестных ранее уязвимостей в ОС Windows. Атакующие заражали интересующие их объекты, при помощи отправленного по электронной почте специально сформированного файла MS Word, в котором находился эксплойт уязвимости. При открытии этого документа происходила установка в систему троянца Duqu. После заражения атакующие начинали стадию сбора информации о системе и распространения троянца на другие компьютеры в локальной сети. По состоянию на декабрь 2011 года, уязвимость в win32k.sys, использованная Duqu, все еще не исправлена патчем от Microsoft.
Экспертам «Лаборатории Касперского» удалось получить доступ к нескольким серверам управления Duqu. Выяснилось, что атакующие тщательно удалили всю информацию с серверов 20 октября 2011, буквально спустя пару дней после того как о Duqu стало публично известно.
DDOS-атаки
Самая протяженная DDoS-атака, зафиксированная службой Kaspersky DDoS Prevention в России, продолжалась 80 дней 19 часов 13 минут 05 секунд и была нацелена на туристический сайт. Средняя продолжительность DDoS-атаки в России составила 9 часов 29 минут.
Летом и осенью 2011 года были зафиксированы две крупные волны DDoS-атак на сайты туристических фирм. Первая волна атак была приурочена к летним отпускам, когда жаждущие солнца и тихого моря пользователи активно искали пляжный отдых. В этот период злоумышленникам также заказывали DDoS сайтов, связанных с арендой и продажей квартир в теплых краях.
Вторая волна атак была связана с периодом новогодних праздников. В этот момент атакам чаще подвергали сайты турфирм, предлагающих туры в новогоднюю сказку и в места бурных рождественских гуляний, нежели в теплые страны.
По сравнению с месяцами туристического затишья в высокий сезон количество атак на сайты турфирм увеличивается в 5 раз. Можно с уверенностью сказать, что в оба сезона DDoS-атаки были заказными: фактически это тихие войны турфирм в киберпространстве. Заметим, что периоды DDoS-атак совпадают с периодами массовых спам-рассылок рекламирующих услуги туристических агентств. Все это говорит о том, что конкуренция в туристическом бизнесе такова, что некоторые игроки готовы использовать любые методы для переманивания и привлечения клиентов.
Заметим, что среди туристических компаний, ставших жертвами DDoS-атак, не было ни одного крупного туроператора. Все атаки были направлены на сайты турагентств, число которых значительно выше, в связи с чем конкуренция в этом сегменте значительно жестче.
Из интересных фактов стоит отметить резкий рост атак на сайты, предлагающие услуги такси, заправки картриджей и проституток. Стоит отметить, что эти же самые фирмы рассылают спам и, очевидно, имеют зацепки в теневом бизнесе и выходы на ботмастеров.
Лидером по количеству жертв в целом является сегмент интернет-торговли (онлайн-магазины, аукционы, доски объявлений о продаже и т.п.) – на эти сайты зарегистрировано 25% атак.
Распределение атакованных сайтов по категориям интернет-деятельности. Второе полугодие 2011
В предновогодний период количество атак на сайты, предлагающие товары, которые могут быть преподнесены в качестве подарков, постепенно увеличивалось. В поле деятельности атакующих часто попадали магазины торгующие ненужными безделушками для дома, бытовой техникой, электроникой, интересной одеждой для детей и взрослых, а также различными аксессуарами.
На втором месте сайты электронных торговых площадок. Зарабатывание денег с помощью нечестных приемов в финансовом мире не новость, и DDoS-атаки являются удачным подспорьем в этом деле. В том числе хакеров интересуют сайты через которые осуществляется размещение заказов для государственных и муниципальных предприятий.
Среди атак на СМИ интересно отметить такие цели, как сайты телевизионных каналов.
Доля атак на государственные сайты постепенно растет и во втором полугодии 2011 на долю таких атак пришлось 2%. Чаще всего в качестве цели хакеры выбирали сайты определенных правительств в регионах, а также официальные сайты городов. Мотивы для DDoS-а государственных сайтов могут быть разными, но в большинстве случаев это происходит в знак протеста против действий или бездействия властей.
В октябре получила продолжение история с DDoS-атаками на платежный сервис Assist. Владелец компании ChronoPay Павел Врублевский сознался в совершении DDoS-атак, в результате которых в 2010 году была приостановлена продажа электронных билетов через сайт крупнейшей авиакомпании России – Аэрофлота. Мотивом к совершению этого преступления мог служить тот факт, что Assist являлся конкурентом Chronopay.
С помощью DDoS-атаки владелец Chronopay, по всей видимости, хотел дискредитировать сервис конкурента и переманить крупного клиента, тем самым увеличив свою и так не малую долю (40%) на рынке процессинговых уcлуг.
По данным Аэрофлота, атака началась 16 июля 2010 года, и компания смогла возобновить продажи электронных билетов только через семь дней. Нейтрализация атаки заняла слишком много времени, поэтому Аэрофлот подписал контракт с Альфа-Банком.
В данный момент Павлу Врублевскому вменяются в вину правонарушения по статьям 272 и 273 УК РФ, по которым предусмотрело наказание вплоть до лишения свободы на срок до 7-ми лет.
Онлайн-банкинг
С каждым годом все больше пользователей интернет начинают открывать для себя онлайн-банкинг. Для тех, кто этой услугой пользуется давно, не надо рассказывать об угрозах, что несут вредоносные программы, нацеленные на хищение средств у клиентов банков, применяющих системы дистанционного банковского обслуживания. Но для новичков, начинающих пользоваться этой услугой не лишне будет знать, что для злоумышленников онлайн-банкинг – уже давно одно из самых привлекательных направлений, и с каждым годом угроз по этому вектору становится все больше и больше. 2011-ый год не стал исключением. Тем более, не так давно произошла утечка в сеть исходных кодов вредоносной программы ZeuS, созданной в том числе для хищения средств у зараженных пользователей онлайн-банкинга, что упрощает вирусописателям создание новых собственных банковских троянцев.
Банки внедряют дополнительные системы защиты (например, двухфакторная авторизация), дабы обеспечить безопасность средств на счетах пользователей. Но не всегда это помогает. Злоумышленники постоянно подстраиваются под такие системы, модернизируют свои подходы и программы. На хакерских форумах в сети также имеются предложения по обучению, как пользоваться средствами создания вредоносных программ, так или иначе приводящих к хищению денег у зараженных пользователей. Соответственно, это привлекает асоциальных личностей. В результате новых злоумышленников становится больше, и каждый плодит свои уникальные вредоносные программы. Всё это обуславливает всплеск количества угроз, нацеленных на пользователей онлайн-банкинга, в этом году.
Мобильные угрозы
2011 год стал одним из самых интересных и значимых за всю историю существования вредоносного ПО для мобильных устройств. Тому есть несколько причин. Во-первых, мы стали свидетелями значительного количественного роста зловредов для смартфонов. Во-вторых, гегемония вредоносных программ для платформы J2ME прекратилась, причем весьма стремительно «благодаря» повышенному вниманию вирусописателей к платформе Android. Это внимание создало ряд дополнительных проблем, о которых будет рассказано ниже. В-третьих, вредоносные программы перешли на новый, более «качественный» уровень, то есть стали сложнее и изощреннее. Хотя обогнать примитивные поделки русских и китайских вирусописателей им пока не удалось, и вряд ли удастся в ближайшее время.
В 2011 году эксперты «Лаборатории Касперского» обнаружили почти в 4 раза больше вредоносных программ, чем за предыдущие семь лет. Такой рост особенно хорошо виден на графике.
Рост числа угроз для мобильных устройств
Что касается распределения по платформам, то, как говорилось выше, J2ME перестала быть основной средой существования вредоносных программ для мобильных устройств. Причина достаточно очевидна: значительный рост популярности мобильных устройств, работающих под управлением ОС Android. Сегодня данная платформа уже является самой популярной операционной системой для мобильных устройств в мире.
Распределение по платформам
Что касается динамики появления угроз по платформам, то ситуация выглядит следующим образом.
Динамика роста угроз для мобильных платформ
Другими словами, основная «борьба» происходила между J2ME и Android. К концу года Android закрепился на позициях лидера, и крайне маловероятно, что данная ситуация изменится в ближайшем будущем. Возвращаясь на несколько лет назад, можно провести аналогию с популярностью Symbian у вирусописателей. В 2004, 2005, 2006 годах, когда имела место первая волна вредоносных программ для мобильных устройств, Symbian был единоличным лидером среди мобильных операционных систем. Сегодня таким лидером, как говорилось, является Android, что находит отражение в появлении и развитии новых угроз.
SMS-троянцы
Начало 2011 года «порадовало» многих пользователей мобильных устройств регулярными SMS спам сообщениями о том, что они получили MMS-подарок от некой Кати. Ничего удивительного в том, что этот «подарок» предлагалось загрузить, перейдя по ссылке в сообщении, не было. И ничего удивительного в том, что находящийся по ссылке JAR-файл оказывался на деле SMS-троянцем. Практически во всех зафиксированных нами рассылках вредоносные программы принадлежали к семейству Trojan-SMS.J2ME.Smmer. Эти троянцы достаточно примитивны по своему функционалу, однако учитывая масштаб рассылок и их регулярность, эта примитивность не помешала злоумышленникам заразить немалое количество мобильных устройств. По масштабности данные рассылки значительно превосходили все предыдущие. Десятки тысяч пользователей мобильных телефонов подвергались риску заражения регулярно.
До 2011 года SMS-троянцы в большинстве своем были нацелены на пользователей из России, Украины, Казахстана. Но ситуация изменилась. Китайские вирусописатели также нашли лазейки для создания и распространения SMS-троянцев. Однако «чистые» SMS-троянцы (то есть программы только с таким функционалом) не снискали высокой популярности. Функционал отправки SMS-сообщений на платные номера идет в довесок к прочему разнообразию поведений зловредов из Китая.
Также были зафиксированы первые атаки, нацеленные на пользователей из Европы и Северной Америки. Одним из «первопроходцев» стал троянец GGTracker, нацеленный на пользователей из США. Приложение маскировалось под утилиту для уменьшения расхода заряда аккумулятора смартфона, хотя на самом деле осуществляло подписку пользователя на платный сервис с помощью SMS-сообщений.
Еще одним ярким примером стало появившееся в ноябре семейство SMS-троянцев Foncy. Несмотря на примитивный функционал, Foncy стал первым зловредом, нацеленным исключительно на пользователей из Западной Европы (и Канады). Его особенностями стали, во-первых, «интернациональность». То есть зловред способен определять, к какой стране относится SIM-карта зараженного устройства, и уже в соответствии с этой информацией, отправлять нужное SMS-сообщение. А во-вторых, троянец также отправляет SMS-сообщения на обычный телефонный номер. Причем эти сообщения содержат тексты SMS, которые берутся из сообщений, пришедших с короткого номера. Очевидно, что целью злоумышленников являлось получение информации о количестве отправленных премиум SMS-сообщений и количестве зараженных устройств. Некоторые детали также указывают на то, что авторы данной вредоносной программы не базируются в России.
Android – развитие угроз
Взрывной рост числа вредоносных программ для всех мобильных платформ был обеспечен в основном за счет такого же взрывного роста числа зловредов под Android.
Динамика роста количества мобильных вредоносных программ и зловредов под Android
На графике видно, что во второй половине года (как раз тогда, когда число вредоносных программ начало расти ускоренными темпами), зловреды под Android составляют большинство обнаруженных вредоносных программ за каждый период.
Завершающийся год позволяет нам отметить следующую тенденцию. Все вредоносные программы для Android можно разделить на две большие группы:
• Зловреды, у которых есть цель «украсть» (деньги или информацию)
• Зловреды, у которых есть цель «контролировать» (устройство)
Уже по состоянию на октябрь порядка 34% всех вредоносных программ для Android так или иначе были нацелены на кражу персональной информации с устройства пользователя (контакты, логи звонков, SMS-сообщения, GPS-координаты, фотографии и прочее). Причем в основном на краже информации специализируются китайские киберпреступники. Однако стоит отметить, что их, в основном, интересует скорее информация об устройстве (IMEI и IMSI, страна, сам телефонный номер), нежели персональная или конфиденциальная информация.
Что касается кражи денег, то здесь по-прежнему в авангарде российские вирусописатели, которые начали массово создавать SMS-троянцев для Android. Появляются новые партнерские программы, позволяющие генерировать разнообразных SMS-троянцев и предоставляющие разнообразнейший набор инструментов и средств для их распространения (поддельные магазины приложений, QR-коды, скрипты, парковка доменов и так далее).
В 2011 году широкое распространение получили зловреды, преследующие своей целью контроль устройства. Китайские вирусописатели поставили создание бэкдоров на поток. Отдельно стоит отметить следующий момент: большинство этих бэкдоров содержат в себе эксплойты, которые преследуют одну цель – осуществить root устройства для того, чтобы у злоумышленника был полный удаленный доступ ко всему смартфону. Другими словами, после заражения и успешного срабатывания эксплойта, злоумышленник сможет удаленно осуществлять практически любые действия со смартфонов. Причем, большинство используемых эксплойтов давно известны и предназначены для уже устаревших версий ОС Android. Однако учитывая тот факт, что большинство пользователей крайне редко обновляют ОС, для киберпреступников существует масса потенциальных жертв.
Еще одной «головной болью» 2011 года стали вредоносные программы в официальном магазине приложений Android. Первый случай появления вредоносного ПО был зафиксирован в самом начале марта 2011 года, после чего зловреды начали появляться на Android Market с завидной регулярностью. Популярность Android и простота разработки программного обеспечения и его распространения через официальный источник, а также недостаточный анализ новых приложений на предмет вредоносности, сыграли злую шутку с Google. Злоумышленники не преминули воспользоваться всеми этими факторами, и в результате мы сталкиваемся с ситуациями, когда зловреды распространяются через Android Market не то что в течение часов или дней, а в течение недель и даже месяцев, что приводит к большому числу заражений.
Портрет российского пользователя в цифрах
Портрет среднестатистического российского пользователя на основании данных 14,6 млн россиян за 2011 год, полученных с помощью «облачной» системы мониторинга и быстрого реагирования на угрозы Kaspersky Security Network:
• Три четверти всех наших пользователей (11 из 14,6 млн) попадали в этом году на сайты, содержащие вредоносное ПО (включая мошеннические и фишинговые сайты).
• В отличие от всего прогрессивного мира он пользуется Windows XP (55% юзеров), а не более защищенной Windows 7 (40%).
• Чаще всего пользователи попадают на зараженные сайты, переходя по ссылкам с порносайтов (33% случаев), развлекательных сайтов (16%), развалов софта (14%) и из соцсетей (10%).
• Чаще всего он подвергается попыткам заражения на сайтах, расположенных на территории России (33%) и Германии (16%). Следом идут Голландия (11%), США (10%) и Украина (10%).
• В среднем у одного пользователя сканер уязвимостей «Лаборатории Касперского» обнаруживает на компьютере 11 уязвимостей в установленном софте.
• Они активно используются эксплойтами, использующими чаще всего уязвимости в Windows (у 19% пользователей), Adobe Reader (18%) или Java (17%).
• У большинства пользователей «Лаборатория Касперского» регистрирует срабатывание веб-антивируса в следующих браузерах: Internet Explorer (17%), Mozilla Firefox (14%), Google Chrome (11%) и Opera (8%).
• Дети среднестатистического российского пользователя настойчиво пытаются попасть на порно-сайты (76%), ресурсы, распространяющие бесплатный софт (64%), а также сайты с азартными играми (38%).
• Более чем у половины российских юзеров (56%) хотя бы раз в год срабатывает веб-антивирус. Это самый большой в мире показатель.
• У 61% срабатывает локальный детект, а всего антивирус срабатывает раз в месяц у 70% юзеров.
• 7% российских юзеров подвергаются фишинговым атакам. Чаще всего это происходит на поддельных интернет-сайтах, выдающих себя за Google (19% от всех фишинговых атак), Одноклассники (11%), ВКонтакте (10,5%), Mail.ru (10%), Microsoft (10%), Яндекс (9%) и Facebook (6%).
• 3 млн российских пользователей за год подверглись 939 млн сетевых атак (преимущественно из России же).
• В среднем на одного пользователя приходится по 10 фишинговых атак в год, или приблизительно раз в месяц.
• В среднем на одного пользователя приходится 19 срабатываний веб-антивируса и по 16 срабатываний локального антивируса в год. Всего получается 36 срабатываний в год или каждые 10 дней.
• Из них:
• 17 ссылок блокируется черному списку, помимо этого предотвращено выполнение 1 эксплоита и 1 трояна.
• 4 абсолютно новые (на тот момент) угрозы заблокированы облаком, также файловый антивирус обнаружил 4 трояна, 4 SMS-блокера, 3 файловых вируса (Kido и Sality) и 1 вредоносный макрос MS Office.
• В среднем на одного пользователя приходится 64 сетевые атаки в год или по 1 атаке в неделю.
Прогноз 2012
«Конца света не будет»
Подведя итоги 2011 года и проанализировав актуальные киберугрозы, эксперты «Лаборатории Касперского» озвучили прогнозы на 2012 год, выделив следующие тенденции, характерные для российского рынка:
• Начавшаяся миграция российских пользователей из отечественных социальных сетей в зарубежные (Facebook, Google+, etc) приведет к такой же миграции российских киберпреступников следом за своими жертвами. Русскоязычного спама в этих социальных сетях станет больше, шансы заразиться специфичной троянской программой-блокером, рассчитанной только на наших сограждан – вырастут значительно.
• Инциденты с утечками персональных данных пользователей были одними из самых громких событий в 2011году. Эта тенденция сохранится и в 2012 году. Нас ждут новые происшествия, в основном связанные с утечками данных из государственных ведомств. Такова неизбежная плата за форсированный технический прогресс при отсутствии должных мер и правил защиты данных.
• Атаки на системы онлайн-банкинга будут являться одним из главных (а вероятней, самым главным) способом, при котором российские пользователи будут терять свои деньги. Количество подобных преступлений в России стремительно растет, несмотря на все технические меры предпринимаемые банками. Ключевым моментом в решении данной проблемы является контроль за выводом средств с взломанных счетов и при переводах украденных средств в другие платежные системы.
• Мобильные SMS-троянцы не собираются сдавать свои позиции и уже доказали киберпреступникам реальность отъема у пользователей денег таким способом. Несмотря на то, что о проблеме мы говорим уже несколько лет и мобильные операторы пытаются оперативно реагировать на инциденты – улучшений в области пока не наблюдается.
• Столь же печальная картина ожидается в ситуации с DDoS-атаками. Их станет больше, а мощность атак возрастет. По-прежнему, число случаев когда исполнителей подобных атак (не говоря уже о заказчиках) находили и привлекали к ответственности – можно пересчитать по пальцам одной руки. При этом DDoS-атаки многими расцениваются как эффективное средство конкурентной борьбы, причем не только в вопросах бизнеса, но порой и политической. Впрочем, не исключена значительная консолидация черного рынка подобных атак – вместо существующих десятков группировок, предлагающих подобный «сервис» – останется всего несколько, но обладающих наиболее мощными ботнетами.
• Целевые атаки на крупные корпорации и правительственные структуры, а также научно-исследовательские институты дойдут до России в полной мере. До сих пор Россия оставалась относительным островком спокойствия, пока атакам подвергались в основном американские и европейские компании. Инцидент Lurid стал первым широко известным случаем, в основном из-за своей масштабности. Можно предположить, что основную группу риска (потенциальные объекты атак) в России составляют компании занимающиеся добычей газа и нефти, компании энергетического сектора, машиностроительные компании, занимающиеся производством турбин, генераторов, использующихся в энергетике, перерабатывающие и обогатительные предприятия, работающие с редкоземельными и радиоактивными материалами, организации занимающиеся строительством промышленных объектов (заводов, фабрик, электростанций) металлургические предприятия.