Symantec: рост киберпреступности в России вызван дальнейшим развитием ШПД

Согласно отчету Symantec, первое и второе места в списке неизменно занимают США и Китай. Общая доля США по количеству вредоносной активности составляет 19 %, Китая – 8 %, Бразилии – 6 %, Германии – 5 %, Индии – 4 %, Великобритании – 4 %, а у России, Польши, Испании, Тайваня, Турции – по 3 %. Далее уже идут Франция, Япония, Южная Корея, Канада, Аргентина с 2 % и т. д.

Между тем уже в предыдущих докладах Symantec, основанных на данных исследовательской инфраструктуры Symantec Global Intelligence Network (более 240 тыс. датчиков, в 200 странах мира), отмечалось, что доля России, Бразилии, Турции, Польши и Индии в мировой вредоносной активности будет только возрастать, что связано с развитием инфраструктуры ШПД. В России эта тенденция объясняется еще и тем, что операторы продолжают активную экспансию технологий и развитие инфраструктуры в регионах. Кроме того, запуск услуг 3G всеми основными операторами связи, а также ряд слияний между ключевыми игроками отрасли вдвойне стимулировали развитие интернет-инфраструктуры. По данным Минкомсвязи России, только за первый квартал 2009 года количество точек широкополосного доступа в Интернет выросло в сравнении с предыдущим годом на 38 %, достигнув более 9 млн домохозяйств, а общий объем передаваемых данных за 1-е полугодие 2009 года составил 1,41 Экзабайт (1,41 млрд Гбайт), увеличившись в 3,8 раза. При этом фокус развития ИТ-отрасли постепенно перемещается из Москвы в регионы, а слияния компаний и связанные с этим объединения инфраструктур предоставляют определенные возможности для создателей вредоносного кода для использования уязвимостей. Как показывает история, такие тенденции характерны для стран, переживающих период консолидации в телекоммуникационном секторе.

Что касается общемировой ситуации, то в Symantec отмечают, что экономическое и географическое развитие киберпреступности в период кризиса не останавливается, и в 2009 году компания в среднем блокировала около 100 потенциальных угроз в секунду. Между тем прошлый год отметился двумя мощнейшими атаками – Downadup (Conficker) в начале года и Hydraq в конце. В целом Symantec создала 2 895 802 новые сигнатуры вредоносных кодов в 2009 году, что на 71 % больше, чем в 2008 году, и составляет 51 % всех сигнатур вредоносных кодов, когда-либо созданных Symantec. Аналитики компании подтверждают также, что активное преследование киберпреступников со стороны развитых стран заставило мошенников уйти в развивающиеся государства, где вероятность наказания за такие действия существенно ниже (к числу подобных, помимо Бразилии, Индии, Польши и Вьетнама, в компании причисляют и Россию).

В Symantec вынуждены констатировать, что вредоносный код Downadup (Conficker) продолжает распространяться (о вкладе «Лаборатории Касперского» в борьбу с ним можно прочитать в разделе «Аналитика» от 12 сентября 2010 г. http://www.ict-online.ru/analytics/a66849/). В итоге к концу 2009 г. Downadup заразил более 6,5 млн компьютеров по всему миру. При этом в компании особенно отмечают, что, даже несмотря на то, что инфицированные Downadup/Conficker компьютеры, еще не были замечены в какой-либо вредоносной деятельности, угроза их активации сохраняется.

В отчете Symantec также отмечается, что хакеры используют распространенную в социальных сетях персональную информацию для организации массовых атак на ключевых менеджеров целевых компаний. А Hydraq, получивший широкую известность в начале 2010 г., является всего лишь последней популярной угрозой из числа многочисленных аналогичных вредоносных кампаний, таких, как Shadow Network в 2009 г. и Ghostnet в 2008 г. Так, по итогам прошлого года 60 % всех случаев кражи конфиденциальных данных стали результатом хакерской деятельности, а разного рода кибератакам подвергались 75 % бизнес-структур.

При этом готовые инструменты делают интернет-атаки все более простыми. Один из таких пакетов Zeus (Zbot), стоимость которого составляет всего $700, автоматизирует процесс создания кастомизированного вредоносного кода, с помощью которого можно получить доступ к персональным данным. Используя этот и другие аналогичные инструменты, злоумышленники создали буквально миллионы вариантов программ, предназначенных для того, чтобы обходить средства защиты. Количество веб-атак продолжает расти. Так, по данным Symantec, было обнаружено более 240 млн абсолютно новых образцов кода (100%-ый рост к 2008 году). При этом самыми распространенными угрозами 2009 г. стали вирус Sality.AE, троян Brisv Trojan и червь SillyFDC.

Современные злоумышленники используют техники социальной инженерии для привлечения ничего не подозревающих пользователей к зараженным веб-сайтам. Затем такие порталы атакуют браузер жертвы и используют уязвимые плагины, необходимые для просмотра видеоматериалов или документов. В частности, 2009 г. был богат на веб-угрозы, нацеленные на PDF-просмотр, – их доля в общем объеме веб-атак достигла 49 % (11 % в 2008 г.).

«Киберпреступники переходят от простых атак к крайне изощренным шпионским кампаниям, целью которых становятся крупнейшие мировые корпорации и правительственные структуры, – подчеркнул старший вице-президент Symantec по технологиям защиты Стивен Триллинг (Stephen Trilling). – Масштаб таких угроз и тот факт, что они возникают по всему миру, переводит данную проблему на международный уровень. Необходима совместная работа коммерческих компаний и мировых правительств».

По данным антивирусной компании, 2009 год стал еще одним годом спама – доля его в общем объеме почты составила 88 %. Аналитики Symantec подчеркивают, что наибольший всплеск нежелательных сообщений пришелся на май (90,4 %), а самый низкий показатель был зафиксирован в феврале (73,7 %). В отчете Internet Security Threat Report – Volume XV указывается, что наиболее часто рекламируемым товаром для продажи на серверах теневой экономики стали кредитные карты (19 % от всех рекламируемых товаров и услуг), которые в среднем стоили $0,85–30 за номер. При этом из 107 млрд спам-сообщений, распространяемых ежедневно, около 85 % пришлось на ботнеты. Десять ведущих бот-сетей, включая Cutwail, Rustock и Mega-D, контролируют сегодня более 5 млн компьютеров пользователей. По наблюдениям Symantec, в 2009 году бот-машины предлагались на «черном» рынке всего лишь по $0,03 за штуку. В прошлом году Symantec определил 17432 новых контролирующих бот-серверов (2008 г. – 15 197), из них 31 % действуют через каналы IRC и 69 % используют HTTP. При этом в отчете Symantec также говорится, что наблюдалось в среднем 46 541 активный бот-компьютер в сутки в 2009 году (на 38 %  меньше, чем в 2008 г.).

Установка обновлений безопасности продолжает оставаться непростой задачей для многих пользователей. Аналитики подчеркивают, что поддерживать безопасную, регулярно обновляемую систему в 2009 г. оказалось все более и более трудно. К тому же многие пользователи не смогли устранить ряд старых, давно известных уязвимостей. Например, сведения об уязвимости Microsoft Internet Explorer ADODB.Stream Object File Installation Weakness были опубликованы еще 23 августа 2003 г., а 2 июля 2004 г. компания выпустила соответствующую «заплатку». Однако даже в минувшем году эта уязвимость была на втором месте по частоте атак, наиболее атакуемой в 2009 году стала уязвимость удаленного  запуска кода _Smb2ValidateProviderCallback Microsoft Windows SMB2 '()'. Из всех браузеров, проанализированных Symantec в 2009 году, Safari имел наиболее длинное «окно воздействия» (время между выпуском кода эксплойта для уязвимости и выпуском патча), в среднем 13 дней; Internet Explorer, Firefox и Opera характеризовались наиболее коротким окном в 2009 году, в среднем менее чем один день.

Что касается распределения киберугроз по различным секторам экономики, то наибольшие потери при утечках данных вследствие хакерской деятельности в 2009 году понес финансовый сектор (60 %), 20 % нарушений пришлось на сектор образования. А в целом в 2009 году физические кражи или потери составили 37 % от нарушений защиты данных, которые могли привести к краже персональных данных (спад по сравнению с 2008 годом на 48 %).