Корпорация Symantec обнародовала 16-й ежегодный отчет об угрозах безопасности в интернете. Отчёт свидетельствует о важных изменениях в ландшафте интернет-угроз в 2010 году, а также об усложнении этих угроз и увеличении их масштабов.
За 2010 год Symantec обнаружила более 286 миллионов новых угроз. Такое огромное количество угроз сопровождалось появлением нескольких новых важных тенденций. Во-первых, в 2010 году наблюдался резкий рост, как частоты, так и изощрённости направленных атак на предприятия. Во-вторых, социальные сети стали использоваться злоумышленниками как платформы для распространения атак. В-третьих, нападающие изменили тактику - они всё чаще стали использовать уязвимости Java для взлома традиционных компьютерных систем. Наконец, замечен резкий рост интереса мошенников к мобильным устройствам.
2010: Год направленных атак
Направленные атаки, такие как Hydraq и Stuxnet, представляли растущую угрозу для предприятий в 2010 году. Для успешного и незаметного проникновения в компьютерные сети предприятий злоумышленники использовали ранее неизвестные уязвимости (так называемые уязвимости нулевого дня). А, например, Stuxnet для осуществления атаки использовал сразу четыре таких уязвимости.
В 2010 году злоумышленники атаковали целый ряд разнообразных крупных транснациональных корпораций и правительственных учреждений, а также на удивление много небольших компаний. Часто злоумышленники собирали информацию о конкретных сотрудниках атакуемой корпорации, а затем разрабатывали индивидульный подход к конкретной жертве (в основном с использованием методов социальной инженерии) для получения доступа в сеть компании-жертвы. Благодаря такому прицельному характеру, многие из этих атак достигли успеха даже в отношении таких организаций, где соблюдались основные меры безопасности.
«Stuxnet и Hydraq, два самых заметных кибер-события 2010 года, стали эпизодами настоящей кибер-войны – они кардинальным образом изменили ландшафт угроз, – заявил Стивен Триллинг (Stephen Trilling), Вице-президент Symantec по технологиям безопасности и ответных действий, – Фокус угроз расширился от попыток взлома частных банковских счетов до нанесения ущерба информационной и физической инфраструктуре целых государств».
Получившие широкую огласку направленные атаки 2010 года имели своей целью хищение интеллектуальной собственности или нанесение физического ущерба. Однако многие менее известные направленные атаки были нацелены и на частных лиц для получения доступа к их персональной информации. По данным отчета, в среднем в 2010 году один успешный взлом приводил к попаданию в открытый доступ персональных данных 260 000 человек.
Социальные сети: плодородная почва для кибер-преступности
Популярность социальных сетей продолжает расти, и создатели вредоносных программ не могли оставить это без внимания. Чаще всего злоумышленники используют короткие URL-адреса, которые обычно применяются для сокращения числа символов в сообщении на том же Твиттере, более аккуратного вида длинной ссылки на сайте или в письме. В 2010 году мошенники распространили миллионы таких ссылок по социальным сетям с целью заманить пользователей на фишинговые сайты или заразить вирусом или другим вредоносным ПО. Это спровоцировало рост количества случаев успешного инфицирования.
В отчёте отмечается, что злоумышленники по максимуму использовали возможности новостных лент популярных соцсетей для массовых вредоносных активностей. Типичный сценарий выглядел так: злоумышленник входит на взломанный аккаунт в социальной сети и вывешивает в статусе короткую ссылку на вредоносный веб-сайт. Затем сайт социальной сети автоматически отправляет ссылку в новостные потоки друзей жертвы, распространяя ее таким образом сотням или тысячам жертв в течение нескольких минут. Корпорация Symantec зафиксировала, что в 2010 году 65% вредоносных ссылок в новостных потоках использовали короткие URL-адреса. Из них на 73% кликали более 10 раз, а 33% – от 11 до 50 раз.
Готовые инструменты для осуществления атак сфокусировались на Java
Наборы эксплойтов для атак – это компьютерные программы, которые могут использоваться как продвинутыми хакерами, так и новичками для облегчения запуска широкомасштабных атак. Такие инструмемнты повсеместно применялись в 2010 году и всё чаще использовали уязвимости Java, на долю которой пришлось 17% всех уязвимостей плагинов веб-браузеров в 2010. Являясь популярной мульти-платформенной технологией, не привязанной к типу браузера, Java остаётся привлекательной мишенью для злоумышленников.
Набор Феникс (Phoenix) стал основой для большинства осуществленных веб-атак в 2010 году. Он, как и многие другие наборы, тоже содержит элементы, использующие уязвимости Java. За отчетный период топ-6 веб-атак использовали экспойты к уязвимостям Java.
Число веб-атак, ежедневно фиксированных в 2010 году, возросло на 93% по сравнению с 2009 годом. И, учитывая то, что по данным Symantec две трети всех этих угроз были созданы с помощью готовых наборов инструментов, именно они могли стать причиной такого резкого роста.
Проясняется схема действий злоумышленников в мобильном пространстве
Повсеместное распространение мобильных платформ достигло того уровня, когда злоумышленники просто не могут не обращать на это внимания. В связи с этим Symantec ожидает увеличение числа атак на эти платформы. В 2010 году мобильные устройства атаковались преимущественно троянскими программами, маскировавшимися под легитимные приложения. И хотя некоторые из этих программ были разработаны злоумышленниками «с нуля», во многих случаях инфицирование пользователей происходило путём вписывания вредоносных алгоритмов в исходные официальные приложения. Затем злоумышленники распространяли эти зараженные приложения через общедоступные интернет-магазины. К примеру, именно таким способом воспользовались авторы Pjapps Trojan.
Несмотря на то, что новые архитектуры систем безопасности, используемые в современных мобильных устройствах, не уступают в эффективности настольным коппьютерам и серверам, злоумышленникам часто удаётся миновать эту защиту, используя внутренние уязвимости мобильных платформ. К сожалению, такие недочёты встречаются довольно часто: в течение 2010 года корпорация Symantec обнаружила 163 уязвимости, которые могли бы быть использованы злоумышленниками для получения частичного или полного контроля над устройствами, использующими популярные мобильные платформы. В течение первых месяцев 2011 года, злоумышленники уже воспользовались этими недочётами, чтобы инфицировать сотни тысяч устройств.
Ландшафт угроз – Основные цифры и факты:
286 миллионов новых угроз – 2010 год характеризовался многоообразием вредоносного ПО, а также появлением новых механизмами его распространения, что послужило причиной дальнейшего роста количества вредоносных технологий. В 2010 году Symantec столкнулся с более чем 286 миллионами уникальных вариантов вредоносного ПО;
Количество веб-атак выросло на 93% – Благодаря готовым инструментам для осуществления веб-атак, их число увеличилось в 2010 году на 93%. Этому также способствовало широкое использование сервисов коротких URL;
260 000 «человеческих жертв» за одну успешную атаку – Таково среднее количество людей, чьи персональные данные оказались в открытом доступе после взлома в 2010 году;
14 новых уязвимостей нулевого дня – уязвимости нулевого дня сыграли ключевую роль в направленных атаках, таких как Hydraq и Stuxnet. Только Stuxnet использовал четыре различные уязвимости нулевого дня;
6 253 новые уязвимости – В 2010 году Symantec задокументировал больше уязвимостей, чем в любой предыдущий отчётный период;
Число обнаруженных мобильных уязвимостей выросло на 42% – Признаком того, что киберпреступники начинают фокусироваться на мобильном пространстве стал рост числа зафиксированных новых уязвимостей мобильных операционных систем со 115 в 2009 до 163 в 2010 году;
1 ботнет с более 1 млн. спам-ботов – В 2010 году был период, когда под контролем Rustock, самого крупного ботнета из наблюдавшихся в 2010 году, находилось более одного миллиона ботов. Другие ботнеты – такие как Grum и Cutwail – отставали ненамного, контролируя многие сотни тысяч ботов каждый;
74% спама относилось к фармацевтической продукции – В 2010 году примерно три четверти всего спама представляли собой рекламу фармацевтических препаратов;
$15 за 10 000 ботов – Проводя мониторинг рекламных объявлений теневого рынка в 2010 году, Symantec обнаружил, что 10 000 ботов продавались всего за 15 долл. США. Обычно боты используются для спам-рассылок и распространения ложного ПО, однако в последнее время их все чаще применяют для DDOS-атак.
От $0.07 до $100 за кредитную карту – В 2010 году цены на реквизиты кредитных карт на подпольных форумах варьировались в широком диапазоне. Факторами, диктовавшими цену, были редкость карты и скидки при оптовой покупке.