Впервые для подготовки этого ежегодного «Kaspersky Security Bulletin 2008. Развитие угроз в 2008 году» была использована информация, полученная и обработанная при помощи технологии Kaspersky Security Network. Напомним, что этот продукт позволяет оперативно, в режиме реального времени обнаруживать и блокировать новые угрозы, в том числе те, для которых еще не существует сигнатурного или эвристического детектирования – это происходит в том числе благодаря пользователям «Лаборатории Касперского», которые отсылают в компанию данные со своих программ безопасности.
По данным, озвученным руководителем глобального центра исследований и анализа угроз «Лаборатории Касперского» Александром Гостевым, вредоносный трафик в электронной почте составляет от 1,1 % до 2,5 %, фишинговые атаки – от 0,62 % до 0,78 %, а самым распространенным вирусом в почте является Trojan-Downloader.JS.Iframe.sh (более 31 %). Источниками атак через браузер являются 126 стран мира, в первой пятерке находятся Китай (18 568 923 вредоноса), США (1 615 247), Голландия (762 506), Германия (446 476) и Россия (420 233). Целями атак через браузер стали 215 стран мира, и здесь первая пятерка – это Китай (12 708 285), Египет (3 615 355), Турция (709 499), Индия (479 429), США (416 437), а Россия занимает 7-е место (335 656). Самыми опасными приложениями года были названы Adobe Flash Player, Real Player, Adobe Acrobat Reader и Microsoft Office.
Руководитель центра глобальных исследований и анализа угроз
«Лаборатории Касперского» Александр Гостев предупреждает:
вирусных угроз в 2009 году станет больше
Если в 2007 году антивирусные эксперты отметили «смерть» вредоносных программ, не предназначенных для киберкриминального бизнеса, то 2008-й стал годом прекращения разработки вредоносного ПО для непосредственного использования вирусописателями. Основная масса вирусов и троянов создавалась с целью последующей продажи. Эксперты «Лаборатории Касперского» отмечают, что в мире формируется сложная и мощная вирусная «экосистема» с разделением труда, состоящая из киберкриминальных заказчиков и исполнителей заказов, с целой цепочкой добавленной стоимости – вирусы пишутся и продаются на сторону одними группировками, заражение компьютеров пользователей и создание «зомби»-сетей, включая их последующую продажу, осуществляют другие группировки и т. д.
Разделение сфер деятельности свойственно и разным странам и регионам мира – если в 2008 году мировым лидером по количеству создаваемого вредоносного ПО стал Китай, то по сложности и «инновационности» программ на первом месте – российские хакеры и вирусописатели. Российские киберпреступники принимают самое активное участие в реализации новых типов вирусных атак, разработке технологий противодействия антивирусному детектированию и сокрытия вредоносной активности. Например, они создают устойчивые к высоким нагрузкам и обнаружению одноранговые ботнеты, являющиеся сейчас серьезнейшей угрозой массовых краж конфиденциальных данных и распространения нежелательного и вредоносного трафика в Интернете. Напомним, кстати, что еще в конце 2008 года Евгений Касперский отмечал, что вирусописатели являются наиболее продвинутыми именно в России – за счет нашей серьезной системы образования. Глава «Лаборатории Касперского» высказал тогда мнение, что из Китая идут в основном игровые трояны, из Латинской Америки и Бразилии – банковские трояны, а в России много примеров киберпреступных сервисов (см. новость раздела «Лаборатория Касперского» от 10 декабря 2008 г.).
В 2008 году продолжились атаки на посетителей веб-сайтов, в том числе пользователей социальных интернет-сетей. Они производились с помощью вредоносных программ или различных видов мошенничества, включая фишинг. По оценкам экспертов «Лаборатории Касперского», частота заражения вредоносным кодом в социальных сетях сейчас значительно превышает аналогичные показатели для электронной почты.
В прошедшем году был зафиксирован резкий рост количества атак на учетные записи пользователей онлайновых игр. Целью этих атак является последующая продажа виртуальной собственности либо возвращение ее легитимному владельцу за выкуп. В 2008 году аналитики «Лаборатории Касперского» обнаружили в 3 раза больше программ, нацеленных на кражу паролей к онлайн-играм, чем в 2007 году. Правда, по прогнозам, здесь объемы будут уменьшаться – т. к. усилия приложили сами разработчики онлайн-игр, и, кроме того, поумнели и сами пользователи.
Файловые вирусы добавили к своему традиционному функционалу – использованию файловой системы ОС – такие новые возможности, как кража данных и инфицирование через съемные носители информации – «флешки». Это привело к массовым заражениям вычислительных систем, в том числе корпоративных компьютерных сетей.
В 2008 году еще более серьезной стала проблема распространения руткитов – средств сокрытия вредоносной деятельности в системе путем перехвата системных функций или структур данных. Растет многообразие и изощренность способов реализации вирусных атак, в том числе с использованием ботнетов.
Антивирусные аналитики компании не наблюдали каких-либо значительных эпидемий компьютерных вредоносных программ, поскольку киберпреступники предпочитали действовать более скрытно, чем в предыдущие годы, и нацеливались на более локальные системы, хотя сейчас идет массовое заражение вирусом Kido.
Однако, по мнению экспертов «Лаборатории Касперского», в 2009 году ситуация может измениться, поскольку конкуренция между производителями вредоносных программ и услуг обострится в связи с мировым экономическим кризисом и переходом киберкриминального рынка в фазу зрелости. По прогнозам экспертов «Лаборатории Касперского», в 2009 году продолжатся такие тенденции в области развития информационных угроз, как усложнение вирусных технологий, рост числа ботнетов с гибкой системой управления и стойкой криптографической защитой коммуникации, атаки на пользователей популярных социальных сетей, распространение интернет-мошенничества, развитие «экосистемы» производителей и потребителей киберкриминальных услуг.
Слева направо: директор лаборатории контентной фильтрации
«Лаборатории Касперского» Андрей Никишин, директор по исследованиям
и разработке Николай Гребенников, руководитель центра глобальных
исследований и анализа угроз Александр Гостев
Благодаря усилиям антивирусной индустрии, провайдеров интернет-услуг и правительств ряда стран в прошлом году по киберпреступности было нанесено несколько серьезных ударов. Так, закончилась деятельность хостинга RBN (Russian Business Network), на котором допускалось злонамеренное использование предоставляемых услуг. Вследствие этого, вероятно, произошло снижение активности известного «штормового червя» Zhelatin. Были закрыты и другие подобные компании – Atrivo/Intercage, EstDomains и McColo, – что на некоторое время затруднило деятельность пользовавшихся их услугами спамеров и владельцев ботнетов. В частности, благодаря закрытию McColo объем спама снизился в разы – от 2 до 4 раз.
Директор по исследованиям и разработке «Лаборатории Касперского» Николай Гребенников тоже отметил, что 2008 год стал революционным в плане защиты. По его словам, в 2008 году больше внимания было уделено влиянию на работу пользователя, базы «белого» ПО стали дополнять базы «черного», усилился контроль приложений и HIPS, открылся доступ к базам in-the-cloud в реальном времени, а пополнение баз стало происходить на основе данных от пользователей. Николай Гребенников подчеркнул преимущества таких решений «Лаборатории Касперского», как Kaspersky Security Network и Urgent Detection System – KIS/KAV 2009, которые станут одной из обязательных технологий в решениях для конечных пользователей. Основой продуктов в 2009 году и последующих линеек будет система контроля приложений нового поколения.
Что касается доклада «Спам в 2008 году», то, как было отмечено, год назад в аналогичных отчетах аналитики «Лаборатории Касперского» прогнозировали незначительный рост объемов нежелательной почты, и, согласно отчету «Спам в 2008 году», этот прогноз подтвердился. Так, средняя доля спама за 2008 год выросла на 2,1 % по сравнению с предыдущим годом и составила 82,1 % от почтового трафика. Минимальная доля спама в почтовом трафике (50,5 %) зафиксирована 13 ноября 2008 года, максимальная (97,8 %) – 1 марта 2008 года.
Согласно данным аналитиков «Лаборатории Касперского», в 2008 году изменения наблюдались в географическом распределении источников спама. Если в 2007 году наиболее значительная доля спама поступала из США, 2008 год вывел Россию (22 %) в лидеры среди стран – источников спама в Рунете, сместив США (16 %) на второе место, остальные страны следуют с большим отрывом. Прослеживается неравномерный вклад в распространение спама по месяцам: так, объем незапрошенной корреспонденции из Испании (в среднем за год 5 % от общего уровня) в отдельные месяцы достигал 10 %.
Как рассказал директор лаборатории контентной фильтрации Андрей Никишин, в 2008 году спамерами все активнее использовались социальные сети. В июне 2008 года, например, прошла массовая рассылка писем, имитирующих уведомления с известного ресурса «Одноклассники.ru». Ссылка в сообщениях вела на страницу одного из подложных сайтов odnoklassniks.info, где на компьютер пользователя устанавливалась троянская программа. В октябре 2008 года были проведены рассылки от имени ресурса «ВКонтакте»: рекламировался новый вид «услуг», якобы предлагаемый администрацией сайта. При переходе по ссылке, содержащейся в письме, открывалась поддельная страница, имитирующая регистрационное окно сайта «ВКонтакте». Введенные пользователем логин и пароль попадали к фишерам.
Если 2006 год можно назвать годом графического спама, 2007-й – годом экспериментов с вложениями, то 2008-й стал годом html-спама. Спамерами были использованы многие старые приемы, но сама «концепция» переосмысливалась так, чтобы задействовать особенности html-кода. Среди использованных приемов было зашумление текста случайными фразами, помещенными в html-тэги (тэги-комментарии, тэги-цвета и т. д.). Большинство почтовых клиентов считают такие тэги вспомогательными и не показывают пользователям, которые видят только рекламный спамерский текст. Встречался также метод под названием «Мона Лиза»: контактная информация показывается пользователю в виде картинки, состоящей из символов. Если раньше символами выступали буквы и пробелы, то в 2008 году спамеры комбинировали черные и белые ячейки html-таблицы.
Как и прежде, спамеры используют «горячие» темы для привлечения внимания пользователей к рассылаемой рекламе. В этом году такими темами стали, например, всемирный чемпионат по футболу, выборы президента в США, а также мировой кризис. Кстати, во второй половине года слово «кризис» можно было встретить в рекламе любых товаров и услуг, нередко рекламировались различные антикризисные семинары.
В «Лаборатории Касперского» отмечают, что спам – мировое явление, и изменения в его структуре, начавшиеся еще до начала кризиса в России, могут служить одним из индикаторов состояния экономики. Если корреляция между структурой спама и макроэкономическими процессами окажется достаточно выраженной, об окончании кризиса мы сможем «узнать» и по спаму, считают аналитики. Пока же пользователям Интернета и электронных платежных систем нужно иметь в виду, что кризис создает предпосылки для нового расцвета банковского фишинга.
В англоязычном спаме во время, до и после президентской кампании в США тема выборов использовалась для продвижения различных товаров и услуг, а также при попытках разослать вредоносные программы. В течение года в спаме возникали новые тематические рубрики и менялись тематики-лидеры. Во втором полугодии на 6 % сократилась доля спама рубрики «Другие товары и услуги», более чем на 15 % увеличилась доля спама «для взрослых», который рассылается в том числе для так называемой накачки трафика.
Мировой финансовый кризис, затронувший практически все области экономики, повлиял и на киберпреступность. Рубрики спама, связанные с реальным сектором экономики, теряют вес, в то же время спамеры все чаще используют технологии, направленные на быстрое получение денег. Сюда относятся спам-мошенничество с использованием SMS, накачка трафика порносайтов и подобное. Уменьшение доли спама, рекламирующего товары и услуги, говорит о том, что число заказов, поступающих спамерам со стороны реального бизнеса, уменьшилось. Усиление спам-атак криминального характера наглядно свидетельствует о том, что начавшие терять деньги киберпреступники ищут новые источники доходов.
В числе «спам-новинок» Рунета – мошенничество, при котором интернет-пользователей под разными предлогами провоцируют послать SMS-сообщение на короткий телефонный номер – платный, арендованный мошенниками.
Говоря о спаме как бизнесе, Андрей Никишин отметил, что среднее количество уникальных рассылок спамеров составляет порядка 3 тыс. в сутки. Стоимость рассылки в 1 млн сообщений составляет около $40, а средний размер рассылки – около 7 млн сообщений. Таким образом, без учета скидок клиенты платят спамерам около $840 тыс. в сутки. А объем рынка спам-рассылок в России в 2008 году составил не менее $150-200 млн.
Аналитики «Лаборатории Касперского» предполагают, что в 2009 году, по крайней мере в первой его половине, спама не станет меньше и увеличится объем спама криминального характера. Кроме того, для большого числа предпринимателей в условиях кризиса спам может стать единственно доступным способом рекламы. Также, в рамках усиления всех криминальных тенденций в спаме, можно ожидать и новой волны рекламы ресурсов для взрослых. «Мы не ожидаем «прорывов» в спам-технологиях. Все новинки будут в системах управления бот-сетями», – резюмирует Андрей Никишин.
Подробности
«Лаборатория Касперского» – один из наиболее популярных в России и крупнейших в Европе производителей систем защиты от вирусов, спама и хакерских атак. Компания входит в пятерку ведущих мировых производителей программных решений для обеспечения информационной безопасности. Сегодня «Лаборатория Касперского» – международная группа компаний с центральным офисом в Москве и пятью региональными дивизионами, через которые осуществляется управление деятельностью локальных представительств и партнеров компании в соответствующих регионах: в Западной Европе, Восточной Европе, на Ближнем Востоке и в Африке, в Северной и Южной Америке, Японии и других странах Азиатско-Тихоокеанского региона. Партнерская сеть компании объединяет более 700 партнеров первого уровня более чем в 100 странах мира. Технологии компании защищают более 250 млн пользователей во всем мире. За 10 лет ее штат вырос в 15 раз. В настоящий момент «Лаборатория Касперского» имеет представительства в Южном (в Волгограде), Уральском (в Екатеринбурге), Сибирском (в Новосибирске), Приволжском (в Казани) и Северо-Западном (в Петербурге) федеральных округах. Напомним, что в конце января 2009 года «Лаборатория Касперского» объявила о назначении новым региональным представителем компании в Северо-Западном федеральном округе Евгения Питолина (см. новость раздела «Лаборатория Касперского» от 22 января 2009 г.).