Лаборатория Касперского подвела итоги 2011 г. в отношении интернет-угроз. Выявленные тенденции продолжатся в 2012 г.
Для «традиционной» киберпреступности по-прежнему основными способами нелегального заработка остаются кражи учетных записей систем онлайн-банкинга, рассылка спама, организация DDoS-атак, вымогательство и мошенничество.
Значительно ухудшилась ситуация в области угроз для мобильных телефонов. Стремительный рост количества устройств на базе платформы Android повлек за собой столь же взрывной эффект и в отношении вредоносных программ для них.
Угрозы для персональных компьютеров продолжали развиваться в сторону обхода существующих механизмов защиты, реализованных как в ОС Windows, так и в антивирусных программах. В 2011 г. специалисты столкнулись в массовом масштабе с заражением загрузочных записей, а троянская программа MyBios продемонстрировала возможности заражения на уровне BIOS.
DDoS-атаки в прошлом году использовались многократно и с самыми разными целями. Наиболее громкие из них в мировом масштабе были связаны с деятельностью групп Anonymous и LulzSec. В России наиболее известными атаками стали инциденты с популярным сервисом блогов LiveJournal, однако основное их число пришлось на предприятия реального сектора услуг, интернет-магазины и игровые ресурсы.
Несмотря на значительно выросший профессиональный уровень правоохранительных органов, приостановить этот поток угроз пока не удается.
Целевые атаки
В атаках на организации, правительственные и военные структуры в минувшем году самыми яркими стали различные движения «хактивистов», государственные структуры ряда стран, а также сами бизнес-структуры, активно использующие методы кибершпионажа за конкурентами.
Специфика целевых атак такова, что они крайне трудно обнаруживаются. Однако в случае обнаружения обычно жертва старается скрыть факт атаки. Зачастую это связано с объективными причинами, такими как необходимость ответной «игры» с атакующими или попытка вернуть украденные данные тем или иным способом.
В начале 2011 г. наиболее громкими стали взломы HBGary и RSA. Примечательно, что впервые объектами атак стали компании, специализирующиеся в области IT-безопасности. Именно удар по репутации компании и был основной целью злоумышленников. Атака на RSA происходила по классической схеме: злоумышленники разослали сотрудникам компании xls-файл с названием «2011 Recruitment Plan», надеясь, что хоть один получивший письмо откроет файл. Так и случилось: один из сотрудников открыл злополучный файл, содержащий эксплойт (компьютерная программа, использующая уязвимости в программном обеспечении и применяемая для проведения атаки на вычислительную систему. – Прим. ред.), что позволило злоумышленникам получить контроль над его компьютером и прорваться через мощную защиту корпоративной сети.
Еще более насыщенным инцидентами, связанными со взломом крупных компаний, оказался II квартал 2011 г. В список пострадавших вошли Sony, Honda, Fox News, Epsilon, Citibank. В большинстве случаев были украдены данные клиентов компаний. Персональные данные пользователей могут быть интересны и киберкриминалу (для проведения различного рода атак, в особенности целевых), и некоторым легальным коммерческим структурам. Но нет никакой информации о продаже этих данных на черном рынке или использовании злоумышленниками. Такое поведение хакеров говорит о том, что заработать на продаже краденой информации не было их главной целью.
Одна из самых крупных утечек персональных данных произошла в результате взлома сервисов, принадлежащих Sony. По оценкам самой компании, в руках злоумышленников могли оказаться данные 77 млн. (!) пользователей сервисов PSN и Qriocity. Несколько недель, пока велось расследование инцидентов и шло обновление системы безопасности, сервисы были недоступны, что, естественно, вызвало негодование клиентов компании. Когда они заработали, пользователи должны были восстановить свои аккаунты, используя для идентификации в том числе некоторые персональные данные, которые могли быть украдены в ходе атаки.
Но никакой информации от пользователей об инцидентах при восстановлении аккаунтов не поступило. Помимо их личных данных, подобные сервисы хранят данные кредитных карт клиентов, пользовавшихся их платными услугами. Однако компания заявила, что в руках хакеров может быть только часть информации о кредитных картах (номер карты и срок ее действия). Известий о том, что эта информация была использована или продана в злонамеренных целях, не было.
Корпоративный шпионаж и разведывательная деятельность, ведущиеся в Сети, постепенно входят в число наиболее широко освещаемых проблем информационной безопасности, вытесняя в этом смысле традиционную киберпреступность. Однако из-за новизны и относительной закрытости данной темы для широкой публики при ее освещении часто появляется нежелательный налет сенсационности.
По мнению аналитиков, еще более ответственно следует подходить к вопросу публикации информации, когда это касается APT (Advanced Persistent Threat, то есть «постоянных угроз повышенной сложности», характеризующихся тем, что хакер маскирует свою деятельность с помощью инструментов, которые уже есть на атакуемом сайте. – Прим. ред.), термина, ставшего в последнее время у экспертов по IT-безопасности и в СМИ столь же любимым, что и слова «кибервойны» и «кибероружие». Но в этот термин каждый вкладывает свой смысл. Впрочем, вопрос терминологии имеет второстепенное значение, если речь на самом деле идет о корпоративном шпионаже или действиях спецслужб. В таких случаях гораздо важнее то, что излишнее внимание к теме и преждевременная публикация информации могут сорвать расследование и нанести еще больший ущерб жертвам атак.
Объектами целевых атак в 2011 г. в основном были американские компании и ведомства, однако и другие страны мира также пострадали от крайне серьезных инцидентов. Так, информация об атаке на японскую Mitsubishi Heavy Industries появилась в середине сентября. Было заражено около 80 компьютеров и серверов заводов, занимающихся производством оборудования для подводных лодок, ракет и атомной промышленности.
Сначала ряду сотрудников Mitsubishi злоумышленники направили письма, содержащие PDF-файл, который представлял собой эксплойт уязвимости в Adobe Reader. После открытия файла происходила установка вредоносного модуля, предоставляющего хакерам полный удаленный доступ к системе. В дальнейшем с зараженного компьютера хакеры проникали все дальше в сеть компании. Всего в ходе атаки использовалось около десятка различных вредоносных программ, часть которых были разработаны с учетом организации внутренней сети компании.
Кроме атаки на Mitsubishi Heavy Industries, широкую известность получила целевая атака членов нижней палаты японского парламента и ряда дипломатических миссий страны. В парламенте оказались заражены 32 компьютера, и хакеры получили доступ к внутренним документам и электронной переписке парламентариев. Вредоносные программы общались с двумя серверами, расположенными в Китае, которые злоумышленники ранее уже использовали в атаках на Google.
«Хактивизм»
На протяжении всего 2011 г. можно было наблюдать всплеск активности компьютерных злоумышленников, движимых жаждой мести к политикам, госорганам и большим корпорациям. Политически мотивированные хакеры проникали в самые охраняемые системы, публиковали данные о сотнях тысяч людей по всему миру, а самые технологически развитые системы находились под постоянным DDoS со стороны крупных ботнетов.
Во II квартале появилась группировка LulzSec, успевшая за 50 дней своего существования взломать много систем и опубликовать личную информацию десятков тысяч пользователей. Как и в случае с группой Anonymous, действия LulzSec не были финансово мотивированными. Сами представители группировки утверждают, что взламывали серверы компаний просто «смеха ради». Информация, попадавшая в руки LulzSec в результате атак, публиковалась на ее сайте, а затем выкладывалась в торрент-сети. Чаще всего это были персональные данные пользователей.
Эти атаки не могли не привлечь внимания правоохранительных органов. В Испании были арестованы три, а в Турции 32 человека по подозрению в причастности к атакам, организованным Anonymous. В конце июня LulzSec объявила о своем роспуске, одной из причин которого, возможно, стало расследование, которое было начато сразу в нескольких странах. Наиболее активно Anonymous вела себя в июле и августе после ареста нескольких членов этой организации. В публичный доступ попали гигабайты приватной информации.
В 2011 г., после серии расследований относительно атак на Sony, PayPal, Visa и MasterCard, правоохранительными органами шести стран были арестованы около 100 человек. Несмотря на это, количество акций организации только увеличилось, а присоединение Anonymous к движению Occupy Wall Street способствовало увеличению количества членов этой группы и ее популяризации в глазах общественности.
Duqu
Самой интригующей вредоносной программой года Лаборатория Касперского назвала троянца Duqu, который, предположительно, был написан создателями известного червя Stuxnet. Но если Stuxnet способен передаваться с одного компьютера на другой с помощью различных механизмов, то Duqu, судя по всему, не размножается самостоятельно.
И он не нацелен на технологическое оборудование напрямую (а главной целью Stuxnet были диверсии на промышленных объектах), хотя некоторые из его подпрограмм могли бы использоваться для кражи информации, имеющей отношение к промышленным объектам. Скорее всего, он предназначен для сбора конфиденциальной информации, что может включать в себя практически любые данные, хранящиеся на компьютере жертвы.
В ходе расследования были обнаружены несколько пострадавших от Duqu организаций – в основном в Иране и Судане. Эта географическая привязка, а также характер деятельности компаний дают возможность экспертам предположить, что основной миссией данного троянца был шпионаж за развитием ядерной программы Ирана.
Как и в истории с Stuxnet, в деле Duqu не обошлось без использования неизвестных ранее уязвимостей в ОС Windows. Атакующие заражали интересующие их объекты с помощью отправленного по электронной почте специально сформированного файла MS Word, в котором находился эксплойт уязвимости. При открытии этого документа происходила установка в систему троянца. После заражения атакующие начинали стадию сбора информации о системе и распространения троянца на другие компьютеры в локальной сети. При этом по состоянию на декабрь 2011 г. уязвимость в win32k.sys, использованная Duqu, все еще не была исправлена Microsoft.
Специалистам удалось получить доступ к нескольким серверам управления Duqu. Но оказалось, что атакующие тщательно удалили всю информацию с них спустя пару дней после того, как о Duqu стало публично известно.
Развитие мобильных угроз
Взрывной рост числа вредоносных программ для мобильных платформ обеспечен в основном за счет роста числа зловредов под Android.
Все вредоносные программы для Android можно разделить на две большие группы: у которых есть цель украсть деньги или информацию; контролировать устройство. По состоянию на октябрь 34% всех вредоносных программ для Android были нацелены на кражу персональной информации с устройства пользователя (контакты, логи звонков, sms-сообщения, gps-координаты, фотографии). Причем в основном на краже информации специализируются китайские киберпреступники. Что касается кражи денег, то здесь в авангарде российские вирусописатели, начавшие массово создавать sms-троянцев для Android. Появляются новые партнерские программы, позволяющие генерировать разнообразных sms-троянцев и предоставляющие набор инструментов и средств для их распространения (поддельные магазины приложений, QR-коды, скрипты, парковка доменов и проч.).
Головной болью в 2011 г. стали вредоносные программы в официальном магазине приложений Android. Иногда зловреды распространяются через Android Market в течение недель и даже месяцев, что приводит к большому числу заражений.
Портрет пользователя
Лаборатория Касперского опубликовала также портрет среднестатистического российского пользователя, сделанный на основании данных о 14,6 млн. россиян, полученных в 2011 г. с помощью «облачной» системы мониторинга и реагирования на угрозы Kaspersky Security Network. Вряд ли этот портрет принципиально отличается от описания украинца с точки зрения интернет-безопасности.
Три четверти пользователей попадали на сайты, содержащие вредоносное ПО, причем чаще всего, переходя по ссылкам с порносайтов (33% случаев), развлекательных (16%), развалов софта (14%) и из соцсетей (10%). Они подвергаются попыткам заражения на сайтах, расположенных на территории России (33%), Германии (16%), Голландии (11%), США (10%) и Украины (10%).
В среднем у одного пользователя сканер обнаруживает на компьютере 11 уязвимостей в установленном софте. Они активно используются эксплойтами, нацеленными на Windows (у 19% пользователей), Adobe Reader (18%) или Java (17%).
У 56% российских пользователей хотя бы раз в год срабатывает веб-антивирус. Это самый большой в мире показатель. У 61% срабатывает локальный обнаружитель, а всего антивирус срабатывает раз в месяц у 70% пользователей.
7% подвергаются фишинговым атакам (направленным на выманивание у пользователя персональных данных. – Прим. ред.). Преимущественно это происходит на поддельных интернет-сайтах, выдающих себя за Google (19% от всех фишинговых атак), «Одноклассники» (11%), «ВКонтакте» (10,5%), Mail.ru (10%), Microsoft (10%), «Яндекс» (9%) и Facebook (6%). В среднем на одного пользователя приходятся по десять фишинговых атак в год.