Kaspersky Security Bulletin 2010. Развитие угроз в 2010 году

1. Развитие угроз в 2010 году
   • 2010: год уязвимостей
   • Итоги года
     • Увеличение числа атак при помощи файлообменных сетей (подтвердилось)
     • Борьба за трафик (подтвердилось)
     • Эпидемии и увеличение сложности вредоносных программ (подтвердилось)
     • Снижение количества поддельных антивирусов (подтвердилось)
     • Атаки на и в Google Wave (не подтвердилось)
     • Атаки на iPhone и Android (подтвердилось частично)
     • Целевые атаки на корпорации и промышленные объекты
     • Цифровые сертификаты
   • Наиболее значительные инциденты и события года
     • Aurora
     • Троянцы-вымогатели
     • Stuxnet
     • TDSS
     • Множественные инциденты в Twitter и Facebook
     • Аресты киберпреступников и закрытие ботнетов
   • Прогнозы на 2011
     • Кибератаки-2011: украсть все
       • Методы
       • Новые организаторы и новые цели
       • Spyware 2.0
       • Суммируя основные предполагаемые тенденции 2011 года:
2. Kaspersky Security Bulletin 2010. Основная статистика за 2010 год
3. Kaspersky Security Bulletin 2010. Спам в 2010 году

Данный отчет является продолжением серии ежегодных аналитических отчетов «Лаборатории Касперского». В нем рассматриваются основные проблемы, затрагивающие персональных и корпоративных пользователей и связанные с использованием вредоносных, потенциально нежелательных и мошеннических программ, а также спама, фишинга и различных видов хакерской активности.

Отчет подготовлен экспертами Global Research&Analisys Team (GReAT) в сотрудничестве c подразделениями Content&Cloud Technology Research и Anti-Malware Research «Лаборатории Касперского».

2010: год уязвимостей

2010 год по событиям в области вредоносных программ оказался практически полным повторением прошлого года. Основные тенденции и общие направления атак остались прежними, однако в ряде технологий произошел переход на качественно новый уровень.

Количество новых вредоносных программ, обнаруживаемых за месяц, держится на уровне 2009 года, а для некоторых видов зловредов отмечен даже спад активности. Эта стабилизация вредоносного потока была отмечена нами в прошлом годовом отчете. Причины происходящего остались прежними: снижение активности ряда троянских программ (игровых троянцев), активная борьба правоохранительных органов, антивирусных и телекоммуникационных компаний с криминальными сервисами и группами киберпреступников. Кроме того, на стабилизацию числа новых вредоносных программ повлиял также ожидаемый нами спад количества лжеантивирусов.

Число новых вредоносных программ, добавляемых в коллекцию «Лаборатории Касперского»

Однако стабилизация количества новых вредоносных программ не означает стабилизацию количества атак. Во-первых, происходит постоянное увеличение сложности вредоносных программ, их технологический уровень значительно вырос даже по сравнению с прошлым годом. Во-вторых, большинство атак изначально осуществляется через браузер — при помощи множества уязвимостей и в самих браузерах, и в сторонних приложениях, взаимодействующих с ними. Это приводит к тому, что зачастую одна и та же вредоносная программа может распространяться при помощи десятка различных уязвимостей — что ведет к пропорциональному росту количества атак.

Если рассматривать атаки как совокупность зафиксированных нами инцидентов, то необходимо выделить 4 основных типа инцидентов:

• атаки через интернет (зафиксированные при помощи веб-антивируса);
• локальные инциденты (зафиксированные на пользовательских компьютерах);
• сетевые атаки (зафиксированные при помощи IDS);
• инциденты в электронной почте.

Впервые за историю наших наблюдений в 2010 году общее число зафиксированных нами инцидентов первых двух типов превысило 1,9 миллиарда! Атаки через браузер составили более 30% от общего количества данных инцидентов (свыше 500 000 000 отраженных атак). Более подробный анализ этих данных будет представлен в статистической части отчета.

Основной темой 2010 года стали уязвимости. Именно они стали основным способом проникновения вредоносного ПО на компьютеры. Продолжается переход от использования киберпреступниками уязвимостей в продуктах Microsoft к использованию уязвимостей в продуктах Adobe, а также Apple (Safari, Quicktime, iTunes). Ключевым звеном в таких атаках являются связки эксплойтов, использующих различные уязвимости в браузерах и плагинах к ним. Абсолютным лидером 2010 года по числу зафиксированных инцидентов с уязвимостями стали эксплойты, эксплуатирующие бреши в приложениях производства компании Adobe.

Если в прошлом киберпреступники в основном использовали уязвимости только на стадии первоначального проникновения в систему, то в 2010 году было обнаружено несколько вредоносных программ, которые используют различные уязвимости на всех стадиях своей работы. Некоторые из данных программ использовали и уязвимости «нулевого дня» — например, червь Stuxnet.

Итоги года

Многое из того, что произошло в 2010 году, мы прогнозировали в отчете за 2009 год, однако некоторые события оказались для всех неприятными сюрпризами.

Что касается наших прогнозов относительно наиболее вероятных путей развития киберпреступности и видов атак, то они почти полностью оправдались.

Увеличение числа атак при помощи файлообменных сетей (подтвердилось)

P2P-сети действительно стали в 2010 году одним из основных источников проникновения вредоносных программ на компьютеры, и, по нашим оценкам, в настоящий момент этот вектор является вторым по количеству инцидентов, уступая только атакам через браузер.

В файлообменных сетях распространялись практически все виды угроз: файловые вирусы, поддельные антивирусы, бэкдоры, всевозможные черви. Кроме того, такие сети стали основным путем распространения новых угроз — таких как ArchSMS.

Усиление активности киберпреступников в P2P-сетях было отмечено и специалистами по безопасности других компаний. Так, например, компания Cisco в отчете за первое полугодие 2010 года прямо указывает на значительный рост числа атак в трех самых популярных сетях: BitTorrent, eDonkey, Gnutella.

Действительно, началом эпидемий в P2P стал март, когда число инцидентов, зафиксированных при помощи Kaspersky Security Network, впервые превысило 2,5 миллиона в месяц. К концу года эта цифра, по самым скромным оценкам, достигла 3,2 миллиона атак.

Cледует отметить, что эти показатели относятся только к самораспространяющимся через P2P вредоносным программам (червям). Кроме них в файлообменных сетях наблюдалось значительное количество троянских программ и вирусов — таким образом, общее число инцидентов могло достигать до 10 млн. в месяц.

Борьба за трафик (подтвердилось)

Так называемые партнерские программы по-прежнему остаются одним из основных способов взаимодействия между киберпреступными группами и преступными же сервисами по созданию новых ботнетов, управлению существующими и перераспределению мощности ботнетов для новых видов деятельности.

Наряду с откровенно преступными видами их работы, такими как заражение легальных веб-сайтов и заражение пользователей по технологии drive-by-download, в 2010 году все чаще использовались «серые» способы заработка. К их числу относятся различные способы принуждения пользователя к загрузке файлов, использование «захваченных» ресурсов для Black SEO, Attention-grabbing links или распространения Adware, а также перенаправление трафика на различные ресурсы «для взрослых».

Более подробно о существующих методах работы подобных «партнерок» можно узнать в статье «Небезопасный интернет«.

Эпидемии и увеличение сложности вредоносных программ (подтвердилось)

В 2010 году не случилось ни одной эпидемии, сравнимой в совокупности по скорости, масштабам и привлеченному вниманию с историей червя Kido (Confiker) в 2009. Однако если оценивать эти факторы по отдельности, многие вредоносные программы прошедшего года, несомненно, могут быть причислены к эпидемиям (в глобальных масштабах).

Названия ботнетов Mariposa, Zeus, Bredolab, TDSS, Koobface, Sinowal, Black Energy 2.0 были постоянной темой публикаций и объектом исследований в 2010 году. За каждым из этих названий стоят миллионы зараженных компьютеров по всему миру. Все эти угрозы — из числа технологически самых сложных вредоносных программ.

Их не только распространяли всеми существующими способами, начиная с традиционной электронной почты, — их первыми стали распространять через социальные сети и файлообменники. Некоторые из этих угроз оказались первопроходцами в области вредоносных программ для 64-битных платформ, многие распространялись при помощи 0-day уязвимостей и т.д.

Добавьте к этому списку червь Stuxnet — уникальную программу, знаменующую переход вирусописательства на качественно новый уровень. Для того чтобы почти полностью проанализировать и понять его функционал и работу всех его компонентов, экспертам антивирусных компаний потребовалось более трех месяцев. Stuxnet стал главной темой информационной безопасности во второй половине 2010 года и оставил далеко позади все известное ранее по количеству публикаций.

Мы видим, что самые распространенные вредоносные программы оказываются и с технологической точки зрения наиболее сложными угрозами. Это повышает планку для антивирусных компаний, которые ведут с ними технологическую войну. Совершенно недостаточно уметь детектировать 99% миллионов существующих вредоносных образцов и при этом не уметь детектировать и лечить одну, но крайне сложную (и как следствие — широко распространенную) угрозу.

Снижение количества поддельных антивирусов (подтвердилось)

Это был весьма спорный прогноз, в отношении которого мнения разделились даже среди моих коллег. Для его осуществления было необходимо наличие ряда дополнительных факторов, таких как изменение основных способов заработка владельцев и участников партнерских программ, противодействие со стороны антивирусных компаний и правоохранительных органов, наличие серьезной конкуренции среди разных групп киберпреступников, занимающихся созданием и распространением поддельных антивирусов.

Подводя итоги года и опираясь на статистические данные, полученные при помощи KSN, можно считать, что уменьшение количества поддельных антивирусов в мире в целом действительно произошло. Достигнув максимума своей активности в феврале-марте 2010 года (примерно 200 000 инцидентов в месяц), к концу 2010 года лжеантивирусы примерно в 4 раза сократили свое распространение. Вместе с этим наблюдается гораздо большая региональная направленность существующих лжеантивирусов. Мошенники перестали распространять их повсеместно и сфокусировались на малом количестве стран (в первую очередь на США, Франции, Германии и Испании).

Атаки на и в Google Wave (не подтвердилось)

Данный проект был закрыт компанией Google в середине 2010 года, так и не начав работать в полную силу и не набрав критической массы участников. По этой причине прогноз относительно атак на этот сервис и его клиентов не оправдался.

Атаки на iPhone и Android (подтвердилось частично)

В 2009 году были обнаружены первые вредоносные программы для iPhone и шпионская программа для Android. На 2010 год мы предполагали значительное усиление внимания киберпреступников к данным платформам.

Что касается iPhone, то инцидентов с настоящими вредоносными программами, аналогичных тому, что был вызван червем Ike в 2009 году, не произошло. Однако в этом году для данной платформы было создано несколько концептуальных программ, демонстрирующих способы, которые могут быть взяты на вооружение киберпреступниками. Стоит отметить программу SpyPhone, созданную швейцарским исследователем и имеющую возможность несанкционированного доступа к информации об устройстве и местоположении iPhone, паролях, истории поиска в интернете, интересах, занятиях и друзьях владельца iPhone.

Эта информация затем может быть незаметно отослана на удаленный сервер. Такой функционал может быть успешно скрыт внутри приложения совершенно безобидного вида.

Если раньше эксперты говорили о том, что в основную группу риска входят те пользователи, которые осуществили jailbreak своего телефона для установки любых приложений из любых источников, то сейчас речь идет о теоретической возможности вредоносной атаки на пользователей, загружающих приложения из Apple Store. Уже произошло несколько инцидентов с легальными приложениями, которые незаметно собирали пользовательские данные и передавали их разработчикам.

Все вышеописанное актуально и для Android, но с важным дополнением — для этой платформы были обнаружены вредоносные программы, работающие по уже распространенной методике мобильных троянцев — отправке SMS на платные номера. Trojan-SMS.AndroidOS.FakePlayer, очевидно созданный российскими вирусописателями, был обнаружен нашей компанией в сентябре 2010 года и стал первой реальной Android-malware. Несмотря на то что распространение троянца происходило не через Android Market, а через мошеннические веб-сайты, мы расцениваем вероятность появления вредоносных приложений и на Android Market как весьма высокую. Более того, одно только число легальных приложений, которые при установке на телефон запрашивают (и получают!) у пользователя доступ к его частным данным, функциям отправки SMS и осуществления звонков, заставляет задуматься о надежности всей концепции безопасности на Android в целом.

Это все, что касается наших прогнозов и того, насколько они оказались верными. Кроме этого, необходимо отметить еще ряд инцидентов и тенденций, которые оказали большое влияние на индустрию IT-безопасности.

Целевые атаки на корпорации и промышленные объекты

Атака, известная как Aurora, затронула не только Google (который считался основной мишенью атакующих), но и ряд других крупных компаний по всему миру. Инцидент выявил серьезные бреши в системах безопасности и потенциальную цель атакующих — кибершпионаж и кражу конфиденциальной коммерческой информации. Отметим, что в будущем целевые атаки будут использоваться для того же.

История червя Stuxnet, о которой мы уже упомянули, интересна не только запредельной сложностью этой программы, но, в первую очередь, объектом его атаки, которым стали программируемые логические контроллеры (PLC), используемые в промышленном производстве. Это первый получивший широкую огласку пример настоящей кибердиверсии в промышленности, способной нанести серьезный физический ущерб. Существовавшая ранее грань между виртуальным и реальным миром фактически оказалась стерта, и это ставит перед нами совершенно новые задачи, которые предстоит решать в ближайшее время.

Цифровые сертификаты

Цифровые сертификаты и подписи являются одним из столпов, на которых строится доверие к различным объектам в компьютерном мире. Естественно, наличие подписи в файле играет важную роль при разработке антивирусов. Например, подписанные доверенными производителями файлы считаются чистыми. Эта технология позволяет разработчикам антивирусных решений уменьшать количество ложных срабатываний, а заодно сэкономить ресурсы при сканировании компьютеров пользователей на предмет заражения.

События 2010 года показали, что злоумышленник может получить цифровой сертификат вполне легальным образом, как и любой другой разработчик софтверных решений. Например, официально разрабатывая «ПО для удаленного управления компьютером без GUI», которое по сути является бэкдором. Наибольшей популярностью такой вид защиты от детектирования используют создатели AdWare, RiskWare и лжеантивирусов. Получив от центра сертификации необходимый ключ, злоумышленник может подписывать любые свои творения без особых усилий.

По сути дела можно говорить о том, что идея сертификации программ серьезно дискредитирована. Вплоть до того, что мы стоим перед лицом дискредитации некоторых сертификационных центров (которых существует несколько сотен) или появления принадлежащих киберпреступникам центров CA.

Кроме того, сертификат (а точнее его закрытый ключ) — это по сути файл, и поэтому существует способ его украсть, как и любую другую виртуальною собственность. Обнаруженные компоненты червя Stuxnet были подписаны с помощью сертификатов от Realtek Semiconductors и JMicron. Как именно закрытый ключ перешел в руки злоумышленников, неизвестно, но очевидно, что существует несколько путей. Они могли заполучить эти важные файлы, купив их у инсайдеров или украв их с помощью какого-либо бэкдора или аналогичной вредоносной программы. Кража сертификатов, например, сейчас является одной из функций очень распространенного троянца Zbot (ZeuS).

Наиболее значительные инциденты и события года

Aurora

Атака «Операция Аurora», которая прошла в первые месяцы 2010 года, вызвала повышенный интерес и со стороны экспертов по безопасности, и со стороны СМИ. Как было сказано выше, объектами атаки стали крупные компании, в том числе Google и Adobe. Злоумышленники, стоявшие за организацией атаки, планировали получить не только конфиденциальные данные пользователей, но и исходные коды ряда корпоративных проектов.

Основным инструментом атаки был эксплойт к уязвимости CVE-2010-0249 в браузере Internet Explorer. На момент использования его злоумышленниками, компания Microsoft еще не имела патча, закрывающего данную брешь. Таким образом, Aurora стала еще одним ярким примером эксплуатации 0-day уязвимости.

Троянцы-вымогатели

В начале и середине 2010 года одной из главных проблем пользователей в России и ряде стран бывшего Советского Союза были многочисленные заражения различными модификациями так называемых SMS-блокеров.

Эти вредоносные программы, распространявшиеся несколькими способами, в том числе и через популярные русскоязычные социальные сети, а также с помощью технологий drive-by-download и через файлообменные сети, при запуске на компьютере жертвы блокировали работу операционной системы или доступ в интернет и требовали отправить SMS на платные premium-номера для получения «кода разблокировки».

Масштаб проблемы оказался столь велик, а число пострадавших столь значительно, что ситуация не только попала в поле зрения правоохранительных органов, но и получила широчайшее освещение в средствах массовой информации России. Причем не только в блогосфере, но и на ТВ. Мобильные операторы также внесли свой вклад в борьбу с мошенниками, введя новые правила регистрации и работы коротких номеров, а также постоянно блокируя мошеннические аккаунты и распространяя информацию о таком SMS-мошенничестве среди клиентов.

В конце августа в Москве было арестовано несколько человек, обвиняемых в создании SMS-блокеров. По данным МВД РФ, доход, полученный этой группой незаконным путем, оценивается в 500 млн. рублей.

Впрочем, говорить об исчезновении проблемы пока рано. Злоумышленники начали использовать и другие способы получения от пострадавших денег за «разблокировку» (например, переводом при помощи электронных платежных систем или через терминалы оплаты услуг мобильной связи).

Кроме того, в конце года были зафиксированы новые инциденты с троянцами-шифровальщиками класса Gpcode, которые шифруют данные при помощи криптостойких алгоритмов RSA или AES и также требуют оплаты за восстановление информации.

Stuxnet

Обнаружение летом 2010 года червя Stuxnet оказалось самым значительным по своему влиянию на индустрию событием, и не только этого года. Даже первоначальный анализ червя выявил два значительных фактора, заставивших заняться его детальным анализом.

Во-первых, сразу было отмечено использование 0-day уязвимости в OS Windows, состоящей в некорректной обработке LNK-файлов (CVE-2010-2568). Уязвимость используется для запуска вредоносных файлов со съемных USB-накопителей. Эта уязвимость довольно быстро стала объектом внимания и со стороны других злоумышленников — уже в июле были отмечены случаи распространения прочих вредоносных программ, использующих данную уязвимость. В частности, мы зафиксировали использование эксплойта к этой уязвимости распространителями Sality и Zbot (ZeuS). Только в третьем квартале атакам с помощью эксплойтов к уязвимости CVE-2010-2568 подверглось 6% пользователей KSN.

Во-вторых, в черве использовались легальные цифровые сертификаты компании Realtek. О проблеме цифровых сертификатов, ставшей актуальной в 2010 году, мы уже упомянули в разделе основных итогов года.

Интересно, что спустя некоторое время был обнаружен вредоносный компонент Stuxnet, подписанный сертификатом компании JMicron, однако оригинальный файл-носитель (дроппер), который бы устанавливал данный компонент, так никогда никем и не был обнаружен. Происхождение этого компонента — еще одно белое пятно в истории Stuxnet, которая и так весьма загадочна.

Дальнейший анализ червя выявил наличие в нем еще трех эксплойтов к уязвимостям нулевого дня в Windows. Первый из них отвечал за распространение червя по локальной сети и использовал брешь в работе сервиса принтеров общего доступа. Эта уязвимость была обнаружена экспертами нашей компании, и соответствующий патч был выпущен компанией Microsoft в сентябре 2010 года. Две другие уязвимости использовались для повышения системных привилегий червя в системе — через компонент win32k.sys и при помощи Task Scheduler. К обнаружению первой из них также имели отношение эксперты «Лаборатории Касперского».

Однако эксплуатация уязвимостей (всего Stuxnet использует пять уязвимостей, плюс была задействована одна уязвимость в ПО Siemens WinCC, связанная с паролями для доступа по умолчанию) оказалась не самым примечательным свойством червя. Деструктивная активность червя нацелена на системы с определенной конфигурацией SIMATIC WinCC/PCS7, которые (и это самое важное!) имеют доступ к специфическим моделям программируемых логических контроллеров (PLC) и преобразователям частоты вращения от определенных производителей. Динамическая библиотека, устанавливаемая червем, перехватывает часть функций системы и, соответственно, может влиять на операции в системе управления промышленным объектом. Основной задачей червя является изменение логики работы контроллеров в частотных преобразователях. Эти контроллеры используются для контроля скорости вращения двигателей. Причем работают они с рассчитанными на очень высокую частоту оборотов двигателями, для которых существует небольшое количество применений — например, в центрифугах.

TDSS

Среди «классических» киберпреступных вредоносных программ пальма первенства в 2010 году принадлежала TDSS. Использовать термин «классический» нас заставляет появление описанного выше Stuxnet, который, несомненно, представляет собой совершенно новое явление на вирусной сцене и не может быть продуктом деятельности обычных киберпреступников.

Бэкдор TDSS неоднократно становился темой наших аналитических публикаций в 2009-2010 годах. Подобный интерес он вызывал и у исследователей других антивирусных компаний. Это легко объяснить, поскольку именно TDSS в настоящее время является наиболее технологически сложным вредоносным кодом (не учитывая Stuxnet). В нем не только постоянно реализуются новые методы сокрытия себя в системе и управления ботнетом, его авторы также не забывают использовать и различные уязвимости, как уже исправленные, так и нулевого дня.

В 2010 году главным новшеством в TDSS стала реализация его работы в 64-битных системах. Эта модификация была обнаружена в августе и имела внутренний номер TDL-4. Для обхода системы защиты Windows, авторы TDSS применили технологию заражения MBR, схожую с используемой в другом троянце — Sinowal. При успешном заражении MBR вредоносный код начинает исполняться еще до запуска операционной системы и может изменить ее параметры загрузки таким образом, что в системе можно зарегистрировать неподписанные драйверы.

Загрузчик руткита, определив, под какой системой — x86 или x64 — будет работать вредоносная программа, размещает код драйвера в памяти и регистрирует его в системе. После чего происходит загрузка операционной системы с уже внедренным вредоносным кодом. Причем руткит функционирует таким образом, что он не изменяет области ядра, защищаемые еще одной, встроенной в ОС, технологией PatchGuard.

Компания Microsoft, которой наши эксперты сообщили об обнаруженной проблеме, сочла эту «особенность» не критичной и не классифицировала ее как уязвимость, поскольку для записи в бут-сектор троянец уже должен был обладать административными привилегиями в системе.

Для получения подобных привилегий TDSS использует различные трюки и постоянно совершенствуется. Так, в начале декабря, нами было обнаружено использование в TDSS еще одной уязвимости нулевого дня для повышения привилегий. Это уязвимость в Task Scheduler, впервые задействованная в Stuxnet и исправленная Microsoft только в середине декабря 2010.

Множественные инциденты в Twitter и Facebook

Две наиболее популярные и стремительно развивающиеся социальные сети в 2010 году стали объектами множества атак. Эти атаки были вызваны не только тем, что киберпреступники стали использовать такие сети как еще один способ распространения вредоносных программ, но и обнаруженными в этих сетях уязвимостями, которые облегчали эту задачу.

Что касается вредоносных программ, то наибольшую активность проявляли многочисленные варианты червя Koobface. В основном они были нацелены на Twitter, в котором со взломанных учетных записей распространялись ссылки на троянские программы. Эффективность рассылок в социальных сетях подтверждают цифры. Только в ходе одной незначительной атаки, проведенной в сети Twitter, всего за час по разосланной ссылке прошли более 2000 пользователей.

Показательная история, связанная с популярностью iPhone, произошла в социальной сети Twitter в мае. 19 мая администрация Twitter сделала официальное заявление о том, что появилось новое приложение «Twitter для iPhone». На той волне обсуждения, которая поднялась после публикации анонса, решили прокатиться и злоумышленники. Меньше чем через час после публикации новости Twitter пестрел сообщениями, в которых повторялось сочетание «twitter iPhone application», а ссылки вели на вредоносную программу Worm.Win32.VBNA.b.

Кроме того, некоторые авторы вредоносных программ использовали Twitter, например, для генерации новых доменных имен центров управления ботнетами.

Несколько XSS-уязвимостей, обнаруженных в Twitter в 2010 году, активно использовались киберпреступниками. Особо примечательными стали атаки, осуществленные в сентябре. Тогда в социальную сеть были запущены несколько XSS-червей, распространявшихся без участия пользователей, — достаточно было просмотреть зараженное сообщение. По нашим оценкам, в ходе этих эпидемий атаке подверглось более полумиллиона пользователей Twitter.

В мае в Facebook появился новый вид атак, связанный с нововведенной функцией «like». Как несложно догадаться, эта функция отвечает за список того, что понравилось владельцу учетной записи сети. Тысячи пользователей стали жертвами атаки, которая получила название «likejacking» — по аналогии с clickjacking.

На Facebook размещалась ссылка-приманка, например «чемпионат мира 2010 в высоком разрешении» или «101 самая привлекательная женщина в мире». Ссылка вела на специально созданную страничку, на которой сценарий, написанный на Javascript, помещал невидимую кнопку «like» («мне нравится») прямо под курсором. Кнопка перемещалась вслед за курсором, так что где бы пользователь ни кликнул, он неизбежно нажимал на эту кнопку и, как следствие, автоматически добавлял на свою «стену» копию ссылки. В результате в лентах друзей пользователя появлялась информация, что эта ссылка ему нравится (he or she likes). Далее атака росла по принципу снежного кома: по ссылке проходили друзья, затем по той же ссылке — друзья друзей и т.д. После добавления ссылки на «стену» пользователь переходил на страницу с обещанной изначально информацией — например, с фотографиями девушек. Атака по сути была мошеннической: на той же странице был расположен небольшой сценарий Javascript одной рекламной кампании, благодаря которому за каждого посетителя страницы организаторы атаки получали небольшую сумму денег.

Аресты киберпреступников и закрытие ботнетов

В 2008-2009 годах действия надзорных структур, телекоммуникационных компаний и антивирусной индустрии, нацеленные на борьбу с криминальными интернет-хостингами и сервисами, привели к определенным успехам. Начало было положено в конце 2008 года, когда были закрыты такие сервисы, как McColo, Atrivo, EstDomains. В 2009 году борьба продолжилась и привела к прекращению деятельности UkrTeleGroup, RealHost и 3FN.

2010 год стал самым успешным для правоохранительных органов разных стран мира в борьбе с киберпреступностью. Мы уже отметили арест ряда авторов SMS-блокеров в России, и это только небольшая часть глобальной компании по привлечению преступников к ответственности.

В начале 2010 года была закрыта часть командных серверов ботнета, строящегося с помощью вредоносной программы Email-worm.Win32.Iksmas, также известной как Waledac. Ботнет был известен массированными спам-атаками — до 1,5 млрд. писем в сутки, эксплуатацией горячих тем в спамовых письмах со ссылками на Iksmas, server-side полиморфизмом бота и использованием технологии fast-flux.

Летом испанская полиция арестовала владельцев одного из крупнейших ботнетов — Mariposa. Этот ботнет был создан с помощью червя P2P-worm.Win32.Palevo. Червь распространяется через каналы пиринговых сетей, инстант-мессенджеры и с использованием функции autorun, т.е. через любые переносные устройства — от фотокамеры до флешки. Основным способом «монетаризации» Palevo была продажа и использование персональных данных владельцев зараженных машин: логинов и паролей от различных служб, в первую очередь, от интернет-банкинга. Позднее в Словении были арестованы четверо молодых людей, которых обвинили в создании вредоносного кода червя по заказу испанских «клиентов». По оценкам экспертов, размер ботнета Mariposa мог достигать 12 миллионов машин, что делает его одним из крупнейших в истории интернета

Весной 2010 года в России был арестован и в сентябре осужден один из организаторов так называемого «RBS hack». История о том, как неизвестные преступники украли из сотен банкоматов по всему миру в ходе одной операции более 9 миллионов долларов, широко освещалась в 2009 году. Несмотря на серьезность преступления и размер суммы, суд Санкт-Петербурга приговорил его к 6 годам лишения свободы условно. Один из организаторов атаки был арестован в Эстонии и затем выдан США, где ждет суда. Еще два участника аферы были также арестованы — один во Франции, другой в России.

Осенью прошли массовые аресты преступников, связанных с использованием вредоносной программы ZeuS. В конце сентября в США были арестованы 20 человек — выходцы из России, Украины и других стран Восточной Европы — денежных мулов, которые занимались отмыванием денег, украденных с помощью этого троянца. Одновременно с этим по схожему делу была захвачена группа лиц и в Великобритании.

Вскоре после этих событий, предполагаемый автор ZeuS заявил на ряде форумов, где общаются представители русскоязычной киберпреступности, о том, что «выходит из бизнеса» и передает исходные коды троянца и его модулей другому разработчику.

В середине октября была поставлена точка в истории еще одного весьма известного ботнета, созданного при помощи троянской программы Bredolab. На самом деле говорить следует не об одном ботнете, а о нескольких, управляемых более чем из сотни центральных серверов. Все они были отключены от интернета в результате операции, проведенной голландской и французской киберполицией. На момент выключения ботнета его крупнейший сегмент состоял более чем из 150 000 зараженных машин. Владельцем ботнета оказался гражданин Армении. Наблюдение за ним велось несколько месяцев, и после того, как серверы были отключены, его арестовали — в аэропорту Еревана, по прилете из Москвы. Предполагается, что в России он осуществлял незаконные сделки с другими киберпреступниками. По некоторой информации, он занимался преступным бизнесом на протяжении почти десяти лет и был ответствен за ряд громких DDoS-атак и рассылку спама. Еще одним способом нелегального дохода для него была сдача в аренду или продажа частей ботнета другим преступникам.

Прогнозы на 2011

Кибератаки-2011: украсть все

Для того чтобы лучше понимать ожидающие нас в 2011 году события в области вирусных угроз, необходимо разделить возможные тенденции на несколько категорий. Собственно говоря, их всего три: цели, методы и организаторы кибератак.

Ранее в наших прогнозах мы рассматривали исключительно методы — например, «атаки на мобильные платформы», «уязвимости» и т.д. Это обусловлено тем, что на протяжении последних лет, по сути, единственным создателем вирусных угроз была киберпреступность. И цель ее оставалась неизменной — деньги.

Но в 2011 году, возможно, произойдет значительное изменение именно в составе организаторов кибератак и их целей. Это изменение будет сравнимо по значимости с исчезновением вредоносных программ, написанных исключительно just for fun, из хулиганских побуждений или с целью самоутверждения, и появлением современной киберпреступности.

Методы

Важно отметить, что методы кибератак не зависят от состава их организаторов и целей и являются отражением технических возможностей, предоставляемых современными операционными системами, интернетом и его сервисами, а также цифровыми устройствами для работы с сетью.

В 2010 году на первом плане оказалась проблема уязвимостей. В 2011 году актуальность этой проблемы еще более возрастет. Рост числа случаев использования киберпреступниками ошибок в легальных программах будет вызван не только обнаружением новых уязвимостей в популярных продуктах (Windows, Office, продукты Adobe и Apple), но и возрастающей скоростью реакции злоумышленников на их обнаружение. Если всего пару лет назад активное использование 0-day уязвимостей было уникальным явлением, то в 2010 году такие случаи стали совсем не редкими. Эта тенденция продолжится, и угрозы «нулевого дня» будут все больше превалировать. Кроме того, активно эксплуатироваться будут не только излюбленные злоумышленниками уязвимости класса «remote code execution», но и пока остающиеся без особого внимания уязвимости, которые делают возможным поднятие системных привилегий, манипулирование данными, обход защитных механизмов системы.

По-прежнему основными способами нелегального заработка будут кражи учетных записей систем онлайн-банкинга, рассылка спама, организация DDoS-атак, вымогательство и мошенничество. Для этого будут применяться те же методы, что и сейчас, с незначительным усилением одних и ослаблением других.

Несомненно, увеличится число угроз, работающих на 64-битных платформах. В области атак на мобильные устройства и мобильные ОС будут сделаны новые шаги, и в первую очередь это затронет Android. Возрастет число атак на пользователей социальных сетей. Большинство атак будут использовать уязвимости и осуществляться через браузер. DDoS-атаки по-прежнему останутся одной из главнейших проблем интернета.

Но, к сожалению, все это будет только фоном к основному изменению ландшафта — появлению новых организаторов и новых целей кибератак.

Новые организаторы и новые цели

Как мы уже сказали выше, в течение последних лет нам приходилось бороться с вредоносным кодом, созданным киберпреступниками с целью наживы. Но создание нашумевшего червя Stuxnet означало, что некий моральный и технологический барьер пройден. Атака червя показала всему миру, что возможности кибероружия весьма впечатляющи, а противостояние ему может оказаться крайне сложной задачей для защищающейся стороны. Не исключено, что теперь программы, подобные Stuxnet, возьмут на вооружение киберспецслужбы и коммерческие компании. Именно такие структуры и станут новыми организаторами кибератак, составив конкуренцию киберпреступности.

Разумеется, по количеству атак и вирусных инцидентов такие нарушители спокойствия в интернете будут значительно уступать традиционным киберпреступникам. Но при этом их атаки могут быть гораздо более изощренными и трудно обнаруживаемыми. Они не будут затрагивать обычного пользователя. Это будет невидимая борьба, эпизоды которой лишь изредка случайно будут попадать в поле зрения СМИ. Большинство жертв так никогда и не узнает о том, как и кто нанес им ущерб. Речь идет даже не о кибердиверсии, которым занимался Stuxnet. Информация — вот что будет основной целью таких атак.

Возможно, подобные атаки только начнутся в 2011 году, а в полной мере развернутся только в последующие годы. Однако уже сейчас понятно, что вследствие предполагаемого появления новых участников атак борьба с киберугрозами значительно усложнится.

Spyware 2.0

Несколько лет назад мы описывали концепцию Malware 2.0. Пришло время для новой концепции — Spyware 2.0.

Посмотрите на современные вредоносные программы. Помимо рассылки спама и организации DDoS-атак, их основной функционал сводится к краже пользовательских учетных записей от чего угодно: банковских и платежных систем, электронной почты, социальных сетей и т.д. Однако это далеко не все и далеко не самое ценное, чем владеют пользователи. В 2011 году мы ожидаем появления нового класса шпионских программ, функционал которых можно описать достаточно просто: «украсть все». Их будет интересовать сам пользователь: его местоположение, работа, увлечения, знакомые, данные о его состоянии, семье, цвете волос и глаз и т.д. Их будет интересовать каждый документ и каждая фотография, которая хранится на зараженном компьютере.

Не правда ли, такой набор данных похож на то, что так стремятся заполучить социальные сети и продавцы интернет-рекламы? Эта информация действительно нужна всем, потенциальных покупателей таких данных — множество. Ее дальнейшее использование может быть весьма разнообразным, но, вне всякого сомнения, спрос на нее есть, и в будущем он будет расти. А это значит, что киберпреступность получает еще один источник доходов.

Более того, по пути «похитителей всего» пойдут и новые, описанные выше, организаторы кибератак. Информация — это главная ценность современного мира, и тот, кто ею владеет, — владеет всем. Сфера интересов тех, кто инициирует атаки такого рода, значительно расширится.

Кроме того, традиционная киберпреступность все чаще и все активнее начнет вторгаться в ту область, которую она до сих пор избегала, — проводить атаки на компании. Если ранее помимо обычных пользователей злоумышленников привлекали исключительно банковские и различные платежные системы, то сейчас они достаточно продвинулись в технологическом плане для выхода на рынок промышленного шпионажа и шантажа.

Суммируя основные предполагаемые тенденции 2011 года:

• На поле создания вредоносных программ и организации кибератак выходят новые игроки.
• Помимо получения денежной прибыли, целью создания вредоносных программ и проведения атак станет кража и дальнейшее использование любой возможной информации.
• Информация будет основной целью новых организаторов атак, и она же станет дополнительным способом заработка для традиционной киберпреступности.
• Появится новый класс вредоносных программ — Spyware 2.0, — который будет нацелен на кражу персональной информации пользователей (identity theft) и тотальную кражу любых данных.
• Spyware 2.0 станет инструментом не только традиционной киберпреступности, но и новых организаторов атак.
• Традиционная киберпреступность будет все чаще атаковать корпоративных пользователей, постепенно отказываясь от прямых атак на домашних пользователей.
• Уязвимости останутся главным путем осуществления атак, при этом разнообразие используемых злоумышленниками уязвимостей и быстрота их использования значительно возрастут.

---

Информация, содержащаяся в данном документе, отражает актуальное представление ЗАО «Лаборатория Касперского» об описанных проблемах на дату публикации документа и носит исключительно информационный характер. Любая информация, содержащаяся в данном документе, включая URL-адреса и другие ссылки на веб-сайты, может изменяться без предварительного уведомления. ЗАО «Лаборатория Касперского» не гарантирует точность любых представленных сведений после даты публикации. Данную информацию не следует трактовать как какие-либо обязательства или гарантии со стороны ЗАО «Лаборатория Касперского».