Kaspersky Security Bulletin

Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году

  1. Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году
  2. Kaspersky Security Bulletin. Основная статистика за 2011 год
  3. Kaspersky Security Bulletin. Спам в 2011 году

Обзор вирусной активности: 2011 — год «взрывоопасной» безопасности

2011 год закончился, и сейчас самое время усесться поудобнее и еще раз взглянуть на то, что же произошло в мире информационной безопасности за последние 12 месяцев. Если бы нужно было одним словом охарактеризовать прошедший год, то я бы назвал его «взрывоопасным». Количество инцидентов, историй, фактов, новых тенденций и интригующих участников так велико, что выбрать десятку самых-самых историй безопасности-2011 было очень непросто. Целью создания этой десятки было желание вспомнить эпизоды, которые либо определили основные тенденции в распространении IT-угроз, либо вывели на сцену новые действующие лица.

1. Появление «хактивизма»

Трудно представить себе, что кто-либо из читающих эту статью не слышал о Anonymous, LulzSec или TeaMp0isoN. В течение всего 2011 года эти хакерские группы вместе с «коллегами» активно участвовали в различных мероприятиях, направленных против правоохранительных органов, банков, правительств, компаний, занимающихся информационной безопасностью и основных производителей программного обеспечения. Иногда работая вместе, а иногда и друг против друга, эти группы выступали единым строем в инцидентах информационной безопасности, взламывая сети Организации Объединённых Наций, разведывательно-аналитической компании Stratfor, RC Federal (подрядчика ФБР), ManTech (подрядчика министерства обороны США) и ЦРУ . Любопытно, что некоторые из этих инцидентов, например взлом сети Stratfor, вскрыли серьезные проблемы с защитой информации, такие как хранение CVV-кодов (Card Validation Code) в незашифрованном формате или использование администраторами ненадежных паролей.

Итак, можно сказать, что волна «хактивизма» стала одной из основных тенденций 2011 года, и нет никаких сомнений в том, что в 2012-м подобные инциденты продолжатся.

2. Взлом HBGary Federal

Хотя эта история очень похожа на предыдущую, я бы все-таки выделил ее в отдельный эпизод. В январе 2011 года хакеры группы Anonymous, использовав механизм SQL-инъекций, взломали веб-сервер hbgaryfederal.com компании HBGary Federal. Им удалось заполучить хеши MD5 нескольких паролей, принадлежащих генеральному директору компании Аарону Барру и исполнительному директору Теду Вера. К сожалению, оба директора использовали очень простые пароли, состоявшие из шести строчных букв и двух цифр, что и позволило хакерам получить доступ к документации компании и десяткам тысяч ящиков электронной почты, хранившихся на Google Apps. Полагаю, эта история весьма актуальна, поскольку наглядно показывает, как использование слабых паролей, старых систем программного обеспечения и данных из «облака» может привести к информационной катастрофе. Если бы руководители компании имели надежные пароли, ничего подобного бы не случилось. Или если бы на Google Apps действовала система мультифакторной аутентификации, взломщики не смогли бы добраться до учетной записи пользователя с правами администратора и скопировать всю электронную переписку компании . Важно понимать, что даже если все меры безопасности были бы приняты, нельзя исключать того, что упорные хакеры не придумали бы других способов найти входную дверь. Настойчивость и решимость в сочетании с массой времени, находящегося в их распоряжении, позволяют хакерам добиваться своего.

3. Устойчивые угрозы повышенной сложности (Advanced Persistent Threat, или APT)

Хотя многие эксперты по информационной безопасности не любят этот термин, он уже закрепился в СМИ и стал суперпопулярным в применении к инцидентам, подобным взлому системы безопасности RSA или кибератакам Night Dragon, Lurid и Shady Rat, нагло названными их организаторами «операциями». Любопытно, что многие из этих «операций» вовсе не были сложными. В некоторых случаях применялись атаки «нулевого дня». Например, в истории с RSA для запуска вредоносного кода на инфицированном компьютере хакеры использовали CVE-2011-0609 — уязвимость в Adobe Flash Player. Жертвой еще одной 0-day уязвимости, CVE-2011-2462, на этот раз в Adobe Reader, стал федеральный IT-подрядчик министерства обороны США ManTech. Во всех этих атаках есть кое-что общее: часто использовались 0-day уязвимости в программном обеспечении Adobe, многие атаки имели «американские цели», особенно компании, работающие с военными или правительственными организациями США (Lurid в этом смысле интересна тем, что в основном ориентировалась на страны Восточной Европы, такие как Россия и СНГ). Эти атаки подтверждают, что на сцену выходят сильные игроки – национальные государства, а кибершпионаж становится общепринятой практикой. Кроме того, создается впечатление, что многие из этих атак взаимосвязаны и работают на общий результат. Например, взлом RSA имел такие ощутимые последствия потому, что хакеры похитили базу данных SecurID токенов, которая затем была использована в другой серьезной кибератаке.

4. Инциденты с Comodo и DigiNotar

15 марта 2011 года были взломаны учетные записи одной из доверенных компаний-партнеров Comodo, выпускающей защитные программные продукты и SSL-сертификаты. Хакеры быстро использовали существующую инфраструктуру для создания девяти поддельных цифровых сертификатов для веб-сайтов, таких как mail.google.com, login.yahoo.com, addons.mozilla.com и login.skype.com. В ходе анализа инцидента Comodo смогла выяснить, что атака шла из Тегерана, с IP-адреса 212.95.136.18. Однако с точки зрения масштабности она не идет ни в какое сравнение со взломом компьютеров сертификационного центра DigiNotar. 17 июня 2011 года злоумышленники начали «прощупывать» серверы DigiNotar, а уже через пять дней сумели получить доступ к их инфраструктуре и сгенерировать более 300 поддельных сертификатов. Они даже оставили сообщение в форме цифрового сертификата, содержащее текст на персидском: «Я, великий хакер, взломаю все ваши коды, я сведу вас с ума!» Чтобы иранский след выглядел еще более убедительным, позже эти поддельные сертификаты были использованы для организации атаки man-in-the-middle, в результате которой пострадали более 100 000 иранских пользователей Gmail.

Истории с Comodo и DigiNotar заставили заговорить о потере доверия к компаниям, которые выпускают цифровые сертификаты. Ожидается, что в будущем атаки на них станут еще более широкомасштабными. Мы также предполагаем, что появится больше вредоносных программ с цифровыми подписями.

5. Duqu

В июне 2010 г. исследователь Сергей Уласень из белорусской компании ВирусБлокАда обнаружил любопытный образец вредоносного ПО. Его драйверы были подписаны сертификатами, которые, очевидно, были ворованными. Эта вредоносная программа также содержала эксплойт нулевого дня, который использовал lnk-файлы для ее распространения, применяя схему, типичную для Autoran-червей. Эта вредоносная программа, получившая всемирную известность под названием Stuxnet, представляет собой компьютерный червь с совершенно особым вредоносным функционалом, направленным непосредственно против ядерной программы Ирана. Stuxnet перехватывал управление ПЛК Siemens в иранском ядерном центре в Натанзе и перепрограммировал их очень специфическим образом, который указывает на единственную цель – срыв процесса обогащения урана в Натанзе. Еще тогда, увидев код, отвечающий за перепрограммирование ПЛК (которые управляли центрифугами, работающими со скоростью 64 000 оборотов в минуту), я подумал, что подобное невозможно написать, не имея доступа к проектной документации и исходному коду. Но как могли злоумышленники раздобыть такую секретную вещь, как особый код, управляющий работой установок стоимостью миллиард долларов?

Один из возможных ответов в троянце Duqu. Созданный теми же людьми, что и Stuxnet, Duqu был обнаружен в августе 2011 года венгерской исследовательской лабораторией CrySyS. Поначалу было неясно, как именно Duqu заражает свои цели. Позднее было обнаружено, что Duqu проникает на компьютер с помощью вредоносных документов Microsoft Word, которые используют уязвимость, известную как CVE-2011-3402. Перед Duqu ставятся совершенно иные задачи, чем те, ради которых был создан Stuxnet. Эта троянская программа по сути представляет собой весьма хитрый инструментарий для проведения атак, позволяющий взломать систему и затем систематически выкачивать оттуда информацию. Предусмотрена возможность загружать на компьютер-жертву новые модули и исполнять их «на лету», не оставляя следов в файловой системе. Модульная архитектура, а также малое число жертв по всему миру – причина того, что Duqu оставался необнаруженным в течение нескольких лет. Самый ранний след связанной с Duqu активности, который нам удалось отыскать, датируется августом 2007 года. Во всех проанализированных нами инцидентах злоумышленники использовали для скачивания данных с компьютеров жертв – иногда это были сотни мегабайт – инфраструктуру взломанных серверов.

Duqu и Stuxnet – это новейшие средства для ведения кибервойн. Их появление дает нам понять, что мы входим в эпоху холодной кибервойны, в которой сверхдержавы борются друг с другом без сдерживающих факторов, присущих реальной войне.

6. Взлом геймерской сети Sony PlayStation

19 апреля 2011 года геймерская сеть Sony PlayStation подверглась атаке хакеров. Сначала в Sony на вопросы отвечали неохотно, ссылались на временные неполадки с сервисом, случившиеся 20 апреля, и обещали через несколько дней исправить ситуацию. И только 26 апреля компания узнала о хищении персональных данных пользователей, а возможно, и номеров их кредитных карт. Еще через три дня появились сообщения, что на хакерских форумах якобы предлагали для продажи 2,2 миллиона номеров кредитных карт. К 1 мая Sony PlayStation так и не заработала, что оставило многих пользователей не только без кредитных карт, но и без возможности играть в уже оплаченные игры. В октябре 2011 года геймерская сеть вновь попала в заголовки СМИ: сообщалось, что Sony пришлось заблокировать еще 93 000 взломанных учетных записей для того, чтобы не допустить их дальнейшего использования в преступных целях. Взлом геймерской сети Sony PlayStation стал крупнейшим событием 2011 года, потому что продемонстрировал, помимо всего прочего, что в эпоху облачных технологий персональные данные, удачно сосредоточенные в одном месте и доступные посредством быстрых ссылок, станут легкой добычей для преступников в случае неправильных настроек или проблем с безопасностью. В 2011 году 77 миллионов имен пользователей и 2,2 миллиона номеров кредитных карт стали считаться «трофеем», обычным для эры облачных технологий.

7. Борьба с киберпреступностью и закрытие ботнетов

При том что злоумышленники, атаковавшие геймерскую сеть Sony PlayStation, до сих пор так и не найдены, 2011 год все равно может считаться неудачным для многих киберпреступников, которых правоохранительные органы разных стран поймали и арестовали. Аресты членов группы ZeuS, пресечение преступной деятельности DNSChanger, закрытие ботнетов Rustock, Coreflood и Kelihos/Hilux – всего лишь несколько примеров успешной борьбы с интернет-мошенничеством, которые свидетельствуют о появлении новой тенденции: задержание кибербандитов во многом способствовало снижению криминальной активности во всем мире и стало сигналом оставшимся преступникам о том, что е их действия больше не останутся безнаказанными. Отдельно я бы хотел остановиться на инциденте с прекращением работы опасного ботнета Kelihos, которое стало возможным благодаря совместным усилиям «Лаборатории Касперского» и Группы по борьбе с киберпреступностью компании Microsoft. «Лаборатория Касперского» инициировала проведение sinkhole-операции для ботнета, заражающего десятки тысяч компьютеров в день. И вот здесь начались споры. Зная, как работает процесс обновления бота, «Лаборатория Касперского» или какой-либо правоохранительный орган могли бы запустить программу на всех инфицированных компьютерах (в процессе уведомив об этом пользователей), которая устранит заражение и затем удалит себя. Опрос на сайте Securelist показал, что 83% проголосовавших высказались за «внедрение утилиты для лечения заражения», несмотря на то что в большинстве стран это было бы незаконно По понятным причинам нам пришлось отказаться от этой идеи, однако этот случай свидетельствует о том, что ограничения в современном законодательстве не позволяют эффективно бороться с киберпреступностью.

8. Увеличение количества вредоносных программ для Android

В августе 2010 года мы обнаружили первую троянскую программу для платформы Android — Trojan-SMS.AndroidOS.FakePlayer.a, которая маскировалась под приложение для медиаплеера. Менее чем через год вредоносные программы для Android ОС быстро распространились и стали самыми популярными в категории мобильного ПО. Эта тенденция окончательно проявилась в III квартале 2011 года, когда на долю Android пришлось более 40% всего зарегистрированного вредоносного мобильного ПО. Критическая масса была превышена в ноябре 2011 года: за месяц мы обнаружили более 1000 зловредов для Android, что практически равнялось количеству мобильных вредоносных программ, выявленных нами за последние шесть лет! Огромная популярность вредоносных программ для Android может объясняться несколькими причинами и, прежде всего, бурным ростом спроса на саму Android. Во-вторых, имеющаяся в свободном доступе документация по платформе Android облегчила злоумышленникам задачу создания вредоносных программ для нее. И наконец, многие обвиняют Google Market в слабом процессе проверки, который практически предоставляет киберпреступникам зеленый коридор для загрузки их творений. На данный момент нам известны только две вредоносные программы для iPhone, тогда как количество троянцев для Android в нашей коллекции уже приближается к 2000.

9. Инцидент с CarrierIQ

Carrier IQ – небольшая частная компания, основанная в 2005 году в Маунтин-Вью (Калифорния). По данным, размещенным на сайте компании, программное обеспечение Carrier IQ развернуто на 140 миллионах устройств по всему миру. И хотя задачей этих программ, по словам производителей, является сбор «диагностической» информации с мобильных устройств, исследование, проведенное Трэвором Экхартом (Trevor Eckhart), доказывает, что Carrier IQ имеет доступ практически ко всему, что вы делаете на своем устройстве: от нажатия клавиш на клавиатуре до URL-адресов, куда вы заходите с вашего мобильного устройства. Программные продукты Carrier IQ построены на основе стандартной командно-административной архитектуры, когда системные администраторы сами решают, какую информацию собирать с телефонов, а какую отсылать «домой». Хотя очевидно, что Carrier IQ собирает большое количество данных с вашего мобильного телефона, это не обязательно означает, что используют их во зло– во всяком случае, так нам рекомендуют думать создатели CarrierIQ и такие компании, как HTC, которые поддерживают ее использование. Carrier IQ – американская компания, поэтому правоохранительные органы США могут потребовать раскрыть большую часть собранной информации при наличии у них соответствующего ордера. Такая законодательная хитрость позволяет легко превратить компанию в шпиона, действующего по поручению властей, или в инструмент для слежки. Имеет ли это место на самом деле или нет, доподлинно неизвестно, однако многие пользователи решили избавиться от Carrier IQ, установленного на их мобильниках. К сожалению, сделать это не так просто, тем более что процесс его удаления выглядит по-разному для iPhone, телефонов Android и BlackBerrys. Например, в случае с Android вам может потребоваться получить полный доступ к функциям системы, чтобы удалить программу. В качестве альтернативы некоторые пользователи устанавливают на свое устройство нестандартные прошивки Android, такие как, например, Cyanogenmod.

Инцидент с Carrier IQ наглядно демонстрирует нам, что все мы находимся в полном неведении о том, какие конкретно процессы происходят в наших мобильных устройствах и в какой степени мобильный оператор может их контролировать.

10. Вредоносное ПО для Мас OS

Я полностью отдаю себе отчет в том, что навлеку на себя гнев, уже просто упомянув о существовании вредоносных программ для Мас OS, но все-таки я считаю, что их роль в истории-2011 нельзя оставить без внимания. Продукты под названиями MacDefender, MacSecurity, MacProtector или MacGuard, представляющие собой поддельные антивирусные программы для Мас, появились в мае 2011 года и быстро приобрели популярность. Они распространялись в поисковиках Google с помощью технологии черной поисковой оптимизации. Используя методы социальной инженерии, злоумышленники вынуждали пользователей загружать и устанавливать эти программы, а затем платить за их «полную» версию. Большинство тех, кто заплатил $40 за так называемую полную версию, в дальнейшем обнаруживали, что в действительности заплатили $140, а некоторые – даже в несколько раз больше. Перенесение идеи компьютерных угроз, созданных для операционной системы Windows (а поддельные антивирусы являются одними из наиболее популярных вредоносных программ для PC), на компьютеры Мас стало заметной тенденцией 2011 года. В дополнение к фальшивым антивирусам для Мас, следует упомянуть и троянцев семейства DNSChanger. Впервые о них заговорили в 2007 году. Эти маленькие программы выполняли очень простую операцию по заражению системы, заменяя адреса DNS-серверов в настройках пользователя на адреса мошеннических DNS-серверов, а затем самоудалялись. Таким образом, ваш компьютер мог оказаться инфицированным троянцем DNSChanger, настройки ваших DNS-серверов могли быть изменены, но вы при этом могли чувствовать себя совершенно спокойными, потому что на вашем компьютере не было никаких вредоносных программ. В действительности же киберпреступники изменили ваши DNS-соединения с тем, чтобы заставить вас зайти на поддельный веб-сайт, пройти по ложной ссылке и стать участником атаки man-in-the-middle. К счастью, в ноябре 2011 года ФБР арестовала шесть граждан Эстонии, которые занимались распространением DNSChanger. По данным ФБР, за последние четыре года члены преступной группы инфицировали более 4 миллионов компьютеров в 100 странах и получили почти $14 миллионов прибыли. Описанные выше инциденты свидетельствуют о том, что вредоносное ПО для Мас OS – такая же реальность, как и зловреды для Windows, а еще о том, что даже самые современные способы защиты могут оказаться бессильными против тщательно продуманных методов социальной инженерии.

Все эти 10 историй – лишь крошечная частичка в галактике инцидентов информационной безопасности-2011. Я выбрал именно эти эпизоды, потому что они называют главные «действующие лица года, которые, вне всякого сомнения, и останутся таковыми и в блокбастере о киберзащите, появление которого уже не за горами. Это и группы хакеров, и антивирусные компании, и устойчивая угроза повышенной сложности, которую представляет собой борьба супердержав с применением методов кибершпионажа. Это и производители программного обеспечения, и разработчики онлайн-игр, такие как Adobe, Microsoft, Oracle и Sony, и правоохранительные органы, и обычные киберпреступники, и Google – благодаря Android, и Apple – благодаря платформе Мас OS X. Взаимоотношения между ними могут быть сложными, полными драматизма, состоять из множества суперсектретных деталей или оказаться такими же загадочными, дремлющими демонами, как Декстер. Очевидно одно: те же персонажи обязательно останутся в блокбастерах о киберзащите-2012.

Прогноз-2012

Кибероружие

В 2011 году практически все крупные страны мира продемонстрировали свою готовность к созданию и использованию кибероружия. Массовая истерия, начавшаяся в 2010 году из-за обнаружения червя Stuxnet, приводит к тому, что некоторые государства готовы приравнять использование против них кибероружия к реальному военному конфликту. И при этом забывают о крайне важных особенностях такого вида угроз.

Stuxnet был уникальным явлением, «эксклюзивной» разработкой, необходимой для использования в конкретное время и конкретном месте. При этом возможность военного решения проблемы практически была исключена. В будущем такие образцы кибероружия, как Stuxnet, будут оставаться такими же единичными экземплярами – при этом их появление полностью зависит от отношений между конкретными странами.

Для создания такого кибероружия необходимы две стороны: страна – заказчик/создатель и страна – потенциальная жертва, проблемы с которой достигли такого уровня, когда решить их необходимо, но военный путь исключен. Анализ конфликтов подобного рода позволяет делать определенные выводы и предсказывать подобные инциденты в будущем.

Сказанное выше верно для кибероружия а-ля Stuxnet, т.е. осуществляющего диверсию. Более распространено, вероятно, будет более простое кибероружие: «закладки», «логические бомбы» и прочее – то, что нацелено на уничтожение данных в нужный момент. Такой софт можно разрабатывать на постоянной основе и так же постоянно и планомерно его использовать. Более того, для создания подобных угроз военные, правоохранительные органы и спецслужбы могут активно использовать «аутсорсеров» — частные компании, которым порой даже не сообщается, чей заказ они выполняют.

В целом киберконфликты 2012 будут развиваться вокруг уже традиционных осей противостояния: США/Израиль – Иран, США/Западная Европа – Китай.

Массовые целевые атаки

Развитие ситуации с появлением на арене источников вредоносных программ и кибератак новых игроков, которую мы наблюдали в 2011 – в следующем году приведет к значительному (многократному) увеличению объема подобных угроз и количества публично зафиксированных инцидентов.

Обнаруживать атаки станут гораздо эффективнее чем раньше, таким образом количество известных атак станет больше. Вокруг проблемы обнаружения и отражения целевых атак уже возникла отдельная область индустрии безопасности, и крупные компании, регулярно подвергающиеся атакам, постоянно прибегают к помощи небольших частных фирм для расследования подобных инцидентов. Растущая конкуренция подобных услуг по защите повлечет за собой гораздо более широкое освещение выявленных инцидентов.

Рост уровня защиты и количества «защитников» заставит атакующую сторону во многом изменить методику проведения атак.

В настоящий момент многие группы, организующие целевые атаки, зачастую даже не утруждают себя созданием специализированных вредоносных программ, используя готовые разработки, причем даже не собственные. Ярким примером служит троянская программа PoisonIvy, изначально созданная в Швеции, но ставшая излюбленным инструментом китайских хакеров. Противоположностью является троянец Duqu – изменяемый под каждую конкретную цель и использующий выделенные серверы управления.

Традиционный способ атаки – через электронную почту при помощи вложений офисных документов с эксплойтами уязвимостей – постепенно начнет терять свою эффективность. Чаще начнут использоваться атаки через браузер. Разумеется, эффективность этих методов будет зависеть и от количества обнаруженных уязвимостей в популярных программах – браузерах, офисных приложениях, мультимедийных системах.

Спектр компаний и отраслей экономики, которые будут объектами атак, станет шире. В настоящий момент основной поток инцидентов связан с компаниями и государственными структурами, занимающимися разработкой вооружений, финансовыми структурами, научно-техническими институтами и исследовательскими компаниями. В 2012 году в зоне повышенного риска окажутся добывающие компании, энергетические, транспортные, компании занимающиеся производством продовольствия, фармацевтики, а также крупные интернет-сервисы и компании, занимающиеся информационной безопасности. Произойдет существенное расширение ареала объектов атак: – кроме стран Западной Европы и США, составляющих сейчас основную зону атак, сюда войдутстраны Восточной Европы, Ближнего Востока и Юго-Восточной Азии.

Мобильные угрозы

Android

Внимание мобильных вирусописателей к платформе Android возрастет еще больше. В 2012 году все основные их усилия будут брошены на создание вредоносных программ именно под эту платформу. Учитывая тенденцию второго полугодия преобладания зловредов для Android над всеми остальными мобильными платформами, нет оснований предполагать, что в ближайшем будущем вирусописатели сосредоточатся на какой-либо другой мобильной ОС.

Рост числа атак с использованием уязвимостей. В следующем году киберпреступники будут активней использовать различные эксплойты для распространения зловредов, а также зловреды, содержащие эксплойты, которые, например, используются для повышения привилегий и получения полного доступа к операционной системе устройства. В 2011 году фактически все атаки, в которых применялись эксплойты, были нацелены на повышение привилегий в операционной системе. Однако в 2012 году мы, скорее всего, увидим и первые атаки, в которых эксплойты применяются именно для заражения операционной системы. Другими словами, появятся первые drive-by-download атаки.

Рост числа инцидентов с вредоносными программами в официальных магазинах приложений, в Android Market в первую очередь. Учитывая тот факт, что политика проверки новых приложений Google’ом не претерпела существенных изменений после многочисленных случаев обнаружения зловредов в AndroidMarket, вряд ли вирусописатели перестанут загружать вредоносное ПО в официальные источники.

Крайне высока вероятность появления первых массовых червей для Android, которые могут распространяться через SMS-сообщения, рассылая ссылки на свой файл, размещенный в каком-либо магазине приложений Вероятно, появятся и первые мобильные ботнеты на данной платформе.

В 2011 году некоторые вирусописательские группы практически поставили производство мобильных вредоносных программ на поток, и в 2012-м эта тенденция будет только нарастать. То есть скорее всего, мы будем иметь дело с полноценной индустрией мобильного вредоносного ПО.

Прочие платформы

Symbian. Платформа, которая долгое время была самой популярной у пользователей и вирусописателей, сдает свои позиции и на рынке мобильных ОС, и среди киберпреступников. Поэтому мы не ожидаем значительного числа зловредов для этой платформы.

J2ME. По-прежнему будет появляться немалое число зловредов (а точнее, SMS-троянцев) под Java 2 Micro Edition. Однако их количество либо останется на текущем уровне, либо даже снизится.

Windows Mobile. Эта платформа никогда не пользовалась у вирусописателей повышенным вниманием, и 2011 год не стал исключением. Не удивимся, если число вредоносных программ для этой платформы в 2012 году можно будет пересчитать на пальцах одной руки.

Windows Phone 7. Есть вероятность, что появятся первые proof-of-concept зловреды для этой платформы.

iOS. С момента появления в 2009 году двух зловредов, нацеленных на взломанные устройства под управлением iOS, мало что изменилось. И в 2012 году не стоит ожидать каких-либо изменений. Если, конечно, Apple не изменит политику распространения программного обеспечения.

Скорее всего, в 2012 году немалая часть зловредов, которые появятся для ОС, отличных от Android, будет использоваться для точечных атак. Ярким примером таких атак являются атаки с помощью ZitMo и SpitMo (Zeus- и SpyEye-in-the-Mobile).

Мобильный шпионаж – кража данных с мобильных телефонов и слежка за объектом при помощи его телефона и геолокационных сервисов – станет широко распространенным явлением, выйдя за пределы обычного применения этих технологий правоохранительными органами и отдельными компаниями, занимающихся детективной деятельностью.

Атаки на онлайн-банкинг

Атаки на системы онлайн-банкинга будут являться одним из главных (а вероятней, самым главным) способом, при котором обычные пользователи будут терять свои деньги. Количество подобных преступлений в мире стремительно растет, несмотря на все технические меры, предпринимаемые банками.

Количество инцидентов, связанных с несанкционированным доступом к системам онлайн-банкинга, в азиатских странах будет расти быстрее, чем в других регионах. Причиной станет стремительное развитие таких сервисов в Юго-Восточной Азии и Китае, а также наличие в регионе множества киберпреступных группировок, до сих пор специализировавшихся на других видах атак – в первую очередь на пользователей онлайн-игр. Помимо онлайн-игр, до сих пор азиатские киберпреступники были известны фишинговыми атаками на пользователей европейских и американских банков. Сейчас, с увеличением числа локальных сервисов электронных платежей и банковских услуг, вызванных ростом общего уровня жизни в странах этого региона, атаки на местные банки и пользователей при помощи локально ориентированного фишинга и специализированных троянских программ будут стремительно расти.

Вероятней всего, подобные атаки будут нацелены не только на пользователей персональных компьютеров, но и против мобильных пользователей. Помимо стран Юго-Восточной Азии и Китая, возможны атаки на системы мобильных платежей в странах Восточной Африки.

Частная жизнь пользователей

Проблемы с защитой пользовательских данных, частной жизни и информации, постепенно становятся одними из наиболее важных тем информационной безопасности. Инциденты 2011 года с утечками данных российских пользователей с сайтов мобильных операторов и систем электронной торговли, история с мобильным софтом от компании CarrierIQ или хранением геолокационных данных в ipad/iPhone, утечка данных десятков миллионов клиентов разных систем в Южной Корее, взломы Sony Play Station Network – это только самые громкие события прошедшего года. Несмотря на различие в причинах произошедших инцидентов, объеме и содержании данных – все это звенья одной цепи. Все больше и больше компаний по всему миру стремится к сбору максимального количества информации о своих клиентах.

К сожалению, это стремление большей частью не обеспечено наличием достаточных мер по защите собранной информации. Развитие «облачных» технологий также вносит свою лепту в потенциальные утечки данных: у злоумышленников появляется дополнительный объект атаки – дата-центры, где хранятся данные разных компаний. Утечки из «облачных» сервисов могут нанести серьезный удар по самой технологии и идее «облачных» хранилищ, которые во многом основаны именно на доверии пользователей.

Что же касается систем, собирающих данные пользователей, аналогичных CarrierIQ, то очередные примеры их использования в 2012 обязательно будут обнаружены. Мобильные провайдеры, производители софта и интернет-сервисов не намерены отказываться от потенциальной выгоды, основанной на обладании пользовательскими данными.

Хактивизм

Хактивизм, или хакерские атаки, имеющие своей целью выражение протеста против чего либо, переживают второе рождение и выходят на новый уровень развития. Множественные взломы и атаки на различные государственные и коммерческие структуры по всему миру в 2012 продолжатся, несмотря на то что чтобы пресечь их очевидно будут привлекаться правоохранительные органы с последующими арестами хактивистов.

Все чаще и чаще акции хактивистов будут носить политический характер – и это станет их основным отличием от атак 2011 года, которые в основном были нацелены против корпораций или просто just for lulz.

Однако, хактивизм может быть использован и в целях сокрытия других атак, как средство отвлечения внимания, ложный след или «безопасный» способ взлома интересующего объекта. В 2011 году в ряде атак хактивистов уже не раз происходила утечка весьма серьезной информации – как коммерческой, так и затрагивающей национальные интересы, которая, несомненно, является объектом и целью классических целевых атак. В этих случаях хактивисты оказали огромную помощь (возможно, невольно) другим группам, которые могли использовать методы атак и украденную информацию совсем с другими целями и для проведения других атак.

Заключение

Итак, в 2012 году нас ожидают следующие события и тенденции в области киберпреступной активности:

  • Кибероружие типа Stuxnet будет использоваться в единичных случаях. При этом более простые средства – «закладки», «логические бомбы» и прочее, — нацеленные на уничтожение данных в нужный момент, будут применяться злоумышленниками гораздо чаще.
  • Таргетированных атак станет больше, злоумышленники начнут использовать новые методы заражения, так как известные способы будут почти неэффективны. Спектр компаний и отраслей экономики, которые станут объектами атак, расширится.
  • В 2012 году все усилия злоумышленников, пишущих зловреды для мобильных платформ, будут брошены на создание вредоносных программ для Goggle Android. Мы ожидаем роста числа атак с использованием уязвимостей, а также появление первых мобильных Drive-by атак.
  • Выростет число загрузок вредоносных программ в официальные магазины приложений, в первую очередь на Android Market. А мобильный шпионаж – кража данных с мобильных телефонов и слежка за объектом при помощи его телефона и геолокационных сервисов – станет широко распространенным явлением.
  • В 2012 году атаки на системы онлайн-банкинга станут одним из самых распространенных способов незаконного отъема денег у обычных пользователей. Под ударом — Юго-Восточная Азия, Китай и страны Восточной Африки.
  • Множественные атаки на различные государственные и коммерческие структуры по всему миру продолжатся. При этом хактивизм может быть использован и в целях сокрытия других атак.

Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике