Мы хотели бы познакомить вас с десятью самыми яркими историями безопасности в 2011 году, а также рассказать о том, какие события и тенденции в области киберпреступной активности ожидают нас в 2012 году

В продолжение опубликованного вчера отчета по киберугрозам Kaspersky Security Bulletin 2011, согласно которому Россия заняла первое место в мире по степени риска заражения при путешествии в глобальной сети Интернет, сегодня мы хотели бы познакомить вас с десятью самыми яркими историями безопасности в 2011 году, а также рассказать о том, какие события и тенденции в области киберпреступной активности ожидают нас в 2012 году.

Итак, согласно отчету Kaspersky Security Bulletin 2011, прошлый год стал годом появления «хактивизма». В настоящее время, наверное, уже не осталось людей, которые бы не слышали о таких группах, как Anonymous, LulzSec или TeaMp0isoN.

В течение всего 2011 года эти хакерские группы вместе с «коллегами» активно участвовали в различных мероприятиях, направленных против правоохранительных органов, банков, правительств, компаний, занимающихся информационной безопасностью, и основных производителей программного обеспечения.

Эксперты отмечают, что некоторые из этих инцидентов, такие как взлом сети Stratfor, обнажили серьезные проблемы с защитой информации, например хранение CVV-кодов (Card Validation Code) в незашифрованном формате или использование администраторами ненадежных паролей.

На втором месте находится взлом HBGary Federal. В прошлом году участники группы Anonymous, использовав механизм SQL-инъекций, взломали веб-сервер hbgaryfederal.com компании HBGary Federal. Тогда хакерам удалось заполучить хеши MD5 нескольких паролей, принадлежащих генеральному директору компании Аарону Барру и исполнительному директору Теду Вера. Как оказалось, оба директора использовали очень простые пароли, что и позволило хакерам получить доступ к документации компании и десяткам тысяч ящиков электронной почты, хранившимся на Google Apps.

Также специалисты «Лаборатории Касперского» отметили «Устойчивые угрозы повышенной сложности» (Advanced Persistent Threat, или APT). Данный термин уже закрепился в СМИ и стал суперпопулярным в применении к инцидентам, подобным взлому системы безопасности RSA или кибератакам Night Dragon, Lurid и Shady Rat.

Любопытно, что многие из этих «операций» были совсем несложными. В частности, в некоторых случаях применялись атаки «нулевого дня», например в истории с RSA для запуска вредоносного кода на инфицированном компьютере хакеры использовали CVE-2011-0609 — уязвимость в Adobe Flash Player. Жертвой еще одной 0-day-уязвимости, CVE-2011-2462, на этот раз в Adobe Reader, стал федеральный IT-подрядчик Министерства обороны США ManTech.

Специалисты считают, что данные атаки подтверждают то, что на сцену выходят сильные игроки – национальные государства, а кибершпионаж становится общепринятой практикой. Кроме того, создается впечатление, что многие из этих атак взаимосвязаны и работают на общий результат.

Четвертое место, по мнению экспертов, необходимо отдать инцидентам с Comodo и DigiNotar. В середине марта прошлого года хакеры взломали учетные записи одной из доверенных компаний-партнеров Comodo, выпускающей защитные программные продукты и SSL-сертификаты.

Хакеры быстро использовали существующую инфраструктуру для создания девяти поддельных цифровых сертификатов для веб-сайтов, таких как mail.google.com, login.yahoo.com, addons.mozilla.com и login.skype.com. В ходе анализа инцидента Comodo смогла выяснить, что атака шла из Тегерана, с IP-адреса 212.95.136.18.

17 июня 2011 года злоумышленники начали «прощупывать» серверы DigiNotar, а уже через пять дней сумели получить доступ к их инфраструктуре и сгенерировать более 300 поддельных сертификатов. Также они оставили сообщение в форме цифрового сертификата, содержащее текст на персидском: «Я, великий хакер, взломаю все ваши коды, я сведу вас с ума!» Чтобы иранский след выглядел еще более убедительным, позже эти поддельные сертификаты были использованы для организации атаки man-in-the-middle, в результате которой пострадали более 100 000 иранских пользователей Gmail.

Обе эти истории заставили заговорить о потере доверия к компаниям, которые выпускают цифровые сертификаты. Эксперты не исключают, что в будущем атаки на них станут еще более широкомасштабными. Также предполагается появление большего количества вредоносных программ с цифровыми подписями.

Пятое место – троянец Duqu. Данная вредоносная программа получила всемирную известность под названием Stuxnet и представляет собой компьютерный червь с совершенно особым вредоносным функционалом, направленным непосредственно против ядерной программы Ирана.

Stuxnet перехватывал управление ПЛК Siemens (они управляли центрифугами, работающими со скоростью 64 000 оборотов в минуту) в иранском ядерном центре в Натанзе и перепрограммировал их очень специфическим образом, который указывает на единственную цель – срыв процесса обогащения урана в Натанзе.

Обнаруживший образец вредоносного ПО Сергей Уласень из белорусской компании «ВирусБлокАда» предположил, что подобное невозможно написать, не имея доступа к проектной документации и исходному коду.

Вполне возможно, что в этом хакерам помог тот самый троянец Duqu, который был создан теми же людьми, что и Stuxnet. Обнаружен Duqu был в августе 2011 года венгерской исследовательской лабораторией CrySyS.

Вначале специалисты не знали как этот троянец заражает свои цели, однако затем выяснилось, что он проникает на компьютер жертвы при помощи вредоносных документов Microsoft Word, использующих уязвимость, известную как CVE-2011-3402.

Duqu представляет собой инструментарий для проведения атак, позволяющий взломать систему и затем систематически выкачивать оттуда информацию. Также в нем имеется возможность загружать на компьютер-жертву новые модули и исполнять их «на лету», не оставляя следов в файловой системе.

По словам аналитиков, Duqu и Stuxnet представляют собой новейшие средства для ведения кибервойн, а их появление указывает на то, что человечество входит в эпоху холодной кибервойны, в которой сверхдержавы борются друг с другом без сдерживающих факторов, которые присутствуют в реальной войне.

Не остался без внимания экспертов «Лаборатории Касперского» и взлом геймерской сети Sony PlayStation. Атаке данная сеть подверглась 19 апреля 2011 года, однако только 26 апреля компания узнала о хищении персональных данных пользователей, а возможно, и номеров их кредитных карт. Спустя 3 дня появились сообщения, что на хакерских форумах якобы предлагали для продажи 2,2 миллиона номеров кредитных карт.

Взлом геймерской сети Sony PlayStation стал крупнейшим событием 2011 года, потому что продемонстрировал, помимо всего прочего, что в эпоху облачных технологий персональные данные, удачно сосредоточенные в одном месте и доступные посредством быстрых ссылок, станут легкой добычей для преступников в случае неправильных настроек или проблем с безопасностью.

Седьмое место — борьба с киберпреступностью и закрытие ботнетов. В настоящее время хакеры, атаковавшие сеть Sony PlayStation, так и не найдены, эксперты отмечают, что 2011 год все равно может считаться неудачным для многих киберпреступников. Аресты членов группы ZeuS, пресечение преступной деятельности DNSChanger, закрытие ботнетов Rustock, Coreflood и Kelihos/Hilux – всего лишь несколько примеров успешной борьбы с интернет-мошенничеством, которые свидетельствуют о появлении новой тенденции: задержание кибербандитов во многом способствовало снижению криминальной активности во всем мире и стало сигналом оставшимся преступникам о том, что их действия больше не останутся безнаказанными.

На восьмом месте рейтинга находится увеличение количества вредоносных программ для Android. «Лаборатория Касперского» в августе 2010 года обнаружила первую троянскую программу для этой платформы. Она называлась Trojan-SMS.AndroidOS.FakePlayer.a и маскировалась под приложение для медиаплеера.

Менее чем через один год вредоносные программы для операционной системы Android быстро распространились и стали самыми популярными в категории мобильного ПО. Эта тенденция окончательно проявилась в III квартале 2011 года, когда на долю Android пришлось более 40% всего зарегистрированного вредоносного мобильного ПО. Критическая масса была превышена в ноябре 2011 года: за месяц было выявлено свыше 1000 зловредов для Android, что практически равнялось количеству мобильных вредоносных программ, выявленных за последние шесть лет.

Предпоследнее место досталось инциденту с компанией CarrierIQ. По данным, размещенным на сайте компании, ПО Carrier IQ развернуто на 140 000 000 устройств по всему миру. По словам производителя, задачей этих программ является сбор «диагностической» информации с мобильных устройств, исследование, проведенное «Трэвором Экхартом», доказало, что Carrier IQ имеет доступ практически ко всему, что вы делаете на своем устройстве: от нажатия клавиш на клавиатуре до URL-адресов, куда вы заходите с вашего мобильного устройства.

Программные продукты Carrier IQ построены на основе стандартной командно-административной архитектуры, когда системные администраторы сами решают, какую информацию собирать с телефонов, а какую отсылать «домой».

Данный инцидент с Carrier IQ еще раз демонстрирует то, что все пользователи находятся в полном неведении о том, какие конкретно процессы происходят в наших мобильных устройствах и в какой степени мобильный оператор может их контролировать.

Последнее место рейтинга досталось вредоносному программному обеспечению для Мас OS. По словам специалистов, продукты под названиями MacDefender, MacSecurity, MacProtector или MacGuard, представляющие собой поддельные антивирусные программы для Мас, появились в мае 2011 года и быстро приобрели популярность. Используя методы социальной инженерии, злоумышленники вынуждали пользователей загружать и устанавливать эти программы, а затем платить за их «полную» версию.

В дополнение к фальшивым антивирусам для Мас следует упомянуть и троянцев семейства DNSChanger. Впервые о них заговорили в 2007 году. Эти маленькие программы выполняли очень простую операцию по заражению системы, заменяя адреса DNS-серверов в настройках пользователя на адреса мошеннических DNS-серверов, а затем самоудалялись. В действительности же киберпреступники изменили ваши DNS-соединения, чтобы заставить вас зайти на поддельный веб-сайт, пройти по ложной ссылке и стать участником атаки man-in-the-middle.

В ноябре 2011 года ФБР арестовала шесть граждан Эстонии, которые занимались распространением DNSChanger. По данным ФБР, за последние четыре года члены преступной группы инфицировали более 4 миллионов компьютеров в 100 странах и получили почти $14 миллионов прибыли. Описанные выше инциденты свидетельствуют о том, что вредоносное ПО для Мас OS – такая же реальность, как и зловреды для Windows.

Что касается прогноза на 2012 год, то по мнению специалистов, нас ждут следующие события и тенденции в области киберпреступной активности:

- Кибероружие (например, Stuxnet) будет использоваться в единичных случаях, а более простые средства – «закладки», «логические бомбы» и прочее, — нацеленные на уничтожение данных в нужный момент, будут применяться злоумышленниками гораздо чаще.

- Станет больше и таргетированных атак, хакеры будут использовать новые методы заражения, так как известные способы станут уже почти неэффективны. Расширится спектр компаний и отраслей экономики, которые станут объектами атак.

- В 2012 году все усилия злоумышленников, пишущих зловреды для мобильных платформ, будут брошены на создание вредоносных программ для Goggle Android. Ожидается рост числа атак с использованием уязвимостей, а также появление первых мобильных Drive-by атак.

- Вырастет число загрузок вредоносных программ в официальные магазины приложений, в первую очередь на Android Market, а кража данных с мобильных телефонов и слежка за пользователем при помощи его же телефона и геолокационных сервисов – станет широко распространенным явлением.

- В 2012 году атаки на системы онлайн-банкинга станут одним из самых распространенных способов незаконного отъема денег у обычных пользователей.

- И наконец, множественные атаки на государственные и коммерческие структуры по всему миру продолжатся, при этом хактивизм может быть использован и в целях сокрытия других атак.

Источник: http://www.km.ru