|
|
Обзор
Рынок ИТ: итоги 2011Обзор подготовлен
По мнению опрошенных CNews экспертов по информационной безопасности, самими запомнившимися событиями 2011 г. были атаки «хактивистов» из Anonymous и LulZsec, появление промышленного вируса Duqu и распространение банковского трояна нового поколения Carberp. Cnews предлагает ваше вниманию топ-10 наиболее значимых инцидентов в области ИБ.
В феврале 2011 года была взломана база данных фирмы HBGary, которая специализируется на компьютерной безопасности. Компания в сотрудничестве с ФБР занималась расследованием атак на платежные системы Visa и Mastercard, которые заблокировали счета WikiLeaks. Хакеры из группы Anonymous украли десятки тысяч электронных писем и в течение некоторого периода времени перенаправлять трафик с сайта HBGary на страницу со своим сообщением. Помимо этого злоумышленники уничтожили часть конфиденциальной информации компании и повредили веб-сайт. Кроме сайта HBGary Federal нападению подвергся сайт головной компании HBGary, а хранящаяся там база пользовательских данных стала достоянием общественности.
В марте хакерам удалось взломать систему защитной аутентификации SecurID, которая используется в десятках тысяч предприятиях по всему миру. Общие число пользователей, данные которых оказались под угрозой, превысило 40 млн. В результате атаки, отнесенной к классу APT ("устойчивая угроза повышенной сложности", Advanced Persistent Threat) были утеряны некоторые данные, которые снизили эффективность защиты, говорилось в официальном заявлении компании RSA, которой принадлежит SecurID. Но судя по тому, что cообщений о серьезных утечках среди клиентов не последовало, хакерам не удалось скачать исходные коды. В целом, распространение атак класса APT стало одним из трендов года.
В конце марта – начале апреля беспрецедентной атаке подвергся LiveJournal. 30 марта сайт блог-платформы лежал более семи часов, в первых числах апреля DDoS-атаки повторялись дважды, хотя время простоя сайта оказалось короче. Жертвами нападения стали странички популярных блогеров-тысячников, доступ к которым был затруднен. По данным «Лаборатории Касперского», отследившей один из ботнетов, участвовавших в атаке, зомбо-сеть состояла из десятков тысяч машин, зараженных троянской программой Optima. Организаторы нападения установлены не были.
В апреля-мае 2011 г. нападению подверглись онлайн сервисы компании Sony. Хакеры украли данные 77 млн. пользователей сети PlayStation Network. Среди скомпрометированной информации оказались логины, пароли, адреса электронной почты и номера кредитных карт. Специалистам Sony почти на месяц пришлось отключить веб-платформу, предназначенную для пользователей приставок PlayStation. В начале мая аналогичной атаке подвергся сервис онлайн игр Sony Online Entertainment, который тоже пришлось отключить. Число пострадавших пользователей в этом случае было оценено в 24,6 млн. Убытки японской компании в результате инцидентов составили $171 млн. Группа Anonymous открестилась от участия в нападении, однако позднее появились сообщения о причастности к инциденту группы LulzSec, связанной с «анонимами». В июне 2011 г. в Испании были задержаны активисты местного отделения Anonymous. По сообщению полиции, в квартире одного из них был изъят сервер, с которого осуществлялись атаки на ресурсы корпорации Sony.
В июне 2011 г. хакеры из LulzSec атаковали сайт Сената США и на несколько минут смогли заблокировать страницу сайта ЦРУ. Нападение продолжалось несколько дней, но злоумышленники не смогли взломать сервер Сената и украсть закрытые материалы.
В июле был взломан сертификационный центр компании DigiNotar, на основе полученной информации хакеры смогли выпустить более 534 поддельных SSL-сертификатов. Такие сертификаты позволяют поисковым ресурсам и браузерам отличать подлинные сайты от тех, с которых ведутся вредоносные действия. Взлом функционала DigiNotar предоставил злоумышленникам возможность подписывать подлинными сертификатами сайты, содержащие вирусы и вредоносный код. Инцидент оказался масштабнее, чем аналогичные события, случавшиеся ранее. Среди поддельных оказались сертификаты сайтов спецслужб различных стран, включая ЦРУ, Моссад и Mi6, а также сертификаты крупных интернет-сервисов (Google, Yahoo, Mozilla,). Атака привела к банкротству DigiNotar, так как доверие к услугам компании было подорвано. Серьезных последствий, связанных с утечкой данных не было, однако инцидент вызвал опасения экспертов по поводу того, что данную уязвимость можно использовать в высокоуровневых атаках.
Летом 2011 г произошла крупная утечка личных данных в Южной Корее. Хакеры взломали крупнейшую социальную сеть страны CyWorld, в их руках оказались имена, фамилии, почтовые адреса и телефоны 35 млн. пользователей, что составляет три четверти от населения этой страны. Столь масштабная утечка произошла в результате взлома серверов оператора SK Telecom, которому принадлежит поисковая системой Nibu и социальная сеть CyWorld.
В сентябре 2011 г. была зафиксирована волна кибератак на государственные учреждения стран СНГ. Нападение осуществлялось через загрузчик Lurid, являющейся модификацией трояна Enfal, который в прошлом использовался для внедрения на сайты правительства США. Специалисты Trend Micro насчитали более 300 управляемых целевых атак. Им удалось идентифицировать 47 жертв и 1465 взломанных ПК, большая часть из них в России. Предположительно, целью нападений был кибершпионаж.
Осенью 2011 г. появилась информация о новом высокотехнологическом вирусе Duqu, который проникает в компьютер под управлением Windows, используя критическую уязвимость с идентификатором CVE-2011-3402. Затем вирус способен внедриться в смежную SCADA-систему предприятия с целью похищения информации об ИТ-инфраструктуре и установления контроля над промышленными объектами. Фрагменты кода Duqu имеют большое сходство с червем Stuxnet, который в 2010 г. вывел из строя несколько иранских заводов по обогащению урана. По мнению ряда специалистов, Duqu это новейшая разработка в сфере кибероружия. Сообщений о реальном применении этого вируса в 2011 г. не было.
Прошедший год был отмечен таргетированными заражениями крупнейших российских сайтов с целью распространения банковских троянов Carberp. Хотя вредоносная программа имеет хождение по всему миру, львиная доля активности злоумышленников (более 70%) приходится на Россию. Carberp ворует данные, передаваемые по системам банковского дистанционного обслуживания. В марте 2012 г. в Москве была задержана группировка ИТ-мошенников, которая использовала программу Carberp, но разработчики вредоносной утилиты по-прежнему на свободе.