|
|
Обзор подготовлен
2009 год отметился ростом числа кибер-угроз, нацеленных на компании и правительственные структуры, а также рекордным распространением вредоносного кода. Эксперты антивирусных компаний обращают внимание на то, что схемы мошенничества становятся изощреннее, атаки - хорошо продуманными, а инструменты для совершения преступлений - более доступными. Трендами года антивирусные компании назвали веб-атаки, веб-ботнеты, глобальные эпидемии вирусов, SMS-мошенничество и атаки на социальные сети.
Согласно ежегодному отчету о кибер-угрозах за 2009 год от Symantec, в прошедшем году в мире атакам подверглись 75% организаций. В среднем такие атаки обходятся в $2 млн в год, негативно отражаясь на доходах, производительности и репутации компаний. Основными целями злоумышленников являются корпоративная информация, интеллектуальная собственность и финансовая информация. Наличие в социальных сетях персональной информации менеджеров и топ-менеджеров крупных компаний значительно облегчает задачу кибер-преступников.
По оценкам «Лаборатории Касперского», ведущим "поставщиком" вредоносных программ последние годы является Китай. Ккитайская киберпреступность оказалась способной производить такое количество вредоносных программ, что последние два года все без исключения антивирусные компании тратили большую часть своих усилий на противостояние этому потоку. В то же время все больше угроз исходит из развивающихся стран (Бразилия, Индия, Польша, Вьетнам и Россия). В развитых странах ведется более активное преследование кибер-преступников, при это как раз в развивающихся активно расширяется инфраструктура широкополосного доступа в интернет, а вероятность наказания ниже.
По прогнозам Gartner, популярность ботнетов как инструмента для проведения кибератак до конца 2013 года останется высокой. В последние годы крупные ИБ-компании в сотрудничестве с правоохранительными органами закрыли ряд криминальных хостинг-сервисов, что заставило владельцев ботнетов менять стратегию. В результате тенденцией 2009 года стала децентрализация управляющих центров, укрупнение сетей и резервирование с целью быстрого восстановления.
«Лаборатория Касперского» указывает на то, что мировые объемы спама выросли незначительно (на 3,1%), а средняя доля спама в почтовом трафике в 2009 году составила 85,2%. Лидерами рейтинга остались США (16%), а второе место заняла Россия (8,5%). Главной новинкой в области спамерских трюков эксперты «Лаборатория Касперского» называют использование сервиса YouTube и письма с mp3-вложениями. По данным Symantec, наибольший всплеск нежелательных сообщений пришелся на май (90,4%), а самый низкий показатель был зафиксирован в феврале (73,7 %). Из 107 млрд спам-сообщений, распространяемых ежедневно, около 85% пришлось на ботнеты. MessageLabs указывает на то, что для рассылки спама используются десять крупных ботнетов, контролирующих не менее 5 млн зараженных компьютеров. В начале года лидировал ботнет Mega-D, в состав которого входило 300-500 тыс. активных ботов, однако их численность со временем сократилась до 100 тыс. С апреля по ноябрь в лидерах по спаму числился Pushdo с армией 1-1,5 млн ботов. К концу года лидерство перешло к Rustock (1,3-2 млн ботов).
Распределенные атаки на веб-ресурсы крупных компаний и госструктур (DDoS-атаки) через ботнеты - еще один распространенный вид киберпреступлений. Сюда также можно добавить шантаж с угрозой проведения такой атаки. Как отмечают в компании Group-IB, DDoS-атаки - один из самых прибыльных методов. В России стоимость заражения 1000 машин вирусами начинается от $20. Объектами атак в 2009 году были банковские платежные системы, системы электронных платежей, предприятия электронной коммерции, СМИ и телекоммуникационные компании.
В 2009 году специалисты Symantec обнаружили более 240 млн абсолютно новых образцов вредоносного кода, что означает стопроцентный прирост по сравнению с 2008 годом. Одновременно с этим отмечается, что вирусные эпидемии уступают место целенаправленным атакам, осуществляемым с целью получения прибыли.
Самым массовым вирусом-шпионом 2009 года стали программы семейства ZBot (ZeuS). ZeuS - недорогой (на «черном» интернет-рынке, по информации Symantec, его можно купить за $700) и простой для конфигурации троянец. Он крадет данные, используемые для авторизации в платежных онлайн-системах, отслеживая ввод информации с клавиатуры, в том числе виртуальной. «Лаборатория Касперского» приводит данные, что только в мае 2009 года было выявлено 5079 модификаций ZeuS. В 2009 году в США был опубликован отчет о том, что на территории этой страны было обнаружено около 3,6 млн машин, зараженных ZeuS. В феврале 2010 года американская компания NetWitness сообщила о выявлении инфицированных ZeuS-машин в 2500 организациях из 196 стран мира. В России, согласно данным «Лаборатории Касперского», опасность, в первую очередь, угрожает пользователям платежных сервисов QIWI, «Яндекс.Деньги» и WebMoney. К примеру, в 2008 году оборот сумм, проходящих через систему QIWI, составил 7,2 млрд долларов США. Соответственно, адрес QIWI встречается в большинстве файлов конфигурации ZeuS.
Сетевые черви в 2009 году заставили многих администраторов локальных сетей предприятий вспомнить об элементарных правилах информационной безопасности. Нельзя обойти вниманием эпидемию вируса Virut. Особенностью Virus.Win32.Virut.ce является его мишень — веб-серверы.
К концу 2009 года более 6,5 млн компьютеров по всему миру были инфицированы сетевым червем Downadup/Conficker/Worm.Win32.Kido, распространяемым через съемные носители информации. Этот червь, блокирующий работу программ, в том числе антивирусов, получает список IP-адресов компьютеров, находящихся в сетевом окружении зараженной машины, и производит на них атаку. В апреле 2009 года компьютерам, зараженным Downadup, была отдана команда на обновление с использованием соединения P2P и загрузку ложного антивируса SpywareProtect2009 и спамбота Waledac, нацеленного на рассылку спама и кражу информации. Как полагают в компании Trend Micro, Downadup был не эпидемией, а хорошо подготовленной и организованной атакой.
По данным «Доктор Веб», протокол Microsoft Windows Server Message Block 2, используемый преимущественно для совместного доступа к компьютерным ресурсам, стал основной мишенью хакеров в 2009 году. Другими популярными мишенями были Adobe Reader (примерно половина атак осуществлялась посредством загрузки зараженных PDF-файлов), Flash Player, Internet Exporer 7 и компонент Windows MPEG2 ActiveX Control.
В 2009 году вирусы распространились и на смартфоны и коммуникаторы, управляемые популярными мобильными платформами Symbian OS, iOS, Android OS, которые получают все более широкое распространение в бизнес-среде. «Лаборатория Касперского» сообщила о новом мобильном вирусе, способном без ведома абонента управлять его личным телефонным счетом. Индонезийский троянец Trojan-SMS.Python.Flocker.ab-af настроен так, что средства с зараженного номера переводятся небольшими частями, от 45 до 90 центов США. Таким образом, в случае, если злоумышленникам удастся инфицировать большое количество телефонов, сумма, которую они получат на мобильный счет, может оказаться вполне значительной.
Также в 2009 году эксперты «Лаборатории Касперского» обнаружили новую вредоносную программу для операционной системы Symbian, нацеленную на клиентов одного из индонезийских мобильных операторов. Найденное вредоносное ПО относится к классу троянских программ и написано на скриптовом языке Python. Троянец без ведома владельцев телефонных номеров отправляет SMS-сообщения на короткий сервисный номер с командой перевести часть средств абонента на другой счет, принадлежащий злоумышленникам.
Trend Micro в отчете «Анализ угроз будущего на 2010 год» называет «облачные» вычисления и виртуализацию новым вектором атак и прогнозирует, что объектами атаки кибер-мошенников будут либо «точки» подключения к «облачной» инфраструктуре, либо центр обработки данных и сама инфраструктура. Несмотря на то, что «облака» позволяют экономить средства компанией, способствуя выводу серверов за традиционный периметр безопасности, они расширяют поле для деятельности мошенников. В качестве примера Trend Micro приводит выход из строя «облачного» сервера Danger/Sidekick, который привел к массовым простоям систем в ноябре 2009 года, продемонстрировав таким образом возможные риски в отношении «облачных» инфраструктур.
По оценкам аналитических компаний, занимающихся отслеживанием вирусных угроз, 2009 год стал очередной вехой как в истории вредоносных программ, так и в истории киберпреступности. В очередной раз изменилось направление развития и первых, и вторых. Кибер-угрозы становятся более комплексными, а задачи специалистов по корпоративной безопасности усложняются.
Алексей Надеждин