• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Развитие киберугроз в октябре 2011 года

Главное открытие октября – троянец Duqu, «сводный брат» Stuxnet. Сходство между двумя вредоносными программами столь значительно, что может свидетельствовать о том, что либо за разработкой обеих программ стоит одна и та же группа, либо разработчики Duqu использовали исходные коды Stuxnet (которые, вопреки ряду слухов, никогда не были доступны публично).

Duqu – попытка клонирования Stuxnet

Вне всякого сомнения, для антивирусной индустрии в октябре наиболее громким событием стало известие об обнаружении троянской программы Duqu. Анализ, проведенный экспертами венгерской исследовательской лаборатории Crysys, выявил множество совпадений в коде троянца с кодом червя Stuxnet, который является первым известным образцом «кибероружия».

Однако, в отличие от Stuxnet, который содержал код для изменения параметров работы высокочастотных моторов и предположительно был создан для вывода из строя центрифуг на иранском заводе по обогащению урана, Duqu не имеет функционала работы с промышленными системами. Файлы Duqu, обнаруженные в Венгрии в ходе расследования первого известного инцидента, помимо основного модуля, обеспечивающего работу троянца и осуществляющего взаимодействие с сервером управления, содержали дополнительный модуль троянца-шпиона. Этот модуль способен перехватывать данные, вводимые с клавиатуры, делать скриншоты, собирать информацию о системе и так далее. В дальнейшем украденные данные могли передаваться на сервер управления троянцем, расположенный в то время в Индии. Явная нацеленность на промышленный шпионаж, а не на промышленные диверсии (как это было со Stuxnet), сразу вызвала множество вопросов об истинной цели Duqu.

Атаки на индивидуальных пользователей

Бундестроянец: границы допустимого

В октябре в Германии разразился громкий скандал, связанный с обнаружением бэкдора, который использовался немецкой полицией в ходе расследований для перехвата голосового трафика и сообщений с компьютеров подозреваемых. Скандал произошел не только из-за того, что уже в пяти федеральных землях Германии подтвердили использование этого троянца, но и потому, что федеральные законы страны разрешают правоохранительным органам перехватывать только Skype-трафик подозреваемых, а троянец способен «шпионить» за гораздо большим количеством самых разных программ.

Проведенное исследование показало, что Backdoor.Win32.R2D2 (известный также как “0zapftis”) нацелен не только на перехват сообщений в Skype, но и на все распространенные браузеры, различные приложения для мгновенного обмена сообщениями и программы IP-телефонии (VoIP). Кроме того, было установлено, что бэкдор способен работать на 64-битных версиях Windows.

Выяснилось, что образец троянца, ставший объектом исследования, был установлен полицией на ноутбук подозреваемого в ходе прохождения досмотра в аэропорту Мюнхена. Впоследствии в документах сайта WikiLeaks были обнаружены материалы, свидетельствующие о том, что разработка данного троянца была поручена немецкой компании DigiTask и стоила более 2 миллионов евро.

Мобильные угрозы: Android лидирует

В октябре произошло достаточно важное событие в мире мобильных угроз. Согласно статистическим данным «Лаборатории Касперского», суммарное число зловредов для Android превысило число зловредов для платформы J2ME (что касается Symbian, то по этому показателю Android обогнала ее еще в середине лета). Напомним, что на протяжении последних двух лет вредоносное ПО для Java 2 Micro Edition (J2ME) доминировало. Сам факт такого быстрого и значительного роста числа зловредов для Android свидетельствует о том, что в ближайшем будущем основное внимание вирусописателей будет сосредоточено именно на этой операционной системе.

К концу октября были обнаружены 1916 вариантов вредоносных программ для Android в 92 семействах. Что касается платформы J2ME, то для нее было обнаружено 1610 вариантов в 60 семействах. Если говорить о соотношении модификаций, обнаруженных для всех мобильных платформ, то ситуация выглядит следующим образом:

Общее число мобильных угроз, обнаруженных за все время их существования, на конец октября составило 4053 модификации в 289 семействах.

Antammi

К сожалению, вредоносные программы появляются на Android Market достаточно часто. В октябре с сайта этого магазина приложений был удален очередной зловред, детектированный как Trojan-Spy.AndroidOS.Antammi.b. Зловред нацелен на русскоязычную аудиторию.

Antammi.b содержит функционал загрузки звонков для телефона (причем для загрузки пользователю необходимо отправить платное SMS-сообщение), но помимо этого, он ворует практически все личные данные пользователя. После чего вредоносная программа отсылает информацию о своей работе на почтовый ящик на Gmail, а похищенные данные загружает на сервер.

Вредоносное приложение появилось в официальном магазине в начале сентября, и за время его существования Antammi.b успели загрузить более 5000 пользователей.

MacOS-угрозы: новый функционал

В середине октября была обнаружена новая версия троянца Flashfake под Mac OS X — Trojan-Downloader.OSX.Flashfake.d. Основная функция зловреда – загрузка файлов — осталась прежней. И он по-прежнему маскируется под установочный файл Adobe Flash Player. Однако в программе был реализован и новый для OSX-зловредов функционал.

Два года назад компания Apple добавила в операционную систему Mac OS X систему защиты от вредоносного ПО — Xprotect. Trojan-Downloader.OSX.Flashfake.d способен выводить из строя защиту Xprotect, повреждая ее основные файлы. После этого защита не может получать обновления от компании Apple, что сводит эффективность Xprotect к нулю. Возможность отключения встроенной защиты связана с тем, что механизм самозащиты просто не был предусмотрен программистами.

Таким образом, вредоносный файл Trojan-Downloader.OSX.Flashfake.d, однажды запустившись на компьютере, не только защищает себя от удаления, но и делает систему уязвимой для других вредоносных программ, которые должны обнаруживаться встроенной защитой. Это и делает троянца опаснее других представителей OSX-зловредов.

Атаки на сети корпораций и крупные организации

Октябрь был очень насыщенным событиями в области атак на корпорации и правительственные ведомства.

Япония: под прицелом хакеров

Во-первых, появились новые данные об августовской атаке на японскую компанию Mitsubishi Heavy Industries. В ходе расследования, проводимого токийской полицией, выяснилось, что на 83 компьютерах, ставших объектами атаки, было обнаружено около 50 различных вредоносных программ. Только на одном из этих компьютеров их было найдено 28. Также было установлено, что хакеры совершили более 300 000 обращений к зараженным системам. Поиск источников атаки выявил еще один зараженный компьютер, принадлежащий Society of Japanese Aerospace Companies (SJAC). Именно с него хакеры отправляли вредоносные письма на машины в компаниях Mitsubishi Heavy и Kawasaki Heavy. К самому же компьютеру атакующие обращались через анонимный прокси-сервер в США, тем самым тщательно заметая все следы. Несмотря на это, японские эксперты продолжают придерживаться версии о «китайском» происхождении хакеров.

Первоначально было заявлено, что конфиденциальная информация не была похищена. Но почти после месяц расследования инцидента в прессу попала информация о том, что хакерам все-таки удалось украсть данные о разработках реактивных истребителей, а также чертежи ядерных электростанций.

Япония еще раз попала в сводку месяца, когда была обнаружена целевая атака против членов нижней палаты японского парламента и ряда дипломатических миссий этой страны по всему миру. В парламенте оказались заражены 32 компьютера, и хакеры могли получить (и, вероятно, получили) доступ к внутренним документам и всей электронной переписке парламентариев. Вирусы также были обнаружены на компьютерах в посольствах Японии во Франции, Нидерландах, Мьянме, США, Канаде, Китае и Южной Корее. Вредоносные программы общались с двумя серверами, расположенными в Китае, которые злоумышленники ранее уже использовали в атаках против компании Google.

США: новые подробности о старых инцидентах

В октябре в США в ходе специальных слушаний в Конгрессе были раскрыты детали множества атак, в том числе связанных с мартовским взломом компании RSA. Была представлена информация о том, что еще несколько сотен различных компаний по всему миру могли стать жертвами похожих инцидентов и атак со стороны той же группы хакеров. Напомним, что и тут эксперты усматривают явное китайское происхождение угрозы.

Были также оглашены факты атак на два американских спутника в 2007-2008 годах. Неизвестные хакеры несколько раз вмешивались в работу научно-исследовательских спутников Landsat-7 и Terra AM-1. Официально не сообщалось о том, удалось ли хакерам похитить какую-то информацию или нарушить ход работы спутников. По заявлению американских властей, атакованные спутники не играют существенной роли в обеспечении национальной безопасности США, однако сам факт успешной атаки вызывает тревогу. В принципе, получив доступ к управлению спутником, хакеры могут вывести его из строя или получить доступ к данным, которые через него передаются.

Всего было зафиксировано четыре атаки, в ходе которых злоумышленники на несколько минут получали доступ к управлению спутниками. Предположительно, атаки стали возможны после взлома компьютерных систем наземной станции управления спутниками, расположенной в Норвегии.

Оставить свой комментарий:

Комментарии по материалу