Rambler's Top100
Все новости Новости отрасли

2011 - год «взрывоопасной» безопасности

20 февраля 2012

Десять самых ярких историй безопасности-2011. В список, составленный экспертами, вошли эпизоды, которые либо определили основные тенденции в распространении IT-угроз, либо вывели на сцену новые действующие лица.

1. Появление «хактивизма»

В течение всего 2011 года хакерские группы Anonymous, LulzSec, TeaMp0isoN и их «коллеги» активно участвовали в различных мероприятиях, направленных против правоохранительных органов, банков, правительств, компаний, занимающихся информационной безопасностью и основных производителей программного обеспечения. Иногда работая вместе, а иногда и друг против друга, эти группы выступали единым строем в инцидентах информационной безопасности, взламывая сети ООН, разведывательно-аналитической компании Stratfor, RC Federal (подрядчика ФБР), ManTech (подрядчика министерства обороны США) и ЦРУ. Любопытно, что некоторые из этих инцидентов, например взлом сети Stratfor, вскрыли серьезные проблемы с защитой информации, такие как хранение CVV-кодов (Card Validation Code) в незашифрованном формате или использование администраторами ненадежных паролей.

2. Взлом HBGary Federal

Хотя эта история очень похожа на предыдущую, ее все же стоит выделить в отдельный эпизод. В январе 2011 года хакеры группы Anonymous, использовав механизм SQL-инъекций, взломали веб-сервер hbgaryfederal.com компании HBGary Federal. Им удалось заполучить хеши MD5 нескольких паролей, принадлежащих генеральному директору компании Аарону Барру и исполнительному директору Теду Вера. К сожалению, оба директора использовали очень простые пароли, состоявшие из шести строчных букв и двух цифр, что и позволило хакерам получить доступ к документации компании и десяткам тысяч ящиков электронной почты, хранившихся на Google Apps. Эта история показывает, как использование слабых паролей, старых систем программного обеспечения и данных из «облака» может привести к информационной катастрофе.

3. Устойчивые угрозы повышенной сложности (Advanced Persistent Threat, или APT)

Хотя многие эксперты по информационной безопасности не любят этот термин, он уже закрепился в СМИ и стал суперпопулярным в применении к инцидентам, подобным взлому системы безопасности RSA или кибератакам Night Dragon, Lurid и Shady Rat, нагло названными их организаторами «операциями». Любопытно, что многие из этих «операций» вовсе не были сложными. В некоторых случаях применялись атаки «нулевого дня». Во всех этих атаках есть кое-что общее: часто использовались 0-day уязвимости в программном обеспечении Adobe, многие атаки имели «американские цели», особенно компании, работающие с военными или правительственными организациями США. Эти атаки подтверждают, что на сцену выходят сильные игроки – национальные государства, а кибершпионаж становится общепринятой практикой. Кроме того, создается впечатление, что многие из этих атак взаимосвязаны и работают на общий результат.

4. Инциденты с Comodo и DigiNotar

15 марта 2011 года были взломаны учетные записи одной из доверенных компаний-партнеров Comodo, выпускающей защитные программные продукты и SSL-сертификаты. Хакеры быстро использовали существующую инфраструктуру для создания девяти поддельных цифровых сертификатов для веб-сайтов. В ходе анализа инцидента Comodo смогла выяснить, что атака шла из Тегерана. Однако с точки зрения масштабности эта атака не идет ни в какое сравнение со взломом компьютеров сертификационного центра DigiNotar. 17 июня 2011 года злоумышленники начали «прощупывать» серверы DigiNotar, а уже через пять дней сумели получить доступ к их инфраструктуре и сгенерировать более 300 поддельных сертификатов. Чтобы иранский след выглядел еще более убедительным, позже эти поддельные сертификаты были использованы для организации атаки man-in-the-middle, в результате которой пострадали более 100 000 иранских пользователей Gmail. Истории с Comodo и DigiNotar заставили заговорить о потере доверия к компаниям, которые выпускают цифровые сертификаты. Ожидается, что в будущем атаки на них станут еще более широкомасштабными.

5. Duqu

В июне 2010 г. исследователь Сергей Уласень из белорусской компании ВирусБлокАда обнаружил любопытный образец вредоносного ПО. Его драйверы были подписаны сертификатами, которые, очевидно, были ворованными. Эта программа, получившая известность под названием Stuxnet, представляет собой компьютерный червь с совершенно особым вредоносным функционалом, направленным против ядерной программы Ирана. Stuxnet перехватывал управление ПЛК Siemens в иранском ядерном центре в Натанзе и перепрограммировал их очень специфическим образом. Подобное невозможно написать, не имея доступа к проектной документации и исходному коду. Но как могли злоумышленники раздобыть такую секретную вещь, как особый код, управляющий работой установок стоимостью миллиард долларов? Один из возможных ответов в троянце Duqu. Созданный теми же людьми, что и Stuxnet, Duqu был обнаружен в августе 2011 года венгерской исследовательской лабораторией CrySyS. Было обнаружено, что Duqu проникает на компьютер с помощью вредоносных документов Microsoft Word, которые используют уязвимость, известную как CVE-2011-3402. Перед Duqu ставятся совершенно иные задачи, чем те, ради которых был создан Stuxnet. Эта троянская программа по сути представляет собой весьма хитрый инструментарий для проведения атак, позволяющий взломать систему и затем систематически выкачивать оттуда информацию. Предусмотрена возможность загружать на компьютер-жертву новые модули и исполнять их «на лету», не оставляя следов в файловой системе. Модульная архитектура, а также малое число жертв по всему миру – причина того, что Duqu оставался необнаруженным в течение нескольких лет. Самый ранний след связанной с Duqu активности, который нам удалось отыскать, датируется августом 2007 года. Duqu и Stuxnet – это новейшие средства для ведения кибервойн. Их появление дает нам понять, что мы входим в эпоху холодной кибервойны, в которой сверхдержавы борются друг с другом без сдерживающих факторов, присущих реальной войне.

6. Взлом геймерской сети Sony PlayStation

19 апреля 2011 года геймерская сеть Sony PlayStation подверглась атаке хакеров. Сначала в Sony на вопросы отвечали неохотно, ссылались на временные неполадки с сервисом, случившиеся 20 апреля, и обещали через несколько дней исправить ситуацию. И только 26 апреля компания узнала о хищении персональных данных пользователей, а возможно, и номеров их кредитных карт. Еще через три дня появились сообщения, что на хакерских форумах якобы предлагали для продажи 2,2 миллиона номеров кредитных карт. К 1 мая Sony PlayStation так и не заработала, что оставило многих пользователей не только без кредитных карт, но и без возможности играть в уже оплаченные игры. В октябре 2011 года геймерская сеть вновь попала в заголовки СМИ: сообщалось, что Sony пришлось заблокировать еще 93 000 взломанных учетных записей для того, чтобы не допустить их дальнейшего использования в преступных целях. Взлом геймерской сети Sony PlayStation стал крупнейшим событием 2011 года, потому что продемонстрировал, помимо всего прочего, что в эпоху облачных технологий персональные данные, удачно сосредоточенные в одном месте и доступные посредством быстрых ссылок, станут легкой добычей для преступников в случае неправильных настроек или проблем с безопасностью. В 2011 году 77 миллионов имен пользователей и 2,2 миллиона номеров кредитных карт стали считаться «трофеем», обычным для эры облачных технологий.

7. Борьба с киберпреступностью и закрытие ботнетов

При том что злоумышленники, атаковавшие геймерскую сеть Sony PlayStation, до сих пор не найдены, 2011 год все равно может считаться неудачным для многих киберпреступников, которых правоохранительные органы разных стран поймали и арестовали. Аресты членов группы ZeuS, пресечение преступной деятельности DNSChanger, закрытие ботнетов Rustock, Coreflood и Kelihos/Hilux – всего лишь несколько примеров успешной борьбы с интернет-мошенничеством, которые свидетельствуют о появлении новой тенденции: задержание кибербандитов во многом способствовало снижению криминальной активности во всем мире и стало сигналом оставшимся преступникам.

8. Увеличение количества вредоносных программ для Android

В августе 2010 года была обнаружена первая троянская программа для платформы Android - Trojan-SMS.AndroidOS.FakePlayer.a, которая маскировалась под приложение для медиаплеера. Менее чем через год вредоносные программы для Android ОС быстро распространились и стали самыми популярными в категории мобильного ПО. Эта тенденция окончательно проявилась в III квартале 2011 года, когда на долю Android пришлось более 40% всего зарегистрированного вредоносного мобильного ПО. Критическая масса была превышена в ноябре 2011 года: за месяц было обнаружено более 1000 зловредов для Android, что практически равнялось количеству мобильных вредоносных программ, выявленных за последние шесть лет! Огромная популярность вредоносных программ для Android может объясняться несколькими причинами и, прежде всего, бурным ростом спроса на саму Android. Во-вторых, имеющаяся в свободном доступе документация по платформе Android облегчила злоумышленникам задачу создания вредоносных программ для нее. И наконец, многие обвиняют Google Market в слабом процессе проверки, который практически предоставляет киберпреступникам зеленый коридор для загрузки их творений. На данный момент нам известны только две вредоносные программы для iPhone, тогда как количество троянцев для Android в нашей коллекции уже приближается к 2000.

9. Инцидент с CarrierIQ

Carrier IQ – небольшая частная компания, основанная в 2005 году в Маунтин-Вью (Калифорния). По данным, размещенным на сайте компании, ПО Carrier IQ развернуто на 140 миллионах устройств по всему миру. И хотя задачей этих программ, по словам производителей, является сбор «диагностической» информации с мобильных устройств, исследование, проведенное Трэвором Экхартом (Trevor Eckhart), доказывает, что Carrier IQ имеет доступ практически ко всему, что вы делаете на своем устройстве: от нажатия клавиш на клавиатуре до URL-адресов, куда вы заходите с вашего мобильного устройства. Carrier IQ – американская компания, поэтому правоохранительные органы США могут потребовать раскрыть большую часть собранной информации при наличии у них соответствующего ордера. Такая законодательная хитрость позволяет легко превратить компанию в шпиона, действующего по поручению властей, или в инструмент для слежки. Имеет ли это место на самом деле или нет, доподлинно неизвестно, однако многие пользователи решили избавиться от Carrier IQ, установленного на их мобильниках. К сожалению, сделать это не так просто, тем более что процесс его удаления выглядит по-разному для iPhone, телефонов Android и BlackBerrys. Инцидент с Carrier IQ наглядно демонстрирует, что все мы находимся в полном неведении о том, какие конкретно процессы происходят в наших мобильных устройствах и в какой степени мобильный оператор может их контролировать.

10. Вредоносное ПО для Мас OS

Существование вредоносных программ для Мас OS в истории-2011 нельзя оставить без внимания. Продукты под названиями MacDefender, MacSecurity, MacProtector или MacGuard, представляющие собой поддельные антивирусные программы для Мас, появились в мае 2011 года и быстро приобрели популярность. Они распространялись в поисковиках Google с помощью технологии черной поисковой оптимизации. Используя методы социальной инженерии, злоумышленники вынуждали пользователей загружать и устанавливать эти программы, а затем платить за их «полную» версию. Большинство тех, кто заплатил $40 за так называемую полную версию, в дальнейшем обнаруживали, что в действительности заплатили $140, а некоторые – даже в несколько раз больше.

 В дополнение к фальшивым антивирусам для Мас, следует упомянуть и троянцев семейства DNSChanger. Впервые о них заговорили в 2007 году. Эти маленькие программы выполняли очень простую операцию по заражению системы, заменяя адреса DNS-серверов в настройках пользователя на адреса мошеннических DNS-серверов, а затем самоудалялись. Киберпреступники меняют DNS-соединения с тем, чтобы заставить вас зайти на поддельный веб-сайт, пройти по ложной ссылке и стать участником атаки man-in-the-middle. К счастью, в ноябре 2011 года ФБР арестовала шесть граждан Эстонии, которые занимались распространением DNSChanger. По данным ФБР, за последние четыре года члены преступной группы инфицировали более 4 миллионов компьютеров в 100 странах и получили почти $14 миллионов прибыли. Описанные выше инциденты свидетельствуют о том, что вредоносное ПО для Мас OS – такая же реальность, как и зловреды для Windows, а еще о том, что даже самые современные способы защиты могут оказаться бессильными против тщательно продуманных методов социальной инженерии.

Прогноз-2012

В 2012 году нас ожидают следующие события и тенденции в области киберпреступной активности:

  • Кибероружие типа Stuxnet будет использоваться в единичных случаях. При этом более простые средства – «закладки», «логические бомбы» и прочее, — нацеленные на уничтожение данных в нужный момент, будут применяться злоумышленниками гораздо чаще.
  • Таргетированных атак станет больше, злоумышленники начнут использовать новые методы заражения, так как известные способы будут почти неэффективны. Спектр компаний и отраслей экономики, которые станут объектами атак, расширится.
  • В 2012 году все усилия злоумышленников, пишущих зловреды для мобильных платформ, будут брошены на создание вредоносных программ для Goggle Android. Мы ожидаем роста числа атак с использованием уязвимостей, а также появление первых мобильных Drive-by атак.
  • Вырастет число загрузок вредоносных программ в официальные магазины приложений, в первую очередь на Android Market. А мобильный шпионаж – кража данных с мобильных телефонов и слежка за объектом при помощи его телефона и геолокационных сервисов – станет широко распространенным явлением.
  • В 2012 году атаки на системы онлайн-банкинга станут одним из самых распространенных способов незаконного отъема денег у обычных пользователей. Под ударом - Юго-Восточная Азия, Китай и страны Восточной Африки.
  • Множественные атаки на различные государственные и коммерческие структуры по всему миру продолжатся. При этом хактивизм может быть использован и в целях сокрытия других атак.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.