Информационная безопасность: атаки только ради выгоды

Хакеры, похоже, окончательно растеряли свой благородный ореол, характерный для них в 1990-х годах. Сегодня 99% хакерских атак прямо связаны с извлечением преступной прибыли. Оставшийся процент можно списать на «тренировки» юных хакеров.

Понятно, что в условиях общей коммерциализации «темной стороны Интернета» персональные данные рядовых пользователей становятся ключом, открывающим доступ к доходам, которые еще десятилетие назад киберзлоумышленникам и не снились.

Отсюда, впрочем, следуют не только участившиеся кражи персональных и корпоративных данных. По той же причине хакеры все более активно ищут уязвимости в пользовательском ПО и строят ботнеты.

Утечки, повсюду утечки…

Британский банк HSBC сообщил, что 24.000 клиентов его швейцарского подразделения частного банкинга пострадали от кражи данных. Правда, данные были украдены три года назад, и с тех пор 9 тысяч таких клиентов прекратили пользоваться услугами HSBC.

В декабре 2009 года HSBC признал факт кражи данных, но, по тогдашним заверениям руководства банка, она коснулась лишь 10 клиентов. И только 11 марта нынешнего года банк принес извинения клиентам и заявил, что лишь сейчас начал осознавать размер нанесенного ущерба.

Данные о тысячах клиентов украл сотрудник IT-отдела Эрве Фальчани. Количество пострадавших от действий мошенника составило одну пятую от общей численности клиентов отделений частного банкинга HSBC. Кроме того, утечка данных привела к конфликту между Францией и Швейцарией. Французские власти, получив в свое распоряжение базу по клиентам HSBC, начали расследование возможного ухода от налогов ряда граждан страны – клиентов банка. В феврале конфликт был улажен по договоренности сторон. Но банковские регуляторы Швейцарии возбудили против HSBC административное дело по факту утечки конфиденциальной информации.

Из-за онлайн-мошенничества с электронными платежами, использующими украденные частные данные, американские компании потеряли более $120 млн в III квартале прошлого года. Об этом говорится в новом отчете Федеральной Корпорации страхования банковских вкладов США (U.S. Federal Deposit Insurance Corporation). Малый бизнес США потерял из-за интернет-мошенников в III квартале около $25 млн. По словам Дэвида Нельсона, специалиста FDIC, почти все случаи мошенничества связаны с заражением ПК жертвы вредоносным кодом, после чего злоумышленники получают доступ к его личной информации и снимают деньги со счетов. Ожидается, что в 2010 г. потери американских компаний окажутся еще большими.

Китайская неожиданность и проблемы с популярным софтом

Китайский разработчик программных средств по защите данных, компания 360, заявила о планах по запуску бесплатного софта для сотовых телефонов, с помощью которого пользователи смогут избавиться от проблемы спама и защитить свой аппарат от вирусов. Как рассказал местным СМИ глава компании Чжоу Хунвэй, технологии 360 смогут защитить сотовые телефоны от троянских программ и вирусов. Причем абсолютно бесплатно. В тестировании бета- версии уже приняло участие более миллиона владельцев сотовых телефонов. В настоящее время она доступна на сайте компании. Новое ПО поддерживается телефонами на базе платформ Symbian S60V2, V3 иV5. Тестирование версии для Google Android начнется в ближайшее время. Корпорация Microsoft советует своим клиентам устанавливать 32-битную, а не 64-битную версию Office 2010. Этот совет находится в ответах на часто задаваемые вопросы о программе технической гарантии на Office 2010, которая отвечает за обновления, которые должны бесплатно получить покупатели Office 2007.

«Мы настоятельно рекомендуем большинству пользователей устанавливать 32-битную версию Office 2010 и на 32, и на 64-битные операционные системы, потому что много употребительных надстроек для Office в 64-битной версии не будут работать. 64-битная версия продуктов Microsoft Office 2010 подойдет тем пользователям, кто регулярно работает с большими документами или файлами, и кому требуется, чтобы программам Excel 2010 было доступно более 2 Гб памяти. С 64-битной версией могут быть технические неувязки, и для того чтобы инсталлировать продукт 64-битной версии Office 2010, пользователи должны иметь на своих компьютерах ОС, которая поддерживает 64-битную версию», – предупреждает Microsoft.

Даже некоторые собственные плагины Microsoft, включая Outlook Social Connector, еще не совместимы с 64-битным ПО. Сторонние плагины от LinkedIn или Symantec также поддерживают только 32-битный софт.

Эксперт фирмы Secunia Марцин Рессел обнаружил серьезную уязвимость в браузере Opera. Критический баг, вызывающий переполнение буфера, позволяет хакеру получить удаленный доступ к машине жертвы и выполнить на ней произвольный код.

По словам исследователя, уязвимость проявляется вследствие ошибки при обработке специальным образом составленного HTTP-заголовка «Content- Length». Эту недоработку можно использовать для переполнения буфера в куче путем установки чрезмерно большого значения 64-битного заголовка. Уже точно известно, что уязвимости подвержена Opera 10.50, однако по мнению ряда специалистов, баг может проявляться и в более ранних сборках браузера. Патч, закрывающий описанную брешь, еще не выпущен. Пользователям советуют не посещать подозрительные сайты или отказаться от использования Opera до выхода соответствующего обновления.

ФБР будет ловить киберпреступников по всему миру

Американское Федеральное бюро расследований займется киберпреступниками в Украине, Эстонии и Голландии в сотрудничестве с местными правоохранительными органами. Об этом на форуме «RSA Conference», посвященном компьютерной безопасности, рассказал Джеффри Трой – руководитель отдела ФБР, занимающегося киберпреступниками.

Работу по развитию сотрудничества агенты бюро вели на протяжении последних нескольких месяцев. По словам представителя ФБР, такое сотрудничество крайне важно, поскольку киберпреступность не знает международных границ. Подтверждение этому – успех аналогичных действий в Румынии в 2006 году, что привело почти к 100 арестам. «Мы оценили данный опыт и подумали, где еще мы можем применить его. Это не новая модель сотрудничества, но это однозначно новый подход к киберпреступлениям», – заметил Трой.

По поводу конкретных расследований представитель ФБР комментировать что-либо отказался, заметив при этом, что страны «были выбраны не случайно». Эксперты по безопасности, однако, убеждены, что по уровню киберопасности Украина давно обогнала Россию: «Украина является для нас большой проблемой. Отсюда появляются и скиммерские схемы, и банковские трояны типа Zeus. В рейтинге стран, откуда производятся незаконные кибероперации, я бы поставил Украину выше России», – говорит аналитик компании Trend Micro Пол Фергюсон.

Сделать ботнет легко. Очень легко

Специалисты по безопасности сумели одурачить 8000 пользователей iPhone и смартфонов на базе ОС Android, обманным путем заставив их загрузить приложение для просмотра прогноза погоды. После этого все они были объединены в состоящий из смартфонов ботнет.

Дерек Браун и Даниэль Тиджерина из TippingPoint Digital Vaccine Group рассказали о результатах своего эксперимента в ходе специальной презентации на конференции по информбезопасности RSA Conference. По их словам, цель работы заключалась в том, чтобы доказать, насколько легко методы социальной инженерии, изначально придуманные для применения в Сети против пользователей ПК, могут быть перенесены на смартфоны с выходом в Интернет.

В рамках эксперимента было создано приложение WeatherFist, которое перед выдачей пользователям результатов привязанного к местности прогноза погоды собирало с телефонов данные GPS и номера абонентов. На официальных сайтах приложений для iPhone и Android выкладывать свое творение исследователи не решились, разместив его на таких сторонних ресурсах, как Cydia и SlideME. В результате на их удочку попались свыше 8000 жертв, по большей части – владельцы «разблокированных» аппаратов.

Помимо этого Браун и Тиджерина разработали более вредоносный вариант того же приложения, который после этого испытали на собственных смартфонах. Эта версия позволила им собирать данные пользователей и логины, а также рассылать спам и публиковать подложные обновления на сайтах социальных сетей.

Новая атака властей на торрент-трекеры

Греческие власти провели масштабный рейд против крупнейшего торрент-портала в стране, арестовав шестерых человек и подключив Интерпол к розыску еще двух предполагаемых администраторов сайта. Операция против торрент-трекера Gamato.info была проведена вместе с местной организацией по борьбе с пиратством Society for the Protection of Audiovisual Works (EPOE). Три человека, которые подозреваются в управлении сайтом, были арестованы в Афинах и три - в Салониках.

Кроме того, полиция Греции подключила Интерпол к розыску еще двух предполагаемых администраторов сайта, которые предположительно находятся не на территории страны. По данным TorrentFreak, они живут в Нидерландах и оттуда управляют работой ресурса. Также в Нидерландах размещены серверы Gamato.info. В общей сложности полиция разыскивает еще 11 человек, так или иначе связанных с работой крупнейшего торрент-портала Греции. Количество зарегистрированных пользователей данного сайта превышает 898 тыс.

По словам представителей властей, ресурс Gamato.info ответственен за 80% всего онлайн-пиратства в Греции, а организация EPOE оценивает свои потери от деятельности сайта за все время его существования в размере 1 млрд евро. В результате облавы на торрент-трекер, в ходе которой было изъято 27 жестких дисков, пять ноутбуков и более 600 DVD, он прекратил свою работу.

Впервые организация EPOE начала активную борьбу против торрент-ресурсов в Греции в конце прошлого года, когда она совместно с полицией провела рейд против сайта Greek-Fun.com. Тот ресурс содержал около 14 тысяч ссылок на различный контент, около 5,5 тысяч из которых касались контента клиентов EPOE. В ходе рейда был арестован один из администраторов Greek-Fun.com, некоторые другие люди были допрошены. Поданным EPOE, деятельность Greek-Fun.com нанесла организации ущерб в размере 1,8 млн евро (что существенно меньше, чем заявленные 1 млрд евро для Gamato.info).

Сразу после рейда на Greek-Fun в декабре 2009 г., перестал работать и Gamato.info, однако администрация сайта объяснила это «техническими проблемами». Gamato.info вернулся в онлайн только в начале февраля нынешнего года. В результате прекращения работы двух крупных торрент-порталов специалистами было замечено существенное падение объемов интернет-трафика в стране – он сократился почти на 70%.

Вредоносное ПО февраля: оценка «ЛК»

«Лаборатория Касперского» опубликовала рейтинг вредоносных программ за февраль 2010-го. По информации компании, если раньше пользователей старались заманить на созданные злоумышленниками вредоносные сайты, то в последнее время киберпреступники сменили тактику: они взламывают легитимные ресурсы, говорится в отчете компании.

На взломанной странице размещается скрипт, который перенаправляет пользователя на сайт злоумышленников, после чего на ПК жертвы в случае успешной атаки незаметно загружается вредоносная программа. Об активности злоумышленников в Сети и масштабах подобного рода атак свидетельствует рейтинг вредоносного ПО, обнаруженного на web-страницах и пытающихся загрузиться на компьютеры пользователей из Интернета:

1. Return Trojan-Downloader.JS.Gumblar.x
2. Trojan.JS.Redirector.l
3. New Trojan-Downloader.JS.Pegel.b
4. not-a-virus: AdWare.Win32.Boran.z
5. Trojan-Downloader.JS.Zapchast.m
6. New Trojan-Clicker.JS.Iframe.ea
7. New Trojan.JS.Popupper.ap
8. Trojan.JS.Popupper.t
9. New Exploit.JS.Aurora.a
10. New Trojan.JS.Agent.aui
11. New Trojan-Downloader.JS.Pegel.l
12. New Trojan-Downloader.Java.Agent.an
13. New Trojan-Clicker.JS.Agent.ma
14. New Trojan-Downloader.Java.Agent.ab
15. New Trojan-Downloader.JS.Pegel.f
16. Return Packed.Win32.Krap.ai
17. New Trojan-Downloader.Win32.Lipler.axkd
18. New Exploit.JS.Agent.awd
19. New Trojan-Downloader.JS.Pegel.k
20. New Packed.Win32.Krap.an

Из 20 программ, попавших в список, только шесть фигурировали в аналогичных рейтингах в предыдущие месяцы. 14 позиций заняты новичками. Для сравнения: среди программ, заблокированных непосредственно на компьютерах пользователей, только четыре новых.

По данным «Лаборатории Касперского», из 20 наиболее активных угроз в Интернете 8 могут использоваться для редиректа посетителей взломанных легитимных ресурсов на вредоносные сайты. По описанной схеме действует и лидирующий в рейтинге печально известный Gumblar, что свидетельствует об очередной волне эпидемии этого скриптового загрузчика. Кроме того, растут масштабы начавшейся в январе эпидемии аналогичного Gumblar загрузчика Pegel. Среди программ, впервые попавших в рейтинг, присутствуют четыре представителя этого семейства, причем один из них оказался сразу на третьем месте.

Для того чтобы загружать на ПК пользователей исполняемые вредоносные файлы, злоумышленники чаще всего эксплуатируют уязвимости в таких продуктах, как Internet Explorer и Adobe Reader. При этом в атаках часто используются уязвимости, обнаруженные еще несколько лет назад. Примечательно, что на 9-м месте рейтинга расположился эксплойт Exploit.JS.Aurora.a к уязвимости в Internet Explorer, который использовался в таргетированной атаке на крупные компании (такие как Google и Adobe) для получения персональной информации пользователей и интеллектуальной собственности компаний.

Более того, Exploit.JS.Aurora.a попал и на 7-е место в рейтинге вредоносных и потенциально нежелательных программ, которые были задетектированы и обезврежены на компьютерах пользователей при первом обращении к ним. Лидирует же в этом рейтинге занявший три из пяти первых позиций сетевой червь Kido, эпидемия которого продолжается уже много месяцев.

В целом двадцатка зловредов, задетектированных на ПК пользователей, выглядит следующим образом:

1. Net-Worm.Win32.Kido.ir
2. Virus.Win32.Sality.aa
3. Net-Worm.Win32.Kido.ih
4. Net-Worm.Win32.Kido.iq
5. Worm.Win32.FlyStudio.cu
6. Trojan-Downloader.Win32.VB.eql
7. New Exploit.JS.Aurora.a
8. Worm.Win32.AutoIt.tc
9. Virus.Win32.Virut.ce
10. Packed.Win32.Krap.l
11. Trojan-Downloader.WMA.GetCodec.s
12. Virus.Win32.Induc.a
13. New not-a-virus: AdWare.Win32.RK.aw
14. not-a-virus: AdWare.Win32.Boran.z
15. Worm.Win32.Mabezat.b
16. New Trojan.JS.Agent.bau
17. Packed.Win32.Black.a
18. Trojan-Dropper.Win32.Flystud.yo
19. Return Worm.Win32.AutoRun.dui
20. New not-a-virus: AdWare.Win32.FunWeb.q

AdWare.Win32.RK.aw (13-е место) – приложение Relevant Knowledge, которое распространяется и устанавливается вместе с различным ПО. В пользовательском соглашении указано, что эта программа автоматически собирает личную пользовательскую информацию, отслеживая практически любую активность пользователя, особенно в Интернете, и сохраняет ее на своих серверах. Сказано также, что все собранные данные используются исключительно для благих целей («помогают сформировать будущее Интернета»), а также тщательно защищаются.

Последнее же место рейтинга занял FunWeb.q – яркий пример распространенных рекламных программ. Это панель для популярных браузеров, которая обеспечивает пользователю быстрый доступ к определенным веб-сайтам (обычно с медиаконтентом). Для отображения рекламы она также видоизменяет страницы, которые посещает пользователь.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 10 за 2010 год в рубрике безопасность

©1997-2024 Компьютерная газета