Информбезопасность: угрозы конца года
Близится конец года. Конечно, итоги подводить еще рано, но кое-какие наблюдения сделать уже стоит. Например, что нынешний год стал явно переломным в плане информбезопасности мобильных устройств. Ее, этой безопасности, фактически уже нет, и дальше ситуация будет становиться только хуже. Другая тенденция – появление хакерских инструментов, совмещающих два подхода – программные инструменты и приемы социальной инженерии. Ну и, наконец, проблема социальных сетей. Только в этом году окончательно стало понятно, какую угрозу информбезопасности они представляют.
ESET назвала самые распространенные интернет-угрозы октября
Специалисты вирусной лаборатории ESET назвали самые распространенные интернет-угрозы, выявленные с помощью технологии раннего обнаружения ThreatSense.Net в октябре нынешнего года.
Лидеры предыдущего месяца остались на своих позициях, небольшие изменения претерпело лишь процентное соотношение. Открыло рейтинг семейство угроз INF/Autorun, заражающее компьютеры через сменные носители – 4,89% распространения. Данная угроза больше всего атаковала ЮАР – 10,69% проникновения в регионе, Египет – 8,69%, Израиль – 5,88%, Грецию – 5,12%.
ПО Win32/Conficker по-прежнему осталось на второй позиции с долей проникновения в 4,32%. Наиболее подвержены заражению этим червем были Румыния и Дания. Замкнул тройку лидеров класс злонамеренных программ Win32/PSW.OnLineGames (2,62%), использующийся хакерами для кражи аккаунтов игроков многопользовательских игр.
Впервые в список попал червь Win32/Bflient.K, оказавшийся на восьмом месте с показателем 1,08%. Данная угроза распространяется через съемные носители и устанавливает в систему программу backdoor, которая позволяет получить удаленный доступ к зараженной системе. Bflient собирает данные о параметрах ПК, cookie-файлах и может передавать информацию на удаленный компьютер преступников. Червь также имеет возможность инсталляции других вредоносных программ на зараженный компьютер. Широкое распространение Win32/Bflient.K получил в том числе и в России. В августе данное вредоносное ПО не попало даже в сотню распространенных угроз, а вот в сентябре занимало 21-ю позицию с показателем в 0,6%.
Российская ситуация в октябре также не отличилась значительными изменениями. Лидерами остались INF/Autorun – 4,89%, Win32/Spy.Ursnif.A – 3,89%, и Win32/Conficker.AA – 2,19%. Вернулась в рейтинг и по-прежнему активна угроза Win32/Hoax.ArchSMS (0,67%), связанная с мошенничеством при распространении популярных программ и вымогательством отправки платных SMS. Новичком среди самых распространенных вредоносных ПО стала J2ME/Jimm.A (0,63%) – программа распространяется под видом популярного IM-клиента, а в процессе своей установки отправляет платные SMS. «В этом месяце большой процент проникновения показал червь Win32/Bflient.K, – отметил Александр Матросов, руководитель Центра вирусных исследований и аналитики ESET. – Свою активность данная вредоносная программа начала в конце лета этого года и благодаря возможности распространения через съемные носители достаточно быстро вышла на высокий уровень заражений. Данный инцидент отчетливо показывает, что съемные носители по-прежнему остаются одним из самых главных способов для достижения быстрого распространения злонамеренного ПО».
Угрозы: китайский вирус превращает мобильные телефоны в «зомби»
По сообщению China Central Television (CCTV), более миллиона китайских телефонов поражены вирусом наподобие компьютерного, распространяющимся через текстовые сообщения, побуждающие пользователей скачивать зараженные файлы. Один из жителей провинции Хенань в своем интервью CCTV сообщил, что мобильный оператор включил ему в счет оплату за СМС, которые он не отправлял.
«Судя по оплате, в полночь я отсылал СМС друзьям и другим пользователям, которые мне даже неизвестны, – сообщил мужчина. – Как я мог отправить столько сообщений в столь поздний час?». Другая жительница Пекина поделилась той же проблемой: в полночь она получала СМС якобы от друзей, где ей предлагали скачать разные игры.
Китайцы уже окрестили подобные пораженные устройства «зомбифонами», так как они отсылают вирусы на случайные номера, тем самым превращая другие телефоны в «зомби».
Спам в октябре
«Лаборатория Касперского» представила отчет по спам-активности в октябре нынешнего года. По сравнению с сентябрем средняя доля спама в почтовом трафике уменьшилась на 3,7% и составила 77,4%. Самый низкий показатель месяца был отмечен 28 октября – 70,1%; больше всего спама было получено пользователями 24 числа – 88,2 %.
В рейтинге стран-распространителей спама произошли серьезные изменения: если в сентябре США оказались на втором месте, уступив первенство Индии, то теперь лидером внезапно стала Россия (11,3%). При этом США даже не вошли в первую десятку, заняв лишь 18-ю строчку (1,6%). Также на вершине рейтинга оказались Индия (8,5%), Украина (5,6%), Великобритания (4,7%) и Бразилия (4,5%).
В списке наиболее популярных у спамеров тематик на первое место вновь попала реклама медицинских препаратов и услуг (23,8%). На втором месте осталась тема «Образование» (18,9%), а предложения с репликами элитных товаров оказались на третьей строчке (13,8%). Закрывает пятерку реклама спамерских услуг (7,2%) и азартных игр (4,2%). Также в октябре наблюдалось множество рассылок, эксплуатировавших тему Хэллоуина.
Среди наиболее часто атакуемых фишерами организаций вновь лидирует PayPal – на эту платежную систему приходится почти две трети всех атак (61,3%). Кроме того, киберпреступники проявили повышенный интерес к социальной сети Facebook (8,4%), которая потеснила со второго места аукцион eBay (4,5%). Также в пятерку наиболее атакуемых сайтов вошли порталы банка HSBC (4,3%) и компании Blizzard Entertainment, производителя онлайн- игры World of Warcraft (3,5%).
Из характерных особенностей месяца стоит упомянуть активное вмешательство в работу зомби-сетей и партнерских программ со стороны правоохранительных органов. После закрытия партнерской программы для спамеров SpamIt, занимавшейся рассылкой фармацевтической рекламы, рассылки с рекламой онлайн-казино и порносайтов вновь отвоевали себе место под солнцем. Это не очень хорошая новость, ведь на сайтах с эротическим содержанием часто скрываются вредоносные программы, которые незаметно загружаются на компьютер пользователя, пока тот занят разглядыванием пикантных картинок и роликов.
Хакеры атакуют поставщиков критических инфраструктур
Корпорация Symantec опубликовала результаты исследования защиты критической инфраструктуры, охватившего 1580 компаний из 15 стран, принадлежащих к шести отраслям, оперирующих объектами критической инфраструктуры. Данные исследования свидетельствуют о том, что 53% поставщиков критической инфраструктуры считают: их сети подвергались кибератакам по политическим мотивам.
Участники исследования заявили, что подвергались таким атакам, в среднем, десять раз на протяжении последних пяти лет, и что средний размер ущерба, нанесенного такими атаками для каждой из компаний за указанный период, составил $850.000. Ответы участников исследования, которые представляют компании энергетической отрасли, свидетельствуют о том, что эти компании лучше других подготовлены к кибератакам, в то время как ответы представителей отрасли телекоммуникаций свидетельствуют о наихудшей готовности их компаний к таким атакам. Компании, обеспечивающие безопасность критических инфраструктур, опрашиваемые в ходе исследования, подбирались из отраслей, которые имеют такое значения для национальной экономики или для общества, что в случае успешных атак и повреждения их компьютерных сетей возникнет угроза национальной безопасности. «Защита критической инфраструктуры – это не только проблема правительства. В странах, где большинство критических инфраструктурных объектов находятся в собственности частных компаний, такими собственниками выступают не только большие корпорации, но также и малые и средние предприятия, – отметил Николай Починок, директор отдела технических решений Symantec в России и СНГ. – Одних средств безопасности недостаточно для противодействия современным кибератакам на критическую инфраструктуру предприятий, независимо от размера этих предприятий. Stuxnet – червь, действие которого направлено на энергетические компании по всему миру, – представляет собой совершенно новый тип угроз для сетей. Для противодействия таким угрозам необходимо внедрять комплексные решения по защите сетей, которые включают в себя средства обеспечения безопасности, решения для хранения и резервного копирования данных, а также процесс идентификации пользователей и системы контроля доступа к сети».
Критические инфраструктуры компаний являются объектами атак. 53% компаний подозревают, что были объектами атак, преследующих конкретные политические цели. В среднем, компании, которые подвергались атакам, были атакованы 10 раз за последние пять лет. 48% компаний ожидает, что станут объектами атак в течение ближайшего года, тогда как 80% компаний считают, что частота таких атак увеличивается.
Бизнес хочет сотрудничать с правительствами в вопросах защиты критической инфраструктуры. Почти все компании (90%) подтвердили свое сотрудничество с правительством по программам CIP, а 56% компаний сотрудничают «полностью», или «в значительной мере». Две трети респондентов позитивно оценивают такие программы и готовы «полностью» или «в значительной мере» сотрудничать с их правительствами в рамках программ защиты критической инфраструктуры.
Лишь треть компаний, владеющих критической инфраструктурой, считают себя полностью готовыми к любому типу атак, а 31% респондентов считают свои компании практически неготовыми. К мерам безопасности, требующим усовершенствования больше всего, респонденты отнесли тренинги по безопасности, повышение осведомленности об угрозах и их понимание со стороны высшего менеджмента, меры по обеспечению «безопасности конечных точек» (Endpoint Protection), принятие алгоритма действий на случай возникновения угроз безопасности, а также проведение аудита мер безопасности. В довершение ко всему маленькие компании оказались наименее готовыми к кибератакам.
Угрозы: руткит TDL уже инфицирует и 64-битную версию Windows 7
Вредоносное программное обеспечение, которое в течение нескольких лет было одной из наиболее существенных угроз для пользователей 32-битных версий ОС Windows, способно теперь поражать и 64-битные выпуски – в том числе и Windows 7 64-bit, которую можно назвать самой защищенной системой в каталоге Microsoft.
Корпорация ввела в свои операционные системы несколько дополнительных контуров защиты, которые нацелены именно на противодействие руткит- технологиям. Тем не менее, согласно результатам исследований, проведенных компанией GFI Software, последняя версия установщика TDL4 умеет обходить политику проверки подписей драйверов, защищающую нулевое кольцо от недоверенного кода. Напомним, что эта политика разрешает установку драйверов только в том случае, если у них имеется цифровая подпись, выданная надежным источником.
Сообщается, что обход системы защиты достигается за счет модифицирования загрузочного сектора жесткого диска, так что перед запуском операционной системы исполняется вредоносный код. Руткит изменяет значение параметра конфигурации LoadIntegrityCheckPolicy, отвечающего за уровень строгости проверки подписей; в результате этих действий устанавливается самый низкий уровень верификации, что позволяет успешно загрузить неподписанный файл руткита.
TDL способен обходить и другой контур защиты – систему PatchGuard, которая призвана не допускать вредоносных модификаций ядра операционной системы. Для этого он использует тот же самый прием – изменение MBR и получение доступа к процедурам автозапуска операционной системы. Специалисты Prevx уверены, что в актуальной вирусной среде нет более технически совершенного руткита, нежели TDL. У него есть функционал удаленного управления, позволяющий загружать, устанавливать и обновлять другое вредоносное ПО (например, кейлоггеры); после внедрения в систему он успешно скрывается от большинства антивирусных программ и пакетов; используя низкоуровневые инструкции, он выводит из строя различные отладчики, усложняя тем самым исследовательскую работу антивирусных специалистов.
Ботнеты пересылают деньги на 4 российских мобильника
Одна из самых известных компьютерных зомби-сетей Koobface приносит своим владельцам по $2 млн в год. Аналитики Information Warfare Monitor впервые раскрыли структуру бизнеса ботнетов: через платежные системы деньги пострадавших интернет-пользователей переводятся на четыре российских мобильника.
Технический аналитик канадской исследовательской компании Information Warfare Monitor Нарт Вильнев представил исследование, в котором раскрыл структуру бизнеса ботнетов. Чтобы проследить проводки, он использовал ошибки, допущенные самими хакерами, утверждает аналитик.
Червь Koobface (анаграмма Facebook) распространяется через аккаунты социальных сетей Blogspot, Facebook, MySpace, Google, Twitter и через сервисы сокращения ссылок типа bit.ly. Хакеры рассылали ссылки якобы от друзей пользователя с предложением посмотреть видео или послушать клип. По ссылке пользователь попадал на зараженную страницу и запускал файл, который давал хакерам контроль над компьютером. В качестве примера Вильнев приводит подложную страницу YouTube, на которой просят загрузить недостающий кодек или обновить версию плеера Adobe Flash. Так хакеры собирают номера банковских карт, пароли, личные данные.
Другой вариант заражения предусматривает перехват поисковых запросов пользователей и передачу этой информации в сеть Koobface. В этом случае пользователю отправляются подложные результаты поиска, и он переходит по ссылке на зараженную страницу. Хакеры используют технологии, которые пытаются с ними бороться: они мониторят свои ссылки с помощью Google Safe Browsing API и проверяют, не были ли они отмечены как вирусные в bit.ly или Facebook.
Исследователи жалуются, что часто хакеров покрывают хостинговые компании, которые предоставляют им серверы и отказываются раскрывать данные о своих клиентах. Одним из дружественных хакерам хостеров назван MiraxNetworks. Как установили исследователи, основное количество серверов группы расположено в США.
Хакеры используют стандартные способы монетизации ботнетов: плата за клики на рекламные баннеры, плата за установку программного обеспечения. После того как червь заразил компьютер, он генерирует клики на рекламу, хотя пользователь на нее не нажимал.
Мошенникам из Koobface удалось заработать в период с июня 2009 года по июнь 2010 года более $2 млн. Исследователям удалось найти файл с ежедневными отчетами о доходах хакеров. Дневные доходы за последние семь лет отсылаются на четыре российских номера мобильных телефонов. Средний дневной доход составляет $5857. Самая большая дневная сумма – $19.928 – была получена 23 марта 2010 года.
Денис Лавникевич
ESET назвала самые распространенные интернет-угрозы октября
Специалисты вирусной лаборатории ESET назвали самые распространенные интернет-угрозы, выявленные с помощью технологии раннего обнаружения ThreatSense.Net в октябре нынешнего года.
Лидеры предыдущего месяца остались на своих позициях, небольшие изменения претерпело лишь процентное соотношение. Открыло рейтинг семейство угроз INF/Autorun, заражающее компьютеры через сменные носители – 4,89% распространения. Данная угроза больше всего атаковала ЮАР – 10,69% проникновения в регионе, Египет – 8,69%, Израиль – 5,88%, Грецию – 5,12%.
ПО Win32/Conficker по-прежнему осталось на второй позиции с долей проникновения в 4,32%. Наиболее подвержены заражению этим червем были Румыния и Дания. Замкнул тройку лидеров класс злонамеренных программ Win32/PSW.OnLineGames (2,62%), использующийся хакерами для кражи аккаунтов игроков многопользовательских игр.
Впервые в список попал червь Win32/Bflient.K, оказавшийся на восьмом месте с показателем 1,08%. Данная угроза распространяется через съемные носители и устанавливает в систему программу backdoor, которая позволяет получить удаленный доступ к зараженной системе. Bflient собирает данные о параметрах ПК, cookie-файлах и может передавать информацию на удаленный компьютер преступников. Червь также имеет возможность инсталляции других вредоносных программ на зараженный компьютер. Широкое распространение Win32/Bflient.K получил в том числе и в России. В августе данное вредоносное ПО не попало даже в сотню распространенных угроз, а вот в сентябре занимало 21-ю позицию с показателем в 0,6%.
Российская ситуация в октябре также не отличилась значительными изменениями. Лидерами остались INF/Autorun – 4,89%, Win32/Spy.Ursnif.A – 3,89%, и Win32/Conficker.AA – 2,19%. Вернулась в рейтинг и по-прежнему активна угроза Win32/Hoax.ArchSMS (0,67%), связанная с мошенничеством при распространении популярных программ и вымогательством отправки платных SMS. Новичком среди самых распространенных вредоносных ПО стала J2ME/Jimm.A (0,63%) – программа распространяется под видом популярного IM-клиента, а в процессе своей установки отправляет платные SMS. «В этом месяце большой процент проникновения показал червь Win32/Bflient.K, – отметил Александр Матросов, руководитель Центра вирусных исследований и аналитики ESET. – Свою активность данная вредоносная программа начала в конце лета этого года и благодаря возможности распространения через съемные носители достаточно быстро вышла на высокий уровень заражений. Данный инцидент отчетливо показывает, что съемные носители по-прежнему остаются одним из самых главных способов для достижения быстрого распространения злонамеренного ПО».
Угрозы: китайский вирус превращает мобильные телефоны в «зомби»
По сообщению China Central Television (CCTV), более миллиона китайских телефонов поражены вирусом наподобие компьютерного, распространяющимся через текстовые сообщения, побуждающие пользователей скачивать зараженные файлы. Один из жителей провинции Хенань в своем интервью CCTV сообщил, что мобильный оператор включил ему в счет оплату за СМС, которые он не отправлял.
«Судя по оплате, в полночь я отсылал СМС друзьям и другим пользователям, которые мне даже неизвестны, – сообщил мужчина. – Как я мог отправить столько сообщений в столь поздний час?». Другая жительница Пекина поделилась той же проблемой: в полночь она получала СМС якобы от друзей, где ей предлагали скачать разные игры.
Китайцы уже окрестили подобные пораженные устройства «зомбифонами», так как они отсылают вирусы на случайные номера, тем самым превращая другие телефоны в «зомби».
Спам в октябре
«Лаборатория Касперского» представила отчет по спам-активности в октябре нынешнего года. По сравнению с сентябрем средняя доля спама в почтовом трафике уменьшилась на 3,7% и составила 77,4%. Самый низкий показатель месяца был отмечен 28 октября – 70,1%; больше всего спама было получено пользователями 24 числа – 88,2 %.
В рейтинге стран-распространителей спама произошли серьезные изменения: если в сентябре США оказались на втором месте, уступив первенство Индии, то теперь лидером внезапно стала Россия (11,3%). При этом США даже не вошли в первую десятку, заняв лишь 18-ю строчку (1,6%). Также на вершине рейтинга оказались Индия (8,5%), Украина (5,6%), Великобритания (4,7%) и Бразилия (4,5%).
В списке наиболее популярных у спамеров тематик на первое место вновь попала реклама медицинских препаратов и услуг (23,8%). На втором месте осталась тема «Образование» (18,9%), а предложения с репликами элитных товаров оказались на третьей строчке (13,8%). Закрывает пятерку реклама спамерских услуг (7,2%) и азартных игр (4,2%). Также в октябре наблюдалось множество рассылок, эксплуатировавших тему Хэллоуина.
Среди наиболее часто атакуемых фишерами организаций вновь лидирует PayPal – на эту платежную систему приходится почти две трети всех атак (61,3%). Кроме того, киберпреступники проявили повышенный интерес к социальной сети Facebook (8,4%), которая потеснила со второго места аукцион eBay (4,5%). Также в пятерку наиболее атакуемых сайтов вошли порталы банка HSBC (4,3%) и компании Blizzard Entertainment, производителя онлайн- игры World of Warcraft (3,5%).
Из характерных особенностей месяца стоит упомянуть активное вмешательство в работу зомби-сетей и партнерских программ со стороны правоохранительных органов. После закрытия партнерской программы для спамеров SpamIt, занимавшейся рассылкой фармацевтической рекламы, рассылки с рекламой онлайн-казино и порносайтов вновь отвоевали себе место под солнцем. Это не очень хорошая новость, ведь на сайтах с эротическим содержанием часто скрываются вредоносные программы, которые незаметно загружаются на компьютер пользователя, пока тот занят разглядыванием пикантных картинок и роликов.
Хакеры атакуют поставщиков критических инфраструктур
Корпорация Symantec опубликовала результаты исследования защиты критической инфраструктуры, охватившего 1580 компаний из 15 стран, принадлежащих к шести отраслям, оперирующих объектами критической инфраструктуры. Данные исследования свидетельствуют о том, что 53% поставщиков критической инфраструктуры считают: их сети подвергались кибератакам по политическим мотивам.
Участники исследования заявили, что подвергались таким атакам, в среднем, десять раз на протяжении последних пяти лет, и что средний размер ущерба, нанесенного такими атаками для каждой из компаний за указанный период, составил $850.000. Ответы участников исследования, которые представляют компании энергетической отрасли, свидетельствуют о том, что эти компании лучше других подготовлены к кибератакам, в то время как ответы представителей отрасли телекоммуникаций свидетельствуют о наихудшей готовности их компаний к таким атакам. Компании, обеспечивающие безопасность критических инфраструктур, опрашиваемые в ходе исследования, подбирались из отраслей, которые имеют такое значения для национальной экономики или для общества, что в случае успешных атак и повреждения их компьютерных сетей возникнет угроза национальной безопасности. «Защита критической инфраструктуры – это не только проблема правительства. В странах, где большинство критических инфраструктурных объектов находятся в собственности частных компаний, такими собственниками выступают не только большие корпорации, но также и малые и средние предприятия, – отметил Николай Починок, директор отдела технических решений Symantec в России и СНГ. – Одних средств безопасности недостаточно для противодействия современным кибератакам на критическую инфраструктуру предприятий, независимо от размера этих предприятий. Stuxnet – червь, действие которого направлено на энергетические компании по всему миру, – представляет собой совершенно новый тип угроз для сетей. Для противодействия таким угрозам необходимо внедрять комплексные решения по защите сетей, которые включают в себя средства обеспечения безопасности, решения для хранения и резервного копирования данных, а также процесс идентификации пользователей и системы контроля доступа к сети».
Критические инфраструктуры компаний являются объектами атак. 53% компаний подозревают, что были объектами атак, преследующих конкретные политические цели. В среднем, компании, которые подвергались атакам, были атакованы 10 раз за последние пять лет. 48% компаний ожидает, что станут объектами атак в течение ближайшего года, тогда как 80% компаний считают, что частота таких атак увеличивается.
Бизнес хочет сотрудничать с правительствами в вопросах защиты критической инфраструктуры. Почти все компании (90%) подтвердили свое сотрудничество с правительством по программам CIP, а 56% компаний сотрудничают «полностью», или «в значительной мере». Две трети респондентов позитивно оценивают такие программы и готовы «полностью» или «в значительной мере» сотрудничать с их правительствами в рамках программ защиты критической инфраструктуры.
Лишь треть компаний, владеющих критической инфраструктурой, считают себя полностью готовыми к любому типу атак, а 31% респондентов считают свои компании практически неготовыми. К мерам безопасности, требующим усовершенствования больше всего, респонденты отнесли тренинги по безопасности, повышение осведомленности об угрозах и их понимание со стороны высшего менеджмента, меры по обеспечению «безопасности конечных точек» (Endpoint Protection), принятие алгоритма действий на случай возникновения угроз безопасности, а также проведение аудита мер безопасности. В довершение ко всему маленькие компании оказались наименее готовыми к кибератакам.
Угрозы: руткит TDL уже инфицирует и 64-битную версию Windows 7
Вредоносное программное обеспечение, которое в течение нескольких лет было одной из наиболее существенных угроз для пользователей 32-битных версий ОС Windows, способно теперь поражать и 64-битные выпуски – в том числе и Windows 7 64-bit, которую можно назвать самой защищенной системой в каталоге Microsoft.
Корпорация ввела в свои операционные системы несколько дополнительных контуров защиты, которые нацелены именно на противодействие руткит- технологиям. Тем не менее, согласно результатам исследований, проведенных компанией GFI Software, последняя версия установщика TDL4 умеет обходить политику проверки подписей драйверов, защищающую нулевое кольцо от недоверенного кода. Напомним, что эта политика разрешает установку драйверов только в том случае, если у них имеется цифровая подпись, выданная надежным источником.
Сообщается, что обход системы защиты достигается за счет модифицирования загрузочного сектора жесткого диска, так что перед запуском операционной системы исполняется вредоносный код. Руткит изменяет значение параметра конфигурации LoadIntegrityCheckPolicy, отвечающего за уровень строгости проверки подписей; в результате этих действий устанавливается самый низкий уровень верификации, что позволяет успешно загрузить неподписанный файл руткита.
TDL способен обходить и другой контур защиты – систему PatchGuard, которая призвана не допускать вредоносных модификаций ядра операционной системы. Для этого он использует тот же самый прием – изменение MBR и получение доступа к процедурам автозапуска операционной системы. Специалисты Prevx уверены, что в актуальной вирусной среде нет более технически совершенного руткита, нежели TDL. У него есть функционал удаленного управления, позволяющий загружать, устанавливать и обновлять другое вредоносное ПО (например, кейлоггеры); после внедрения в систему он успешно скрывается от большинства антивирусных программ и пакетов; используя низкоуровневые инструкции, он выводит из строя различные отладчики, усложняя тем самым исследовательскую работу антивирусных специалистов.
Ботнеты пересылают деньги на 4 российских мобильника
Одна из самых известных компьютерных зомби-сетей Koobface приносит своим владельцам по $2 млн в год. Аналитики Information Warfare Monitor впервые раскрыли структуру бизнеса ботнетов: через платежные системы деньги пострадавших интернет-пользователей переводятся на четыре российских мобильника.
Технический аналитик канадской исследовательской компании Information Warfare Monitor Нарт Вильнев представил исследование, в котором раскрыл структуру бизнеса ботнетов. Чтобы проследить проводки, он использовал ошибки, допущенные самими хакерами, утверждает аналитик.
Червь Koobface (анаграмма Facebook) распространяется через аккаунты социальных сетей Blogspot, Facebook, MySpace, Google, Twitter и через сервисы сокращения ссылок типа bit.ly. Хакеры рассылали ссылки якобы от друзей пользователя с предложением посмотреть видео или послушать клип. По ссылке пользователь попадал на зараженную страницу и запускал файл, который давал хакерам контроль над компьютером. В качестве примера Вильнев приводит подложную страницу YouTube, на которой просят загрузить недостающий кодек или обновить версию плеера Adobe Flash. Так хакеры собирают номера банковских карт, пароли, личные данные.
Другой вариант заражения предусматривает перехват поисковых запросов пользователей и передачу этой информации в сеть Koobface. В этом случае пользователю отправляются подложные результаты поиска, и он переходит по ссылке на зараженную страницу. Хакеры используют технологии, которые пытаются с ними бороться: они мониторят свои ссылки с помощью Google Safe Browsing API и проверяют, не были ли они отмечены как вирусные в bit.ly или Facebook.
Исследователи жалуются, что часто хакеров покрывают хостинговые компании, которые предоставляют им серверы и отказываются раскрывать данные о своих клиентах. Одним из дружественных хакерам хостеров назван MiraxNetworks. Как установили исследователи, основное количество серверов группы расположено в США.
Хакеры используют стандартные способы монетизации ботнетов: плата за клики на рекламные баннеры, плата за установку программного обеспечения. После того как червь заразил компьютер, он генерирует клики на рекламу, хотя пользователь на нее не нажимал.
Мошенникам из Koobface удалось заработать в период с июня 2009 года по июнь 2010 года более $2 млн. Исследователям удалось найти файл с ежедневными отчетами о доходах хакеров. Дневные доходы за последние семь лет отсылаются на четыре российских номера мобильных телефонов. Средний дневной доход составляет $5857. Самая большая дневная сумма – $19.928 – была получена 23 марта 2010 года.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 44 за 2010 год в рубрике безопасность
