Информбезопасность: хакеры берут тотальным охватом

Количество разнообразных уязвимостей, представителей вредоносного ПО и успешных хакерских атак непрерывно растет с самого начала нынешнего года. Причем без затишья в жаркий летний сезон. Но специалисты по информбезопасности уверены – все это только прелюдия. Пока преступники только отрабатывают новые технологии и методики атак. А настоящей лавины кибератак следует ждать в предстоящий осенне-зимний сезон – то есть тогда, когда резко активизируется деловая активность.

Тенденции: зло из соцсетей

«Лаборатория Касперского» представила спам-отчет по итогам II квартала 2010 года. По данным отчета, одним из наиболее заметных событий в прошедшем квартале стала беспрецедентная массированная спам-атака с использованием html-зловредов в форме письма-уведомления от социальной сети. Почтовые сообщения, использованные в ходе атаки, были подделаны, в основном, под уведомления сервисов Facebook, Twitter, Digg, Amazon, Windows live, Youtube, Skype и Wikipedia. Больше всего такие письма напоминали фишинг. Однако, пройдя по ссылке, пользователь попадал на взломанный сайт, с которого на компьютер загружался вредоносный скрипт.

Чаще всего в качестве такой ссылки использовался троянец Trojan-Downloader.JS.Pegel.g, занявший первое место в рейтинге вредоносных программ в нежелательной почте. Троянцы данного типа представляют собой html-страницы, содержащие скрытый сценарий, написанный на языке Javascript. Они перенаправляют пользователя на страницу злоумышленников, которая может иметь как рекламный контент, так и вредоносный код, который будет загружен на компьютер пользователя. Похожим образом ведут себя и троянцы семейства Redirector.

Всего в рейтинге второго квартала присутствуют три таких трояна-даунлоадера. Ранее ни один из них не входил в Tоп-10 почтовых зловредов. Такое изменение отчетливо свидетельствует о спланированной спам-атаке.

В списке стран-распространителей спама с большим отрывом традиционно лидируют США (15%), на втором месте по-прежнему Индия (8,5%). Поднялся на две позиции и вышел на третье место Вьетнам. В целом, в течение квартала складывалась неоднозначная ситуация. В апреле США, Индия и Вьетнам практически сравнялись в долях рассылаемого спама (12,3%, 11,7% и 11,6% соответственно), но уже в мае позиции США восстановились: из этой страны было разослано 20,8% всего спама. Неожиданно в Tоп-10 вошли Италия (3,3%) и Испания (2,8%), которые в прошлом квартале занимали лишь 14-е и 15-е места в рейтинге стран – источников спама. Кроме того, росло количество мусорной почты из Латинской Америки, оттуда было разослано 16,3% всех спамовых писем.

Как и прогнозировала «Лаборатория Касперского», сфера общения и развлечений пользуется у фишеров возрастающей популярностью. В рейтинге фишинг- атак среди лидеров, помимо PayPal, eBay и HSBC, можно снова видеть социальную сеть Facebook (6,03%) и почтовую систему Google (2,84%).

Вредоносное ПО: охота за корпоративными секретами

Антивирусная компания Eset предупредила о распространении червя Win32/Stuxnet. Червь используется для атак на ПО класса SCADA, системы управления и контроля, используемые в промышленности. По данным Вирусной лаборатории Eset, Win32/Stuxnet был обнаружен неделю назад. На сегодняшний день наибольшее распространение угроза получила в США и Иране, на которые пришлось 58% и 30% инфицированных ПК в мире соответственно. Третьей по уровню проникновения страной стала Россия, на долю которой приходится около 4% зараженных ПК.

Юрай Малхо, глава Вирусной лаборатории Eset в Братиславе, отмечает: «Обнаруженный нами червь представляет собой пример атаки, использующей уязвимость «нулевого дня». Поскольку в данном случае действия злоумышленников направлены на системы класса SCADA, то, по сути, мы имеем дело с использованием вредоносного ПО для промышленного шпионажа».

Win32/Stuxnet представляет большую угрозу для промышленных предприятий. При запуске этой вредоносной программы используется ранее неизвестная уязвимость в обработке файлов с расширением LNK, содержащихся на USB-накопителе. Выполнение вредоносного кода происходит благодаря наличию уязвимости в Windows Shell, связанной с отображением специально подготовленных LNK-файлов. Новый способ распространения может повлечь появление других злонамеренных программ, использующих такую технологию заражения, поскольку на данный момент уязвимость остается открытой.

«Злоумышленники постарались разработать свою программу таким образом, чтобы она привлекала к себе как можно меньше внимания. Способ заражения Win32/Stuxnet тоже уникален, так как ПО использует неизвестную ранее уязвимость. А возможность проникновения вируса на ПК через USB-накопители позволяет в короткие сроки получить большую распространенность», – комментирует Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства Eset.

Win32/Stuxnet также может обходить технологию HIPS (Host Intrusion Prevention System), которая защищает от попыток внешнего воздействия на систему. Это стало возможным благодаря наличию во вредоносной программе файлов, имеющих легальные цифровые подписи. Скорее всего, создание Win32/Stuxnet имеет целевую направленность, так как общеизвестных способов монетизации при анализе данного вредоносного ПО выявлено не было. Что касается географии распространения червя, высокое проникновение угрозы именно в США, возможно, связано с целевой атакой, задачей которой является промышленный шпионаж.

Компания G Data опубликовала свой анализ активности вредоносного ПО. Согласно этой информации, за последние шесть месяцев доля шпионского ПО (т.н. Spyware) в общем количестве вредоносных программ увеличилась на 50%.

Вся эта масса программ-шпионов используется для хищения данных, свидетельствуют в G Data. Объекты интереса злоумышленников – данные кредитных карт, системы онлайн-банкинга, прочие аккаунты и пароли, которые можно использовать в криминальных целях либо продать на черном рынке. Также по данным G Data 99,4% всех шпионских программ нацелены на использование в ОС Windows.

Представители G Data в своем отчете не забыли упомянуть и о том, что за минувшие полгода общий доход, который киберзлоумышленники получают от вредоносного ПО, также увеличился на 50%. В большинстве случаев spyware-программы используют преступные сети мошенников. В последние годы кражи конфиденциальных данных – один из ключевых источников дохода для теневой экономики.

Уязвимости: снова проблемы с ICQ

Администрация ICQ внесла изменения в правила системы восстановления паролей к номеру ICQ (UIN), сделав возможным восстановление пароля через прикрепленную почту и отменив при этом секретный вопрос. После этого в Рунете сразу же появились сообщения о массовом угоне элитных UIN. Благодаря нововведениям некоторое время можно было отсылать сообщения с восстановлением на любой электронный адрес, в том числе не только на тот, с которого была осуществлена регистрация. Хотя в настоящее время система восстановления через секретное слово работает, жертвами стало большое количество владельцев «коротких» (пяти- и шестизначных) номеров. Хотя в Сети можно также встретить сообщения, что некоторым удалось, наоборот, вернуть свои старые UIN, украденные ранее.

Директор департамента аудита компании «Информзащита» Максим Эмм рассказал, что основные способы кражи номеров – восстановление через первичный адрес почты, который может быть украден у пользователя или просто свободен, если он был на бесплатном почтовом сервере. Подбор простых паролей осуществляется путем перебора по словарю с использованием специальных программ. Также злоумышленник может заразить ПК пользователя троянской программой и получить сохраненный на компьютере пароль.

Таким образом, можно говорить, что администраторы ICQ сделали хакерам просто царский подарок. Вопрос, можно ли было предусмотреть такое развитие ситуации, остается открытым.

Аккаунты воруют часто: недавно на продажу были выставлены данные 1,5 млн пользователей социальной сети Facebook. В основном эти факты остаются неопубликованными, потому что базы редко продают на открытом рынке. Для корпоративных клиентов угрозы связны, в первую очередь, с утечкой конфиденциальной информации: через мессенджеры легко передавать файлы и любую другую информацию, а также получать зараженные файлы и ссылки на инфицированные web-ресурсы. Во вторую очередь потери компаний связаны с нецелевым использованием рабочего времени сотрудниками.

Ситуация для ICQ конечно неприятная, но вряд ли окажется критической. Тем более что ошибки, приводящие к потерям баз данных аккаунтов, случаются и у других мессенджеров.

Борьба с пиратством: США закрывают блоги, а «Вконтакте» засудили

По приказу американских властей хостинговой компанией BurstNet была закрыта достаточно популярная блог-платформа Blogetery.com, на которой размещалось более 73 тыс. онлайн-дневников. Ее закрытие стало очередным шагом властей в рамках стратегии по борьбе с распространением нелицензионного контента в Сети. Согласно официальной информации от BurstNET Technologies, блог-платформу приказали закрыть «из-за большого количества нарушений ранее и сейчас».

Сервис Blogetery.com работал на популярном движке для блогов WordPress. По словам владельца данной платформы, у него нет запасных копий содержимого того сервера, который был закрыт хостинговой компанией, поэтому возобновить работу ресурса в ближайшее время не получится. «Мы не можем разглашать подробности, но учтите, что это был критический вопрос, и немедленное закрытие сервера было единственным возможным вариантом действий для нас. Это не типичный случай жалобы на незаконный контент. В этот раз к нам обратились сотрудники правоохранительных органов, и мы должны были сразу же отключить сервер. Мы сразу же сообщили владельцу Blogetery об отключении сервера, и вернули все деньги с его аккаунта. Однако мы не можем ни вернуть его данные, ни предоставить более подробную информацию», – заявили представители BurstNet.

Какой именно контент послужил причиной закрытия Blogetery.com, пока не ясно, однако владелец ресурса утверждает, что он своевременно реагировал на все жалобы на незаконные материалы, размещенные на его блог-платформе, удаляя их (как правило, это были ссылки на файлообменники и торрент- ресурсы) в течение 24 часов.

Аналитики предполагают, что ресурс был закрыт в рамках инициативы Operation In Our Sites, которую проводит Служба контроля за исполнением миграционного и пограничного законодательства США (U.S. Immigration and Customs Enforcement, ICE) совместно с прокурором США по южному округу Нью-Йорка.

Ранее уже сообщалось, что ICE закрыла девять пиратских сайтов, предлагавших пользователям нелегальные копии новых фильмов – это Movies-links.TV, nowmovies.com, thepiratecity.org, filespump.com, planetmoviez.com, zml.org, tvshack.net, ninjavideo.net и thisninja.net. В начале июля представители ICE пообещали, что это было только начало, за которым последуют масштабные акции по закрытию множества сайтов, распространяющих нелегальный контент.

Арбитражный апелляционный суд Санкт-Петербурга признал социальную сеть «ВКонтакте» виновной в незаконном распространении контента, принадлежащего ВГТРК. Суд наложил на соцсеть штраф в размере 1 миллиона рублей. Пресс-секретарь «ВКонтакте» сообщил, что основатель сети Павел Дуров уже объявил о намерении опротестовать решение суда. По его мнению, это решение «не совместимо с развитием российского Интернета» и не соответствует мировой практике.

Также представитель соцсети заявил, что «ВКонтакте» с готовностью принимает жалобы правообладателей и может по первому требованию удалять нелицензионный контент, загруженный пользователями. Однако, по его словам, ВГТРК не направляла «ВКонтакте» никаких жалоб, а сразу подала исковое заявление.

Судебная тяжба ВГТРК и «ВКонтакте» началась осенью 2008 года: телекомпания подала два иска, в которых обвинила социальную сеть в незаконном размещении на ее страницах художественных фильмов «Остров» и «Охота на пиранью», лицензионными правами на которые владеет ВГТРК.

В апреле 2010 года Арбитражный суд Санкт-Петербурга отклонил один из двух исков, поданных против соцсети, и признал ее невиновной в распространении художественного фильма «Охота на пиранью», который был выложен в свободном доступе некоторыми пользователями соцсети. Однако решение Апелляционного суда как суда второй инстанции является предпочтительным.

Пиратская партия Швеции станет первым в мире «пиратским» интернет-провайдером. Партнером Пиратской партии по организации доступа пользователей в Сеть станет провайдер ViaEuropa. Предполагается, что новая компания PirateISP, во главе которой находится член Пиратской партии Густав Нипе, будет предоставлять шведам анонимный доступ в Сеть. Пиратская партия также на законодательном уровне собирается запретить шведскому правительству собирать данные об интернет-пользователях и сохранять их статистику.

19 июля к пиратской сети уже подключили первых пользователей – это было сделано с целью тестового испытания оборудования. Первыми к сети подключились около 100 жителей города Лунд. В дальнейшем провайдер рассчитывает занять 5% рынка широкополосного доступа в Интернет в городе. Население Лунда составляет более 75 тысяч человек.

Пиратский провайдер в будущем планирует расширить географию своей сети и начать конкурировать с другими провайдерами в стране. По замыслу авторов инициативы, провайдерские услуги станут одним из источников финансирования Пиратской партии. При этом стоимость подписки на услугу в месяц при подключении к Сети по гигабитному каналу составит 525 крон (около $70).

В мае 2010 года Пиратская партия Швеции стала официальным хостинг-провайдером известного торрент-трекера The Pirate Bay. В июне партия выступила с инициативой разместить серверы трекера непосредственно в здании шведского парламента, чтобы наделить их неприкосновенностью.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 28 за 2010 год в рубрике безопасность

©1997-2024 Компьютерная газета