Информбезопасность: опасный канун Рождества
Ну, здравствуй, последний месяц года. Для специалистов по информбезопасности наступило самое горячее время. Ведь в предрождественском и предновогоднем хаосе, в образовавшейся «мутной воде» Интернета, поймать свою «рыбку» стараются киберзлоумышленники всех мастей. И многим это, надо сказать, удается – для них это по-настоящему золотое время. Ну а мы, наблюдая за происходящим, можем сделать выводы о том, какие киберугрозы будут для нас наиболее актуальны в следующем году.
Актуальное: страхи последнего месяца
Антивирусные эксперты и специалисты по информационной безопасности советуют всем владельцам онлайновых и офлайновых магазинов в период предстоящих предновогодних продаж подумать не только о максимизации выручки, но и о защите своих IТ-систем от хакеров.
Сейчас в США отмечается День Благодарения, с которого, по традиции, стартуют предновогодние и рождественские скидки в магазинах. На протяжении всего года интернет-мошенники активно пытались атаковать продавцов с целью хищения финансовых данных клиентов. Нет сомнений, что в период бума продаж атаки хакеров только усилятся.
Компания SonicWall, специализирующаяся на услугах в области IТ-безопасности, напоминает, что в так называемую «черную пятницу» западные магазины начали работать по «новогодним дисконтам», и западные покупатели, по традиции, начали приобретать подарки для себя, родных и близких. В понедельник 29 ноября – первый рабочий день после Дня Благодарения – пик продаж должен быть и в интернет-магазинах. Так называемый «киберпонедельник» становится своего рода отмашкой для покупателей и хакеров.
Секьюрити-эксперты в текущем году говорят, что ввиду неопределенного состояния экономики не следует ждать резкого всплеска продаж, но тем не менее очевидный подъем будет. В первую очередь специалисты советуют обратить внимание на безопасность торговых точек – банкоматов, POS- терминалов кассиров, различных терминалов оплаты и прочих систем выдачи/приема денег на предмет необычных устройств, возможно установленных скиммерами. IТ-администраторам магазинов и торговых сетей следует еще раз убедиться, что их торговые компьютерные сети не содержат троянов или бэкдоров. Владельцам интернет-магазинов не повредит убедиться, что их серверное ПО верно сконфигурировано и работает на самом последнем из стабильных версий серверного программного обеспечения.
Говоря о потребителях, специалисты повторяют и так давно известный принцип – «бдительность и еще раз бдительность». Не стоит гнаться за «слишком выгодными предложениями», кроме того, не стоит пользоваться услугами интернет-магазинов, на сайтах которых нет или почти нет никакой юридической информации о продавце. Также специалисты отмечают, что в этом году многие интернет-злоумышленники используют новый метод мошенничества – так называемый SEO-poisoning, или, проще говоря, обман поисковых систем. Такой метод предполагает использование разных трюков, чтобы быстро вывести новый мошеннический магазин в топ-лист поисковиков.
Специалисты компании CyberDefence отмечают, что сейчас даже наличие SSL-сертификата не говорит о надежности продавца. Кроме того, они предупреждают, что покупателям следует в процессе покупки следить за тем, чтобы они оставались на одном и том же сайте. То есть насторожить должен тот момент, когда выбор заказа идет по одному адресу, ввод реквизитов по второму, оплата по третьему и т. д. Это может говорить о желании продавца замести свои следы. Также следует быть бдительным, когда продавец использует на своем сайте различные маскировщики URL, такие как Bit.ly и другие.
В компании Sunbelt Labs замечают, что потребителям услуг интернет-магазинов прежде чем совершать покупку следует по возможности обновить свои систему и антивирусное ПО, чтобы свести к минимуму вероятность вторжения хакеров.
Также специалисты отмечают, что интернет – это социальная среда, поэтому совершая крупную покупку на каком-либо новом сайте, не повредит зайти на какие-либо специализированные форумы и поисковые системы, чтобы поискать отзывы других пользователей. Настораживать должны два момента: либо когда подавляющее большинство пользователей плохо отзывается о магазине, либо наоборот, когда все комментарии пользователей чересчур положительные – это говорит о заказном характере комментариев.
Тенденции: нашествие фальшивых антивирусов
Антивирусная лаборатория PandaLabs предупредила об увеличении темпов распространения поддельного антивирусного ПО. В 2010 году уже было создано 40% всех когда-либо появлявшихся программ подобного рода. Впервые фальшивые антивирусы появились четыре года назад. С тех пор всего было создано 5.651.786 уникальных поддельных антивирусов. Из них 2.285.629 образцов появились в период с января по октябрь нынешнего года.
Среди всех вредоносных образцов, которые содержатся в базе Коллективного разума, 11,6% составляют именно фальшивые антивирусы. Это ошеломляющий показатель, особенно если учитывать, что в базе Коллективного разума собраны образцы всего вредоносного ПО, выявленного за двадцатиоднолетнюю историю работы лаборатории, а фальшивые антивирусы появились всего лишь 4 года назад.
Изощренность, реалистичность и использование методов социальной инженерии – это основные условия успеха такого рода вредоносного ПО. К сожалению, все больше и больше пользователей становятся его жертвами. В 2010 году 46,8% компьютеров по всему миру были заражены тем или иным вредоносным ПО, а 5,4% из них подверглись атакам фальшивых антивирусных программ.
Каждая новая жертва поддельного антивируса позволяет хакерам зарабатывать деньги на продаже лицензий антивирусных программ, которые пользователи никогда не смогут получить, на похищении данных кредитных карт, которые могут быть проданы на черном рынке или использованы для совершения онлайн-покупок и т.д.
Согласно результатам исследования «Бизнес фальшивых антивирусов», проведенного PandaLabs, создатели такого рода вредоносных программ ежемесячно зарабатывают около $34 млн (примерно $415 млн в год).
Несмотря на то, что о существовании подобного мошеннического бизнеса стало известно в 2006 году, широкое распространение этого вредоносного кода в Сети началось только в 2008-м. Пользователи могут заразиться, загружая кодеки для плееров, переходя по ссылкам в электронной почте и т.д. Однажды инфицировав систему, эти приложения выдают себя за антивирусы, которые обнаруживают сотни угроз на ПК пользователя. Когда жертва захочет избавиться от угроз, ей будет предложено приобрести лицензию на этот продукт. Очень часто пользователи попадаются на эту уловку. Однако, купив лицензию, пользователь никогда больше не услышит о том, кто ее продал, но все еще будет иметь фальшивый антивирус на своем ПК.
Статистика: завирусованный Facebook
20% пользователей соцсети Facebook регулярно видят в своих профилях вредоносные ссылки, с помощью которых злоумышленники стараются получить доступ к их аккаунту или заразить компьютер вирусом, говорится в новом отчете BitDefender, разработчика антивирусного ПО, составленном по данным Safego, специального приложения для защиты пользователей от вредоносных ссылок.
Около 20% пользователей социальной сети Facebook видят вредоносные сообщения в списке новостей для своего аккаунта. При нажатии на такого рода ссылку аккаунт пользователя обычно оказывается взломан злоумышленниками, а вредоносные сообщения начинают рассылаться по контактам человека, чей аккаунт был захвачен.
Как отмечают аналитики, статистические данные были получены на основе анализа профилей 14 тысяч пользователей Facebook, которые установили себе это приложение. Реальный процент людей, которые подвергаются опасности захвата своего профиля при нажатии на вредоносную ссылку, на самом деле может быть еще выше.
Более 60% атак в соцсети осуществляются с помощью сообщений от вредоносных сторонних приложений, созданных на платформе Facebook для разработчиков. Наиболее популярными приложениями такого рода оказались программы, которые заявляют о том, что обеспечат пользователя каким-либо функционалом, запрещенным самим сайтом – например, разрешат просматривать списки людей, которые открывали профиль этого человека, или списки тех, кто убрал его из друзей.
Еще 15,4% атак пришлось на бонусные предметы в различных играх для Facebook, таких как FarmVille. 11,2% вредоносных ссылок в соцсети предлагали такие функции, как бесплатные картинки для оформления профиля или некоторые новые кнопки. 7,1% обещали предоставить пользователю новые версии известных и популярных игр, таких как World of Warcraft и другие.
Кроме того, злоумышленники пытались заинтересовать пользователей бесплатными мобильными телефонами и бесплатными фильмами для просмотра онлайн. Помимо атак через приложения, в 16% случаев хакеры рассылали пользователям спам с предложением увидеть шокирующий видеоролик, а 5% атак эксперты связывают с попытками распространения вирусов, таких как Koobface.
Также аналитики отмечают, что в рамках своего исследования они анализировали лишь вредоносные ссылки, открыто видимые в списке новостей в аккаунте пользователя, тогда как зачастую вредоносным кодом заражают через личные сообщения. Представители Facebook заявили, что они следят за подобными действиями злоумышленников и активно борются с ними, стараясь перекрывать наиболее опасные уязвимости.
Угрозы: Кремль обороняется от кибератак
В Кремле усилены меры информационной безопасности в связи с участившимися попытками хакеров проникнуть во внутренние сети администрации президента. Об этом пишет «Независимая газета».
Как сообщили источники издания, угроза информационной безопасности усилилась после визита Дмитрия Медведева в Китай в сентябре 2010 года. В ходе подготовки к визиту сотрудники управления делами президента в незащищенном режиме отослали китайской стороне график Медведева и, как пишет «НГ», «это обстоятельство зафиксировали китайские спецслужбы».
В последнее время на адреса сотрудников президентской администрации стало приходить большое количество спама, в частности писем, зараженных вирусами. В связи с этим в Кремле организованы специальные тренинги для чиновников, которые проводит начальник управления информационного и документационного обеспечения президента Сергей Осипов.
В числе мер по усилению безопасности чиновникам запрещено подключать к внутренней сети съемные носители информации, например, флеш-карты и внешние жесткие диски. Кроме того, обострившаяся проблема информационной безопасности ставит под вопрос присутствие чиновников в социальных сетях и блогосфере, в том числе в Twitter, который популяризировал лично президент Медведев.
Атаки: Stuxnet достиг цели
Анонимный представитель МАГАТЭ подтвердил информацию о том, что иранские ядерные объекты могли подвергнуться хакерской атаке. Попавший в систему компьютерный вирус привел к временной остановке нескольких тысяч центрифуг по обогащению урана. В запуске охотившегося на ядерные программы червя подозревают Израиль. Червь был нацелен именно на вывод из строя центрифуг по обогащению урана.
Официальная причина беспрецедентного решения пока не называется, однако известно, что некоторое время назад компьютеры на иранской АЭС в Бушере оказались заражены вирусом Stuxnet. По официальной версии, которую озвучил глава Организации по атомной энергии Ирана Али Акбар Салехи, «червь», попавший якобы лишь в несколько ПК сотрудников станции, был благополучно обезврежен.
Между тем на прошлой неделе аналитики высказали предположение о том, что вирус был специально разработан для срыва иранской ядерной программы. В качестве подтверждения этой версии приводился тот факт, что более половины случаев заражения Stuxnet в мире пришлись именно на Иран. В частности, как утверждали специалисты американской компании Symantec, червь был нацелен на вывод из строя центрифуг по обогащению урана, сбивая скорость их вращения. Резкое снижение и увеличение скорости вращения конвертера выводило двигатель из строя.
По одной из версий, вирус был занесен, преднамеренно или нет, одним из русских специалистов, обслуживающих Бушерскую АЭС. Программа Stuxnet была также обнаружена на компьютерах Индии, Индонезии и Малайзии. Происхождение компьютерного вируса до сих пор остается неясным, однако ранее Иран высказывал уверенность в том, что руку к разработке червя приложил Израиль. В пользу этой версии может говорить обнаруженное экспертами в программном коде слово «мирт», ассоциирующееся с именем одной из жен персидского царя Ксеркса иудейки Есфири, спасшей евреев от персов. Как бы там ни было, но чтобы исправить произошедшее, Ирану, по мнению специалистов, понадобится несколько месяцев, что отдалит его от возможного создания ядерного оружия.
Угрозы: специализированный Kroxxu
Специалисты вирусной лаборатории avast! предупреждают пользователей о том, что в Сети появился новый ботнет, целью которого являются исключительно пароли к FTP-серверам. Предполагается, что за год своего существования бот зомбировал более миллиона компьютеров.
Согласно сообщению, обнаруженный ботнет Kroxxu распространяется исключительно через инфицированные сайты. Как пояснили эксперты вирусной лаборатории avast!, создатели с его помощью добывали пароли к административному аккаунту ресурса, а затем вносили изменения в контент. Кроме того, отмечается, что Kroxxu сильно отличается от своих собратьев.
Во-первых, свою активность он умеет хорошо скрывать. Для этого в боте используются редиректоры (модули в прокси-серверах, отвечающие за фильтрацию и обработку адресов (URL) запросов от клиентов к серверам), которых было обнаружено более 10.000. Суть данного процесса заключается в том, что ничего не подозревающий пользователь, заходя на легитимный сайт, может быть несколько раз перенаправлен с одного домена на другой, при этом конечной целью может являться сайт, находящийся в совершенно неожиданной доменной зоне.
Во-вторых, перекрестный процесс инфицирования, используемый Kroxxu, основан на том, что все его компоненты равны и взаимозаменяемы, причем они могут выполнять различные функции одновременно или поочередно. То есть, если один модуль использовался в качестве первого редиректора, он также может использоваться как завершающий этап в процессе перенаправления. И это дает боту дополнительное преимущество для самоклонирования в огромных количествах.
Кроме того, присутствие Kroxxu на зараженных серверах может оказать влияние на методы блокирования URL, так как они должны распределяться между инфицированными доменами, управляемыми злоумышленниками, и зомбированными сайтами.
Стоит заметить, что пока остается неясным то, каким образом с помощью этого ботнета злоумышленники могут получать материальную выгоду. Как заметил глава исследовательского отдела вирусной лаборатории avast! Иржи Сейтко, существует масса способов извлечения прибыли, наиболее популярными из которых являются продажа места на зараженных серверах, продажа «добытых» аутентификационных данных, использование этого зловреда для распространения более прибыльных вредоносов или использование кейлоггеров.
Однако учитывая то, что остальные ботнеты, скорее всего, будут использовать те же механизмы распространения и сокрытия своей деятельности, по мнению экспертов, необходимо пересмотреть правила обнаружения таких инфекций на сайте.
Денис Лавникевич
Актуальное: страхи последнего месяца
Антивирусные эксперты и специалисты по информационной безопасности советуют всем владельцам онлайновых и офлайновых магазинов в период предстоящих предновогодних продаж подумать не только о максимизации выручки, но и о защите своих IТ-систем от хакеров.
Сейчас в США отмечается День Благодарения, с которого, по традиции, стартуют предновогодние и рождественские скидки в магазинах. На протяжении всего года интернет-мошенники активно пытались атаковать продавцов с целью хищения финансовых данных клиентов. Нет сомнений, что в период бума продаж атаки хакеров только усилятся.
Компания SonicWall, специализирующаяся на услугах в области IТ-безопасности, напоминает, что в так называемую «черную пятницу» западные магазины начали работать по «новогодним дисконтам», и западные покупатели, по традиции, начали приобретать подарки для себя, родных и близких. В понедельник 29 ноября – первый рабочий день после Дня Благодарения – пик продаж должен быть и в интернет-магазинах. Так называемый «киберпонедельник» становится своего рода отмашкой для покупателей и хакеров.
Секьюрити-эксперты в текущем году говорят, что ввиду неопределенного состояния экономики не следует ждать резкого всплеска продаж, но тем не менее очевидный подъем будет. В первую очередь специалисты советуют обратить внимание на безопасность торговых точек – банкоматов, POS- терминалов кассиров, различных терминалов оплаты и прочих систем выдачи/приема денег на предмет необычных устройств, возможно установленных скиммерами. IТ-администраторам магазинов и торговых сетей следует еще раз убедиться, что их торговые компьютерные сети не содержат троянов или бэкдоров. Владельцам интернет-магазинов не повредит убедиться, что их серверное ПО верно сконфигурировано и работает на самом последнем из стабильных версий серверного программного обеспечения.
Говоря о потребителях, специалисты повторяют и так давно известный принцип – «бдительность и еще раз бдительность». Не стоит гнаться за «слишком выгодными предложениями», кроме того, не стоит пользоваться услугами интернет-магазинов, на сайтах которых нет или почти нет никакой юридической информации о продавце. Также специалисты отмечают, что в этом году многие интернет-злоумышленники используют новый метод мошенничества – так называемый SEO-poisoning, или, проще говоря, обман поисковых систем. Такой метод предполагает использование разных трюков, чтобы быстро вывести новый мошеннический магазин в топ-лист поисковиков.
Специалисты компании CyberDefence отмечают, что сейчас даже наличие SSL-сертификата не говорит о надежности продавца. Кроме того, они предупреждают, что покупателям следует в процессе покупки следить за тем, чтобы они оставались на одном и том же сайте. То есть насторожить должен тот момент, когда выбор заказа идет по одному адресу, ввод реквизитов по второму, оплата по третьему и т. д. Это может говорить о желании продавца замести свои следы. Также следует быть бдительным, когда продавец использует на своем сайте различные маскировщики URL, такие как Bit.ly и другие.
В компании Sunbelt Labs замечают, что потребителям услуг интернет-магазинов прежде чем совершать покупку следует по возможности обновить свои систему и антивирусное ПО, чтобы свести к минимуму вероятность вторжения хакеров.
Также специалисты отмечают, что интернет – это социальная среда, поэтому совершая крупную покупку на каком-либо новом сайте, не повредит зайти на какие-либо специализированные форумы и поисковые системы, чтобы поискать отзывы других пользователей. Настораживать должны два момента: либо когда подавляющее большинство пользователей плохо отзывается о магазине, либо наоборот, когда все комментарии пользователей чересчур положительные – это говорит о заказном характере комментариев.
Тенденции: нашествие фальшивых антивирусов
Антивирусная лаборатория PandaLabs предупредила об увеличении темпов распространения поддельного антивирусного ПО. В 2010 году уже было создано 40% всех когда-либо появлявшихся программ подобного рода. Впервые фальшивые антивирусы появились четыре года назад. С тех пор всего было создано 5.651.786 уникальных поддельных антивирусов. Из них 2.285.629 образцов появились в период с января по октябрь нынешнего года.
Среди всех вредоносных образцов, которые содержатся в базе Коллективного разума, 11,6% составляют именно фальшивые антивирусы. Это ошеломляющий показатель, особенно если учитывать, что в базе Коллективного разума собраны образцы всего вредоносного ПО, выявленного за двадцатиоднолетнюю историю работы лаборатории, а фальшивые антивирусы появились всего лишь 4 года назад.
Изощренность, реалистичность и использование методов социальной инженерии – это основные условия успеха такого рода вредоносного ПО. К сожалению, все больше и больше пользователей становятся его жертвами. В 2010 году 46,8% компьютеров по всему миру были заражены тем или иным вредоносным ПО, а 5,4% из них подверглись атакам фальшивых антивирусных программ.
Каждая новая жертва поддельного антивируса позволяет хакерам зарабатывать деньги на продаже лицензий антивирусных программ, которые пользователи никогда не смогут получить, на похищении данных кредитных карт, которые могут быть проданы на черном рынке или использованы для совершения онлайн-покупок и т.д.
Согласно результатам исследования «Бизнес фальшивых антивирусов», проведенного PandaLabs, создатели такого рода вредоносных программ ежемесячно зарабатывают около $34 млн (примерно $415 млн в год).
Несмотря на то, что о существовании подобного мошеннического бизнеса стало известно в 2006 году, широкое распространение этого вредоносного кода в Сети началось только в 2008-м. Пользователи могут заразиться, загружая кодеки для плееров, переходя по ссылкам в электронной почте и т.д. Однажды инфицировав систему, эти приложения выдают себя за антивирусы, которые обнаруживают сотни угроз на ПК пользователя. Когда жертва захочет избавиться от угроз, ей будет предложено приобрести лицензию на этот продукт. Очень часто пользователи попадаются на эту уловку. Однако, купив лицензию, пользователь никогда больше не услышит о том, кто ее продал, но все еще будет иметь фальшивый антивирус на своем ПК.
Статистика: завирусованный Facebook
20% пользователей соцсети Facebook регулярно видят в своих профилях вредоносные ссылки, с помощью которых злоумышленники стараются получить доступ к их аккаунту или заразить компьютер вирусом, говорится в новом отчете BitDefender, разработчика антивирусного ПО, составленном по данным Safego, специального приложения для защиты пользователей от вредоносных ссылок.
Около 20% пользователей социальной сети Facebook видят вредоносные сообщения в списке новостей для своего аккаунта. При нажатии на такого рода ссылку аккаунт пользователя обычно оказывается взломан злоумышленниками, а вредоносные сообщения начинают рассылаться по контактам человека, чей аккаунт был захвачен.
Как отмечают аналитики, статистические данные были получены на основе анализа профилей 14 тысяч пользователей Facebook, которые установили себе это приложение. Реальный процент людей, которые подвергаются опасности захвата своего профиля при нажатии на вредоносную ссылку, на самом деле может быть еще выше.
Более 60% атак в соцсети осуществляются с помощью сообщений от вредоносных сторонних приложений, созданных на платформе Facebook для разработчиков. Наиболее популярными приложениями такого рода оказались программы, которые заявляют о том, что обеспечат пользователя каким-либо функционалом, запрещенным самим сайтом – например, разрешат просматривать списки людей, которые открывали профиль этого человека, или списки тех, кто убрал его из друзей.
Еще 15,4% атак пришлось на бонусные предметы в различных играх для Facebook, таких как FarmVille. 11,2% вредоносных ссылок в соцсети предлагали такие функции, как бесплатные картинки для оформления профиля или некоторые новые кнопки. 7,1% обещали предоставить пользователю новые версии известных и популярных игр, таких как World of Warcraft и другие.
Кроме того, злоумышленники пытались заинтересовать пользователей бесплатными мобильными телефонами и бесплатными фильмами для просмотра онлайн. Помимо атак через приложения, в 16% случаев хакеры рассылали пользователям спам с предложением увидеть шокирующий видеоролик, а 5% атак эксперты связывают с попытками распространения вирусов, таких как Koobface.
Также аналитики отмечают, что в рамках своего исследования они анализировали лишь вредоносные ссылки, открыто видимые в списке новостей в аккаунте пользователя, тогда как зачастую вредоносным кодом заражают через личные сообщения. Представители Facebook заявили, что они следят за подобными действиями злоумышленников и активно борются с ними, стараясь перекрывать наиболее опасные уязвимости.
Угрозы: Кремль обороняется от кибератак
В Кремле усилены меры информационной безопасности в связи с участившимися попытками хакеров проникнуть во внутренние сети администрации президента. Об этом пишет «Независимая газета».
Как сообщили источники издания, угроза информационной безопасности усилилась после визита Дмитрия Медведева в Китай в сентябре 2010 года. В ходе подготовки к визиту сотрудники управления делами президента в незащищенном режиме отослали китайской стороне график Медведева и, как пишет «НГ», «это обстоятельство зафиксировали китайские спецслужбы».
В последнее время на адреса сотрудников президентской администрации стало приходить большое количество спама, в частности писем, зараженных вирусами. В связи с этим в Кремле организованы специальные тренинги для чиновников, которые проводит начальник управления информационного и документационного обеспечения президента Сергей Осипов.
В числе мер по усилению безопасности чиновникам запрещено подключать к внутренней сети съемные носители информации, например, флеш-карты и внешние жесткие диски. Кроме того, обострившаяся проблема информационной безопасности ставит под вопрос присутствие чиновников в социальных сетях и блогосфере, в том числе в Twitter, который популяризировал лично президент Медведев.
Атаки: Stuxnet достиг цели
Анонимный представитель МАГАТЭ подтвердил информацию о том, что иранские ядерные объекты могли подвергнуться хакерской атаке. Попавший в систему компьютерный вирус привел к временной остановке нескольких тысяч центрифуг по обогащению урана. В запуске охотившегося на ядерные программы червя подозревают Израиль. Червь был нацелен именно на вывод из строя центрифуг по обогащению урана.
Официальная причина беспрецедентного решения пока не называется, однако известно, что некоторое время назад компьютеры на иранской АЭС в Бушере оказались заражены вирусом Stuxnet. По официальной версии, которую озвучил глава Организации по атомной энергии Ирана Али Акбар Салехи, «червь», попавший якобы лишь в несколько ПК сотрудников станции, был благополучно обезврежен.
Между тем на прошлой неделе аналитики высказали предположение о том, что вирус был специально разработан для срыва иранской ядерной программы. В качестве подтверждения этой версии приводился тот факт, что более половины случаев заражения Stuxnet в мире пришлись именно на Иран. В частности, как утверждали специалисты американской компании Symantec, червь был нацелен на вывод из строя центрифуг по обогащению урана, сбивая скорость их вращения. Резкое снижение и увеличение скорости вращения конвертера выводило двигатель из строя.
По одной из версий, вирус был занесен, преднамеренно или нет, одним из русских специалистов, обслуживающих Бушерскую АЭС. Программа Stuxnet была также обнаружена на компьютерах Индии, Индонезии и Малайзии. Происхождение компьютерного вируса до сих пор остается неясным, однако ранее Иран высказывал уверенность в том, что руку к разработке червя приложил Израиль. В пользу этой версии может говорить обнаруженное экспертами в программном коде слово «мирт», ассоциирующееся с именем одной из жен персидского царя Ксеркса иудейки Есфири, спасшей евреев от персов. Как бы там ни было, но чтобы исправить произошедшее, Ирану, по мнению специалистов, понадобится несколько месяцев, что отдалит его от возможного создания ядерного оружия.
Угрозы: специализированный Kroxxu
Специалисты вирусной лаборатории avast! предупреждают пользователей о том, что в Сети появился новый ботнет, целью которого являются исключительно пароли к FTP-серверам. Предполагается, что за год своего существования бот зомбировал более миллиона компьютеров.
Согласно сообщению, обнаруженный ботнет Kroxxu распространяется исключительно через инфицированные сайты. Как пояснили эксперты вирусной лаборатории avast!, создатели с его помощью добывали пароли к административному аккаунту ресурса, а затем вносили изменения в контент. Кроме того, отмечается, что Kroxxu сильно отличается от своих собратьев.
Во-первых, свою активность он умеет хорошо скрывать. Для этого в боте используются редиректоры (модули в прокси-серверах, отвечающие за фильтрацию и обработку адресов (URL) запросов от клиентов к серверам), которых было обнаружено более 10.000. Суть данного процесса заключается в том, что ничего не подозревающий пользователь, заходя на легитимный сайт, может быть несколько раз перенаправлен с одного домена на другой, при этом конечной целью может являться сайт, находящийся в совершенно неожиданной доменной зоне.
Во-вторых, перекрестный процесс инфицирования, используемый Kroxxu, основан на том, что все его компоненты равны и взаимозаменяемы, причем они могут выполнять различные функции одновременно или поочередно. То есть, если один модуль использовался в качестве первого редиректора, он также может использоваться как завершающий этап в процессе перенаправления. И это дает боту дополнительное преимущество для самоклонирования в огромных количествах.
Кроме того, присутствие Kroxxu на зараженных серверах может оказать влияние на методы блокирования URL, так как они должны распределяться между инфицированными доменами, управляемыми злоумышленниками, и зомбированными сайтами.
Стоит заметить, что пока остается неясным то, каким образом с помощью этого ботнета злоумышленники могут получать материальную выгоду. Как заметил глава исследовательского отдела вирусной лаборатории avast! Иржи Сейтко, существует масса способов извлечения прибыли, наиболее популярными из которых являются продажа места на зараженных серверах, продажа «добытых» аутентификационных данных, использование этого зловреда для распространения более прибыльных вредоносов или использование кейлоггеров.
Однако учитывая то, что остальные ботнеты, скорее всего, будут использовать те же механизмы распространения и сокрытия своей деятельности, по мнению экспертов, необходимо пересмотреть правила обнаружения таких инфекций на сайте.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 45 за 2010 год в рубрике безопасность
