Информбезопасность: от спама к персональным атакам

Компания Cisco сообщила, что в последнее время киберпреступники отказываются от традиционных методов массовой рассылки спама, переходя к персонализированным атакам, главной целью которых является кража интеллектуальной собственности. Ежегодно такие нападения, нацеленные на конкретную группу пользователей и даже на отдельного пользователя, наносят ущерб в $1,29 млрд. Отчет Cisco по вопросам информационной безопасности составлен по результатам глобального исследования, проведенного подразделением Cisco@ Security Intelligence Operations в 50 странах.

С июня 2010 года по июнь 2011 года выручка от массовой рассылки спама сократилась с $1,1 млрд до $500 млн. За тот же период произошло резкое падение объемов спама – с 300 до 40 млрд сообщений в день. Зато число целевых фишинг-атак увеличилось втрое, а персонализированных жульнических и злоумышленных действий – вчетверо.

Успех целевых атак, как и других киберпреступлений, строится на технических уязвимостях и человеческой доверчивости. Против таких атак труднее всего защищаться, тогда как они могут нанести значительный ущерб. Минимальные по своему объему, эти атаки направлены на конкретного пользователя или пользовательскую группу, сохраняя анонимность и применяя специализированные каналы распространения ботнетов. Как правило, они стремятся установить у пользователя вредоносный код или устойчивое вредоносное решение для сбора данных в течение определенного времени. Одним из примеров целенаправленной атаки стал печально известный червь Stuxnet, способный серьезно нарушить работоспособность промышленных вычислительных систем. Этот червь распространяется даже через несетевые среды, поражая системы, не подключенные к Интернету и другим сетям.

Целевой фишинг стоит дороже массовой рассылки спама, хотя создает меньший объем трафика. Тем не менее, такая атака может привести к весьма печальным последствиям для современного предприятия. Фишинг приводит к краже финансовых средств, и это делает данный вид криминальной деятельности особо опасным для жертв и привлекательным для киберпреступников. Широкомасштабная фишинг-кампания с использованием целенаправленных методов может принести преступнику в 10 раз больше дохода, чем традиционный фишинг, основанный на массовых рассылках.

«Персонализированные целенаправленные атаки, проводимые для получения доступа к корпоративным банковским счетам и ценной интеллектуальной собственности, встречаются все чаще, – заявил Ник Эдвардс, директор отдела технологий информационной безопасности компании Cisco. – Действия правоохранительных органов сделали массовую рассылку спама менее привлекательной для киберпреступников, и они стали уделять больше времени и усилий разным видам целевого фишинга и другим целенаправленным атакам».

Угрозы июня: отчет «Доктор Веб»

В июне компания «Доктор Веб» выявила более 40 вредоносных программ для ОС Android (для iOS – только одна), что свидетельствует о неуклонном росте популярности этой платформы среди вирусописателей. Относительно начала года количество угроз для нее увеличилось десятикратно. Даже несмотря на то, что мобильная платформа Android базируется на ядре Linux и обладает надежным механизмом обеспечения безопасности, с каждым днем для нее появляется все больше вредоносных программ. Мобильные устройства привлекают преступников тем, что с их помощью можно тайком рассылать SMS и осуществлять звонки на платные номера, организовывать рекламные рассылки по списку абонентов адресной книги и загружать на смартфон различный контент.

Причиной роста количества угроз для Android также является открытость исходных кодов этой ОС, благодаря чему любые обнаруженные в ней уязвимости быстро становятся достоянием общественности. Дополнительную опасность создает и то, что пользователи устройств на базе Android могут загружать приложения с различных площадок, что значительно повышает вероятность заражения.

Из всех вредоносов для Android, вышедших в июне, больше всего шума наделал троянец Android.Plankton. Угроза была выявлена в Лаборатории компьютерных исследований Университета Северной Каролины. Одной из отличительных особенностей вируса является вероятная массовость его распространения: троянец был встроен в приложение Angry Birds Rio Unlock, открывающее доступ к скрытым уровням популярной игры Angry Birds. Только с официального сайта Android Market инфицированная программа была загружена более 150.000 раз, а на альтернативных ресурсах, таких как известный сборник приложений для Android androidzoom.com, число скачиваний достигало 250.000.

Опасность приложения заключается в том, что троянец не только собирает и отправляет злоумышленникам информацию о зараженном устройстве (включая ID оборудования, версию SDK, сведения о привилегиях файла), но и позволяет выполнять различные команды, получаемые от удаленного центра. Специалистами «Доктор Веб» также была выявлена угроза Android.Gongfu. В ходе исследований выяснилось, что она использует те же уязвимости, что и распространенный Android.DreamExploid, однако демонстрирует принципиально иной механизм действия. После запуска программа повышает собственные права до привилегий root, а вслед за этим загружает другое приложение, которое добавляется в инфицированную систему в качестве фонового сервиса. По завершении загрузки ОС сервис запускается автоматически без участия пользователя и собирает идентификационную информацию о зараженном устройстве, включая версию ОС, модель телефона, наименование мобильного оператора, номер IMEI и телефонный номер пользователя. Далее эти сведения передаются злоумышленникам на удаленный сервер.

17 июня в вирусные базы Dr.Web были внесены описания четырех новых модификаций SMS-сендера Android.Wukong (4-7), похищающего средства со счетов пользователей ОС Android путем отправки платных SMS-сообщений. Вредоносная программа попадает на мобильное устройство в случае загрузки его владельцем одного из инфицированных приложений и запускается в качестве фонового процесса. Затем троянец получает с удаленного сервера номер платного сервиса, на который с интервалом в 50 минут начинает отправлять сообщения, начинающиеся со строки «YZHC». Также программа старается скрыть следы своей деятельности, удаляя из памяти смартфона отосланные ею сообщения и входящие SMS с информацией о приеме платежа оператором. Июнь также отметился появлением большого количества вредоносных программ, использующих для реализации атак на зараженную систему модификацию загрузочной записи. Представитель этого класса – Trojan.MBRlock – вымогатель, изменяющий главную загрузочную запись (Master Boot Record), делая невозможным запуск ОС Windows. Вредонос Win32.Rmnet крадет пароли от популярных ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP, делая эту информацию доступной для сетевых атак или размещения на удаленных серверах различных вредоносных объектов.

Среди угроз для Mac OS X значительное большинство составляют ложные антивирусы наподобие широко известного MacDefender, а также различные троянские программы, такие как Mac.DnsChange. Тем неожиданнее стала новость об обнаружении нового бэкдора для использующих Intel-совместимую архитектуру ПК Apple. Данная вредоносная программа получила наименование BackDoor.Olyx. Она стала вторым известным бэкдором для Mac OS X, первый назывался BackDoor.DarkHole. Запускаясь в системе, вирус позволяет злоумышленникам открывать на зараженной машине web-страницы, перезагружать ПК и удаленно выполнять различные операции с файлами.

«Отпускные» рекомендации PandaLabs

Антивирусная лаборатория PandaLabs рекомендует пользователям быть особенно осторожными в социальных сетях во время летних каникул, чтобы не стать жертвой вирусов и компьютерных мошенников.

«В этом году мы хотим особое внимание уделить детям и подросткам. Летом у них появляется больше свободного времени, и они, вероятно, больше времени, чем обычно, будут проводить в Интернете, – пишет Луи Корронс, технический директор PandaLabs. – В дополнение к обычным мерам безопасности в этом году мы просим пользователей уделять особое внимание сайтам социальных сетей. Поскольку дети и подростки проводят много времени на этих сайтах, неудивительно, что объем вредоносного ПО, распространяемого посредством соцсетей, постоянно увеличивается. Опасные приложения и ссылки, направляющие пользователей на зараженные сайты, широко распространены в наше время. Именно поэтому правильные действия при работе в Интернете необходимо подкреплять качественной системой родительского контроля».

PandaLabs советует быть осторожными при размещении информации в социальных сетях: не размещать информацию о датах отъезда в отпуск, особенно если домашний адрес можно найти на той же странице. Также важно использовать функцию родительского контроля, рассказать детям об основных принципах безопасного использования Интернета, отслеживать, что именно они делают в Сети. Рекомендуется закрыть детям доступ к определенным страницам с сомнительным содержанием.

На общедоступных ПК не следует вводить пароли, напоминает PandaLabs. В интернет-кафе нужно выбрать тот компьютер, на котором установлена новейшая версия антивируса. Кроме того, следует установить последние обновления для программ безопасности.

Атаки: AntiSec взломали сервер Apple

Группа хакеров опубликовала документ, в котором содержатся имена пользователей и пароли для взломанного сервера корпорации Apple. В документе хакерской группы AntiSec, в которую входят представители Anonymous и самораспустившейся Lulz Security, опубликована ссылка на предполагаемый сервер Apple, к которому хакеры нашли 26 имен пользователей и паролей администраторов. В своем сообщении в Twitter хакеры заявили, что доступ к серверу Apple был найден благодаря пробелу в системе безопасности ПО, используемого компанией Cupertino, а также другими компаниями. «Но не беспокойтесь, мы заняты другим», – добавляют взломщики.

Представитель Apple ситуацию не прокомментировали.

Взлом Apple стал продолжением серии хакерских атак. Неделю назад хакерская группа ibomhacktivist успешно провела кибератаку на сайт международной платежной системы MasterCard. Кроме этого, в начале июня стало известно, что хакеры Lulz Security атаковали американский сервер разработчика игр Nintendo.

Группой хакеров, называющей себя Lulz Security, в апреле была взломана база данных Sony PlayStation, в результате чего произошла крупная утечка личной информации пользователей сервиса. Эта же группа хакеров взяла на себя ответственность за взлом сайтов общественного телевидения США и телекомпании Fox.

Утечки: BBC хочет запретить Twitter

Британская телерадиовещательная корпорация BBC хочет запретить использование Twitter своим сотрудникам и гостям, чтобы остановить утечки информации о деталях готовящихся программ. Таким образом руководство BBC отреагировало на ситуацию, когда известные гости, с которыми записывались программы, сообщали об этом в Twitter до официальных анонсов BBC.

BBC собирается внести серьезные изменения в контракты всех лиц, принимающих участие в производстве программ телерадиовещательной корпорации. Согласно новым соглашениям будет запрещено распространение каких-либо сообщений в любых блогах, форумах и социальных сетях.

Захваченный Twitter «убил» Обаму

4 июля неизвестный захватил официальный Twitter отдела политики телеканала Fox News и опубликовал сообщение об убийстве президента США Барака Обамы. Около двух часов ночи аккаунт foxnewspolitics стал передавать 33 тысячам своих читателей информацию о подробностях якобы произошедшего убийства Барака Обамы. «BarackObama только что ушел. Президент мертв. Это по-настоящему грустное 4 июля. Президент Барак Обама мертв», – говорилось в первой записи.
В последовавших твитах сообщались подробности о том, что президент якобы скончался от потери крови, после того как неизвестный дважды выстрелил в него в ресторане Ross, попав ему «в нижнюю область таза и в шею».

После этого неизвестный, захвативший аккаунт американского телеканала, выразил соболезнования семье президента США и попросил всех своих читателей ретранслировать сообщение, чтобы выразить поддержку родным Обамы. Ретвит сделало более сотни человек. В последней записи неизвестный от лица Fox News пожелал успехов новому исполняющему обязанности президента, Джо Байдену.

Позднее сайт The Hacker News сообщил, что страницу телеканала Fox News в Twitter взломали хакеры 5CR1PT K1DD3S (Script Kiddie). Личный микроблог одного из хакеров был забанен администрацией сайта вскоре после захвата страницы телеканала в Twitter. Хакер завел новую страницу и попросил всех читателей Fox News добавить в закладки его новую страницу ScriptKiddi3, где он будет сообщать о следующих атаках.

Как сообщили хакеры в интервью The Hacker News, Script Kiddies – это новая группа хакеров, которая имеет опыт совместных атак вместе с группой Anonymous. «Мы не будем вдаваться в подробности того, как мы заполучили Twitter-страницу Fox News. У нас есть доступ к нескольким почтовым ящикам, принадлежащим Fox News», – сказал хакер, пообещав новые атаки, конкретный план которых обсуждается в настоящее время. Script Kiddies также заявили, что собираются сотрудничать с хакерской группой #AntiSec.

Сеть «ВКонтакте» cдала своих пользователей

Крупнейшая российская социальная сеть «ВКонтакте» добровольно предложила привлечь к ответственности своих пользователей за размещение пиратского контента. В ходе судебного разбирательства с Gala Records/EMI «ВКонтакте» передала звукозаписывающей компании данные об IP-адресах пользователей – при том, что Gala Records/EMI требовала поделиться и их паспортными данными.

Как рассказала заместитель гендиректора Gala Records/EMI Ольга Ким, в ходе судебного разбирательства представители «ВКонтакте» передали IP- адреса десяти пользователей.

«По их версии, именно они загружали спорный контент. Позиция «ВКонтакте» заключается в том, что они являются площадкой и сами ничего не загружают. То есть отвечать за нелицензионный контент должны непосредственно те, кто его загрузил. В результате мы получили данные о пользователях, которым, по мнению представителей «ВКонтакте», мы и должны предъявить иски», – рассказала Ким.

Денис Лавникевич


Компьютерная газета. Статья была опубликована в номере 26 за 2011 год в рубрике безопасность

©1997-2024 Компьютерная газета