"Лаборатория Касперского" подвела итоги второго квартала 2011 года в области информационной безопасности. Как отмечают эксперты, во втором квартале 2011 года получили развитие тенденции, о которых мы уже писали в прошлых отчетах, — такие как увеличение числа вредоносных программ под мобильные платформы и их распространение через магазины приложений, целевые атаки на компании и популярные интеренет-сервисы. Однако были и сюрпризы, о которых мы также расскажем далее.

Одним из заметных событий отчётного периода можно назвать возвращение фальшивых антивирусов. В 2010 году мы отмечали снижение количества игроков на рынке лжеантивирусов и как следствие — уменьшение числа поддельных программ, ими распространяемых. Такое положение дел сохранялась достаточно долго. Но во втором квартале 2011 года количество поддельных антивирусов, обнаруженных продуктами «Лаборатории Касперского», заметно увеличилось. При этом число заблокированных попыток установки поддельного программного обеспечения на компьютеры пользоваталей за три месяца выросло на 300% (!). Бурное нашествие лжеантивирусов началось в марте текущего года, и на данный момент, количество атак продолжает расти.

Количество детектирований лжеантивирусов по дням Q2 2011

В отличие от 2009 года, когда злоумышленники заражали фальшивыми антивирусами пользовательские компьютеры по всему миру, в настоящее время создатели лжеантивирусов более ориентированы на пользователей из развитых стран, таких как США, Великобритания и Канада.

Географическое распределение атак лжеантивирусов Q2 2011

С этим же связана и технологическая эволюция этого вида вредоносных программ. Первый фальшивый антивирус для Mac OS X появился еще в 2008 году, и довольно долго новых лжеантивирусов для Mac не было. Однако в течение второго квартала 2011 года антивирусные аналитики обнаружили сразу несколько «продуктов» с говорящими названиями MacDefender, MacSecurity, MacProtector и им подобными, которые были явно выпущены одними и теми же людьми с целью незаконного обогащения за счет доверчивых пользователей Mac OS X. Злоумышленники сочли, что активную экспансию на формирующийся рынок зловредов для OS X выгоднее всего начать с FakeAV, поскольку с помощью таких программ довольно легко вводить пользователей в заблуждение. Чтобы заставить пользователя установить подделку, мошенники использовали сайты, которые имитируют сканирование компьютера. С помощью методов черной поисковой оптимизации они вывели такие сайты в первые строки поисковой выдачи Google Images по популярным в тот момент поисковым запросам. Пользователь, искавший, скажем, «фото смерти усамы бин ладена», попадал на веб-страницу, где якобы происходило сканирование компьютера. После чего пользователь получал сообщение о том, что на его компьютере найдены множественные проблемы, касающиеся безопасности, и предложение установить «бесплатный» антивирусный продукт. Если пользователь соглашался, для установки ему необходимо было ввести свой пароль администратора. После установки фальшивый антивирус, как и его Windows-собратья, срабатывал по накатанной схеме: находил тысячи несуществующих угроз и предлагал «вылечить» компьютер. Кстати, декларируемое количество записей в «базе» у таких лжеантивирусов в несколько раз превышало число известных на сегодня вредоносных программ под Mac. Для «лечения» необходимо было приобрести «полную версию» за $50-100. Отметим, что, покупая предлагаемый «продукт» с помощью кредитной карты, пользователь передавал все данные карты злоумышленникам, которые затем могли снять с нее практически любую сумму.

31 мая, почти через месяц после появления первого обнаруженного в 2011 году лжеантивируса для Mac, компания Apple выпустила security-патч для встроенной в OS X защиты Xprotect, который автоматически удалял фальшивые антивирусы, известные на тот момент. Однако уже несколько часов спустя злоумышленники выпустили новую версию своей программы, которая в течение последующих 24 часов не детектировалась Xprotect. Такой быстрый обход защиты связан с тем, что Xprotect использует очень простую технологию обнаружения вредоносного ПО — сигнатурный сканер. Это позволяет злоумышленникам, изменив всего несколько байт в программе, добиваться сбоя в детектировании. Позже, для того чтобы обходить защиту Xprotect более эффективно, вирусописатели добавили в схему заражения небольшой загрузчик, детектируемый продуктами «Лаборатории Касперского» как Trojan-Downloader.OSX.FavDonw. Такая схема более эффективна по очень простой причине: Xprotect сканирует только те файлы, которые были загружены из интернета с помощью браузера. В случае же использования загрузчика файл лжеантивируса вообще не сканируется. Как следствие, злоумышленники могут легко обходить встроенную защиту, постоянно обновляя загрузчик, а основной файл при этом менять незначительно. Кроме того, эта схема атаки не требует у пользователя ввода пароля при установке вредоносной программы.

Как и Trojan-FakeAV для Winsows, лжеантивирусы для Mac OS распространяются с помощью небезызвестных партнерок. Об этом говорит наличие строк «affid» (сокращение от affiliate ID) в файлах загрузчика. С помощью этого параметра владельцы партнерки определяют, кому из партнеров необходимо выплатить деньги за установку лжеантивируса.

Часть кода загрузчика лжеантивирусов под OS X Trojan-Downloader. OSX.FavDonw

Поскольку большая часть пользователей Mac OS X находится именно в развитых странах, география распространения фальшивых антивирусов для Mac OS X совпадает с географией распространения аналогичных программ для Widows, о которой шла речь выше. Аналитик полагают, что следующим шагом в развитии вредоносных программ для Mac OS X станет появление универсальных руткитов-загрузчиков под Мас, а также троянцев, ворующих банковскую информацию, таких как ZeuS и SpyEye. В связи с этим мы рекомендуем пользователям Mac серьезно задуматься о безопасности их систем и установить на машины одно из антивирусных решений.

Теперь о наболевшем, а именно омобильных троянцах. В конце мая в официальном магазине приложений Andoird Market были вновь обнаружены вредоносные программы. Как и в прошлом квартале, это оказались большей частью перепакованные версии легитимных программ с добавленными троянскими модулями. Всего было обнаружено 34 вредоносных пакета. Троянец, который шел в комплекте с пакетом, оказался новой модификацией уже знакомого нам DroidDream (в классификации ЛК — Backdoor.AndroidOS.Rooter). Чтобы троянца можно было заново поместить на Android Market, его функционал немного изменили. При этом эксплойт, который позволяет троянцу получить права администратора и за счет которого было легко обнаружить вредоносный пакет, уже не входил в комплект, а загружался троянцем на зараженный телефон.

Согласно статистике "ЛК", рост количества мобильных угроз под различные мобильные платформы набирает обороты.

Число добавленных сигнатур для новых мобильных зловредов под разные платформы Q1 и Q2 2011

Количество записей, детектирующих зловреды под J2ME (вредоносное ПО для телефонов и смартфонов начального уровня), за квартал увеличилось в два раза, а число детектов вредоносных программ для Android OS выросло почти в три раза. Текущая схема монетизации большинства мобильных троянцев в настоящее время связана с отправкой SMS-сообщений на короткие номера. В результате либо со счета пользователя списываются деньги, либо владельца телефона без его согласия подписывают на платный сервис. Во втором случае, более распространенном в Азиатском регионе, пользователю с сервиса приходит SMS-сообщение с информацией о подписке. Чтобы владелец телефона не заподозрил неладное, троянцы удаляют сообщение о платной подписке, как только оно приходит. Таким образом, троянцы могут паразитировать на одном устройстве очень долго — и приносить своему хозяину постоянный доход. Настораживает тот факт, что вредоносные программы для мобильных устройств распространяются не только через различные ресурсы, принадлежащие третьим лицам, но и через официальные магазины приложений. Очевидно, что Android Market необходимо пересмотреть политику публикации приложений. Но пока владельцы и официального магазина, и неофициальных не спешат вносить изменения в правила, что играет на руку вирусописателям. В такой ситуации количество желающих заработать нечестным путем за счет рядовых пользователей будет расти, что скажется и на количестве угроз, и на их качестве. Для рядового пользователя это означает лишь одно: если вы еще не установили на своем мобильном устройстве антивирусный продукт, сделайте это. Иначе велик шанс, что вы будете не единственным пользователем своего телефона.

Ещё второй квартал 2011 года оказался еще более насыщенным инцидентами, связанными со взломом крупных компаний, чем первый. В список пострадавших вошли такие компании, как Sony, Honda, Fox News, Epsilon, Citibank. В большинстве случаев была украдены данные клиентов компаний. Персональные данные множества пользователей могут быть интересны и киберкриминалу (для проведения различного рода атак, в особенности целевых), и некоторым легальным коммерческим структурам. При этом нет никакой информации о продаже этих данных на черном рынке или использовании злоумышленниками. Такое поведение хакеров говорит о том, что заработать на продаже краденой информации не было их главной целью. Также второй квартал 2011 года многим запомнится одной из самых крупных утечек персональных данных, произошедшей в результате взлома сервисов, принадлежащих компании Sony: PlayStation Network, Qriocity и Sony Online Entertainment. По оценкам самой Sony, в руках злоумышленников могли оказаться данные 77 миллионов пользователей сервисов PSN и Qriocity. Несколько недель, пока велось расследование инцидентов и шло обновление системы безопасности, сервисы Sony были недоступны по всему миру, что, естественно, вызвало негодование клиентов компании. Когда пришло время возобновления работы сервисов, пользователи должны были восстановить свои аккаунты, используя для идентификации в том числе некоторые персональные данные, которые могли быть украдены в ходе атаки. При этом важно отметить, что никакой информации от пользователей об инцидентах при восстановлении аккаунтов не поступило. Помимо личных данных пользователей, подобные сервисы хранят данные кредитных карт клиентов, которые пользовались их платными услугами. После взлома сервисов Sony на подпольных форумах поговаривали о том, что взломщики могли похитить и секретные коды cvv2, которые необходимы для совершения транзакций. Однако компания заявила, что в руках хакеров может быть только часть информации о кредитных картах без кода cvv2, а именно номер карты и срок ее действия. Опять же, никаких новостей о том, что эта информация была использована или продана в злонамеренных целях, не было.

На сегодняшний день в открытом доступе нет данных о том, кто и зачем провел эту атаку. Все перечисленные выше факты наводят на мысль, что главной целью хакеров было не получить финансовую выгоду, а навредить репутации корпорации. Заметим, что по информации английских продавцов игр и консолей (http://news.cnet.com/8301-13506_3-20062596-17.html), после возникновения проблем в PSN количество возвратов и обменов приставок производства Sony сильно возросло. Как известно, чтобы заработать хорошую репутацию, нужны годы, а потерять ее можно и за считаные часы.

«Хактивисты»

Не могли мы не затронть тему движения "хактивизма" — взлома или вывода из строя каких-либо систем в знак протеста против действия государственных органов или больших корпораций, которое  продолжает набирать силу. Во втором квартале на сцене появилась новая группировка LulzSec, за 50 дней своего марафона успела взломать множество систем и опубликовать личную информацию десятков тысяч пользователей. Как и в случае с уже знакомыми нам Anonymous, действия LulzSec не были мотивированы жаждой наживы. Сами представители группировки утверждают, что они взламывали серверы компаний просто «смеха ради». При этом, в отличие от Anonimous, новая группировка более активно использовала социальные медиа, в том числе Twitter, для оповещения мира о своих действиях? создавая таким образом большой общественный резонанс.  Напомним, что под удар LulzSec попали и крупные корпорации, такие как Sony, EA, AOL, и государственные органы: сенат США, ЦРУ, SOCA UK и многие другие. Информация, которая попадала в руки LulzSec в результате атак, публиковалась на их сайте, а затем выкладывалась в torrent-сети. Чаще всего это были персональные данные пользователей.

Будет не лишним разобраться, каким образом группировка могла проникать внутрь защищенных систем. Многие атаки могли быть совершены с использованием уже известных механизмов для автоматического поиска уязвимостей, в том числе SQL-инъекций. Получив доступ к данным, хранившимся на наименее защищенном сервере, таким как логины и пароли / хеши паролей, хакеры могли использовать их для последующих взломов, ведь даже люди, имеющие права администраторов сетей, до сих пор часто используют один и тот же пароль для различных сервисов. Со временем атаки LulzSec получили политическую окраску. LulzSec объединила усилия с группировкой Anonimous для организации ряда атак на государственные органы и крупные корпорации с целью публикации закрытых данных. В результате серии атак под общим названием «AntiSec» хакеры смогли получить доступ в том числе к данным полиции Аризоны. В открытом доступе была размещена переписка сотрудников, засекреченные документы, а также персональная информация и пароли некоторых сотрудников полиции. Сами представители группировки объявили, что они совершили эту атаку в знак протеста против решения сената Аризоны об ужесточении миграционной политики. ("We are targeting AZDPS specifically because we are against SB1070 and the racial-profiling anti-immigrant police state that is Arizona").

Естественно, все эти атаки не могли не привлечь внимания со стороны правоохранительных органов. В Испании было арестовано 3, а в Турции 32 человека по подозрению в причастности к атакам, организованным группой Anonimous. В конце июня LulzSec объявила о своем роспуске. Возможно, одной из причин этого роспуска стало расследование, которое активно ведется сразу в нескольких странах мира с целью выявления и поимки членов группировки. К сожалению, действия по раскрытию личных данных пользователей, которые предпринимают «хактивисты» безнравственны и безответственны. Даже раскрытие данных, на первый взгляд, никак не связанных с деньгами, может иметь для пользователей вполне ощутимые последствия, в том числе финансового характера. Во-первых, многие пользователи, несмотря на увещевания специалистов по компьютерной безопасности, используют одни и те же пароли для доступа к различным сервисам, включая банковские. Во-вторых, опубликованные данные могут заинтересовать преступников, действующих в реальном мире. Кстати, в сохранении своей анонимности члены группировки весьма заинтересованы. И призыв раскрыть информацию очень странно звучит из уст людей, которые активно стараются скрыть собственные имена.

Атаки на правительственные организации, несомненно, будут продолжаться даже после официального роспуска LulzSec. Системным администраторам крупных компаний и государственных организаций необходимо провести тестирование своих систем, в противном случае следующая волна «хактивизма» может добраться и до них.

Еще более сложным, чем закрытие ботнетов типа Coreflood, Rustock и Bredolab, может стать закрытие децентрализованных ботнетов, таких как Kido, Hlux и Palevo. Закрыть такие ботнеты можно единственным способом — запустив процедуру перехвата управления ботами. По сути это будет означать модификацию вредоносных программ на пользовательских компьютерах, расположенных в разных странах мира. На сегодняшний день законодательной базы, которая позволила бы правоохранительным органам и специалистам по безопасности совершать подобные действия, просто не существует. Надеемся, что правоохранительные органы продолжат действия по закрытию ботнетов, а юристы разных стран смогут объединить усилия для создания условий, необходимых для очистки зараженных компьютеров во всем мире.

В 2009 году программистом и математиком Сатоси Накамото был начат интересный проект по созданию криптовалюты Bitcoin. Концепция этой валюты имеет несколько важных особенностей. У Bitcoin нет какого-либо централизованного эмитента и регулятора, деньги генерируются на компьютерах пользователей, запустивших специальную программу, а все денежные переводы в системе Bitcoin являются анонимными. Сегодня Bitcoin достаточно активно используется при онлайн-оплате различных товаров и услуг. Существуют биржи, где можно поменять эти электронные деньги на реальную валюту: доллары, фунты, японские йены и т.д. Стоит упомянуть, что этой валютой также любят пользоваться различные киберкриминальные элементы, например, группировка LulzSec принимала «пожертвования» в Bitcoin, да и на некоторых подпольных форумах тоже можно расплатиться за вредоносные программы криптовалютой.

Неприятным событием для экономики Bitcoin во втором квартале 2011 года стал обвал его курса на одной из самых популярных бирж «Mt. Gox». В течение нескольких минут курс обмена упал с $16 до нескольких центов за Bitcoin. Причина обвала — продажа с одного взломанного аккаунта огромного количества биткойнов по очень низкой цене. Обнаружив резкое падение курса, администрация биржи очень быстро приняла правильное решение и остановила торги, а все подозрительные транзакции были отменены.

Обвал курса Bitcoin 20 июня 2011г.

Позднее выяснилось, что взлом аккаунта стал возможным из-за утечки из базы логинов, электронных адресов и хешированных паролей пользователей биржи. Очевидно, что злоумышленник подобрал пароли и устроил обвал курса, чтобы погреть на этом руки. До этого инцидента на сайте «Mt. Gox» была обнаружена уязвимость типа Cross Site Request Forgery, позволявшая злоумышленникам с помощью специальных запросов обманом заставлять пользователей производить транзакции с Bitcoin. Эти случаи наглядно показали, что даже если биржа работает с виртуальными деньгами, ее защита должна быть очень хорошо продумана.

Пока сгенерировано только 6,8 миллионов монет Bitcoin из планируемого 21 миллиона, каждый может участвовать в генерации биткойнов (Bitcoin Mining) и получать за это вознаграждение в виде созданных монет. Некие киберпреступники — судя по строчкам в коде, русскоговорящие — решили, что воровать кошельки и подбирать к ним пароли достаточно накладно, а вот заставить ничего не подозревающих пользователей генерировать для них деньги — затея неплохая. В конце июня нашими аналитиками была обнаружена вредоносная программа, состоящая из легальной программы по созданию монет (bcm) и управляющего троянского модуля. После запуска троянца зараженный компьютер начинает генерировать монеты для злоумышленников. Территория распространения троянца — Россия (37%), Индия (12%), Украина (7%), Казахстан (5%) и Вьетнам (3%). К счастью, обман был замечен достаточно быстро автоматической системой биткойн-пула, и аккаунт злоумышленника в системе создания денег был заблокирован, а затем и удален.

Часть кода Trojan.NSIS.Miner.a с указанием, куда переводить сгенерированные Bitcoin

Важно отметить, что жизнеспособность всей системы криптовалюты Bitcoin зависит от доверия к ней со стороны пользователей и отсутствия «фальшивых» монет. Описанные выше случаи показывают, что злоумышленники активно пытаются найти брешь в системе безопасности различных составляющих экономики Bitcoin. Думается, что администраторы бирж и биткойн-пулов должны быть заинтересованы в защите своих систем и в сохранении репутации, ведь иначе весь их бизнес может рухнуть вместе с доверием к системе Bitcoin.

Статистика

Ниже мы рассмотрим статистику, полученную в результате работы различных компонентов защиты от вредоносных программ. Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN). Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран мира.

Угрозы в интернете

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.

Во втором квартале 2011 года было отражено 208 707 447 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира. Всего в данных инцидентах было зафиксировано 112 474 разных вредоносных и потенциально нежелательных программ.

* Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
** Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

На первом месте рейтинга различные вредоносные URL (65,44%), входящие в наш черный список, — адреса веб-страниц с эсплойт-паками, ботами, троянцами-вымогателями и т.п. Половина программ, попавших в TOP 20, — это зловреды, так или иначе используемые в drive-by атаках: скриптовые загрузчики, редиректоры, эксплойты. Злоумышленники все больше внимания уделяют обходу различных средств анализа вредоносного кода, написанного на скриптовых языках (JS, VBS и т.п.). Для этого они разными способами скрывают основной функционал скрипта в неожиданных с точки зрения анализаторов местах html-кода. Как следствие, большинство таких программ детектируется эвристическими методами как generic.

На втором месте в TOP 20 оказался Exploit.Script.Generic (+6,5%), сместив оттуда троянцев-загрузчиков, которые весьма долго занимали это место. Под этим именем детектируются различные скриптовые эксплойты, с которыми связана пятая часть всех зарегистрированных атак через интернет. Это говорит о том, что количество так называемых drive-by атак, начинающихся с использования эксплойтов, продолжает расти, а атаки, в ходе которых пользователю нужно самому скачать и запустить вредоносный файл, злоумышленники используют все реже. 6 детектируемых объектов из TOP 20 являются рекламным ПО или программами-обманками. Рекламное ПО семейства FunWeb занимает сразу две строчки (7-ю и 8-ю) по частоте детектирования. Чаще всего установка таких программ блокировалась на компьютерах пользователей в США (25,2%) и Индии (32,7%). Программы-обманки типа Hoax.Win32.ArchSMS, которые представляют собой платные инсталляторы, устанавливающие бесплатные программы, также занимают две строчки в рейтинге (17-ю и 20-ю).

Во втором квартале 2011 года в десяти странах мира было сконцентрировано 87% веб-ресурсов, используемых для распространения вредоносных программ (на 2% меньше, чем в прошлом квартале). Для определения географического источника атаки использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен домен, и установление географического местоположения IP-адреса (GEOIP).

Распределение веб-ресурсов, на которых размещены  вредоносные программы, по странам. Второй квартал 2011

Развитие законодательства и успехи в борьбе с киберпреступниками в США и странах Западной Европы могут привести к постепенному перемещению хостингов, используемых для распространения вредоносных программ, из развитых стран в развивающиеся. Лидируют по уменьшению количества хостингов с вредоносным кодом Нидерланды, чья доля по сравнению с прошлым месяцем уменьшилась на 4,3% и составила 7,8%. Активные действия нидерландской полиции, в том числе по нейтрализации ботнетов (Bredolab, Rustock), отпугивают киберпреступников. Также продолжается уменьшение количества хостингов, на которых размещены вредоносные программы, в Китае: доля, которая приходится на эту страну, уменьшилась еще на 2% и достигла 5,6%. Если два года назад китайские хостинги были основным рассадником зловредов в глобальной паутине, то теперь они постепенно исчезают с антивирусных радаров.

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи в каждой из стран сталкивались со срабатыванием веб-антивируса.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, подвергшихся веб-атакам, от числа всех уникальных пользователей продуктов ЛК в стране.

За исключением США в TOP 10 вошли страны двух категорий.

Читать дальше >>>