Месяц ноябрь оказался относительно спокойным месяцем в отношении традиционных угроз. Авторы вредоносных программ продолжали развивать уже существующие технологии, каких-либо значимых изобретений вирусописателей зафиксировано не было. Хотя темы для разговора всё же есть. Троянская программа Duqu, обнаруженная в сентябре и ставшая публично известной в октябре, в ноябре продолжала оставаться в центре внимания экспертов и средств массовой информации. Основной причиной этого стало обнаружение способа проникновения вредоносной программы в атакованные системы. Атака велась через электронную почту при помощи документа MS Word, содержащего внедренный эксплойт к ранее неизвестной уязвимости в операционной системе Windows. Ошибка в системном компоненте win32k.sys позволяла выполнить вредоносный код из файла с системными привилегиями. Это открытие проводит очередную параллель между Duqu и Stuxnet, в котором также были использованы ранее неизвестные уязвимости. Мы еще в октябре писали о том, что обнаружение дроппера Duqu является важнейшим ключом к разгадке тайны происхождения троянца, и что этот дроппер может содержать эксплойты к подобным уязвимостям.

Экспертам «Лаборатории Касперского» удалось обнаружить оригинальное письмо с дроппером и эксплойтом, которое было отправлено жертве в Судане.  «Лаборатория Касперского» оперативно добавила детектирование данного эксплойта в свои продукты. Необходимо отметить, что к началу декабря компания Microsoft еще не выпустила патч, закрывающий данную уязвимость, поэтому риск атак с ее использованием достаточно высок. Помимо исследования уязвимости мы провели несколько операций, связанных с захватом ряда серверов управления Duqu, расположенных в разных странах мира. К сожалению, авторы Duqu оперативно отреагировали на известие о раскрытии их деятельности и 20 октября провели глобальную «зачистку следов» на всех серверах. Впрочем, кое-какие данные нам все же удалось извлечь, и расследование в этом направлении продолжается. Вся информация, которая имеется у нас, свидетельствует о том, что Duqu был создан с целью кражи и сбора данных, относящихся к деятельности ряда иранских компаний и ведомств. Ряд признаков указывает на то, что Duqu мог существовать еще в 2007-2008 годах в виде более ранних версий, а также на то, что червь Stuxnet был создан на основе некой платформы, которая использовалась и при создании Duqu. Причем разработки Duqu и Stuxnet могли вестись параллельно, в одно и то же время.

Новые программы и технологии злоумышленников

В последнее время растет число случаев использования методов стеганографии во вредоносных программах. В сентябре было зафиксировано использование графических файлов, содержащих скрытые команды для управления ботнетом SST. Напомним, что бот SST является модификацией широкого известного бота TDSS/TDL. В ноябре похожая техника встретилась нам в семействе троянских программ, нацеленных на пользователей бразильских банков. Это первый случай использования стеганографии в картинках в латиноамериканских троянцах. Файлы, содержащие зашифрованные вредоносные коды и дополнительную информацию, имели расширение jpeg, но по структуре являлись bmp-файлами. При их создании злоумышленники применили метод блочного шифра. Используя эту технику, вирусописатели решают сразу несколько задач. Во-первых, она может привести к некорректной работе автоматических систем антивирусного анализа: файл может быть загружен, проверен антивирусными программами и охарактеризован как «чистый», и со временем ссылка вообще будет исключаться из проверки. Во-вторых, администраторы сайтов, на которых хостятся такие зашифрованные вредоносные файлы, не смогут распознать их как вредоносные, соответственно, не станут с ними ничего делать. В-третьих, у некоторых антивирусных экспертов может не оказаться времени или необходимого опыта, чтобы справиться с такими файлами. Все это, безусловно, на руку киберкриминалу.

Продолжился в ноябре и рост угроз для мобильных устройств. В середине июля мы писали об «отправителях порно-SMS», использовавших дорогостоящие SMS-сообщения для подписки пользователей на различные сервисы. Эти приложения были нацелены на пользователей из США, Малайзии, Нидерландов, Великобритании, Кении и Южной Африки. В ноябре мы обнаружили SMS-троянцев, нацеленных на пользователей из нескольких Европейских стран и Канады. Вредоносные программы отправляют с зараженного устройства четыре SMS-сообщения на короткий премиум-номер. Мы детектируем данное семейство как Trojan-SMS.AndroidOS.Foncy. Согласно сообщениям, найденным нами на форумах, первые заражения произошли в начале сентября. Кто-то загрузил приложение, якобы предназначенное для мониторинга собственных SMS/MMS сообщений, звонков и трафика. После запуска эта программа отображала сообщение о том, что она несовместима с версией ОС Android пользователя. После чего баланс пользователя опустошался. Напомним, что до появления зловредов семейства Trojan-SMS.AndroidOS.Foncy SMS-троянцы атаковали в основном пользователей из России и Китая. Сегодня SMS-троянцы являются одним из самых простых для киберпреступников способов заработка. К сожалению, «вредоносное» использование коротких номеров и дорогостоящих SMS-сообщение начало распространение по миру, и мы уверены, что этот процесс вряд ли остановится в ближайшее время.

MacOS угрозы

В настоящее время пользователей ОС Windows нельзя удивить троянцами и червями на сайтах, распространяющих пиратские версии популярных программ. Тем не менее, для пользователей Mac OS данная напасть всё еще в новинках. Так, в самом конце октября на торрент-трекерах, распространяющих пиратские версии программ для Мас, обнаружилась новая вредоносная программа, получившая имя Backdoor.OSX.Miner. Данная вредоносная программа обладает сразу несколькими зловредными функциями:

Данная вредоносная программа распространяется сразу через несколько торрент-трекеров, таких как publicbt.com, openbittorrent.com и thepiratebay.org.

Пример торрент-трекера, распространяющего Backdoor.OSX.Miner

По оценкам аналитиков "Лаборатории Касперского", к концу ноября вредоносной программой Backdoor.OSX.Miner были заражены десятки Мас-систем.

Атаки на сети корпораций и крупных организаций

Компрометация Steam

История с атаками и взломами сервисов Sony Playstation Network в начале года оказалась снова на слуху после обнаруженного в ноябре инцидента с другой игровой компанией – сервиса Steam компании Valve. Неизвестным хакерам удалось взломать форум сервиса и разослать множество сообщений со ссылками на видеоролики с инструкциями по взлому видеоигр. Компания Valve отключила сервера для исправления проблемы, и в ходе расследования был установлен факт компрометации основной базы Steam. Скомпрометированная база данных содержала такую информацию, как имена пользователей, хешированные и «посоленные» (salted) пароли, данные о покупках игр, адреса электронной почты пользователей, адреса выставления счетов и зашифрованные реквизиты кредитных карт. Инцидент заставил руководство Valve обратиться с письмом ко всем пользователям сервиса, информируя их об обнаруженной проблеме. В письме сообщалось, что компания не обнаружила свидетельств того, что зашифрованные номера кредитных карт или персональные данные пользователей были похищены хакерами, но «расследование продолжается». Не было получено и данных об использовании злоумышленниками кредитных карт пользователей сервиса Steam, однако руководство Valve призвало их отслеживать транзакции по банковским картам и внимательно читать выписки по карточным счетам.

Продолжаются проблемы с сертификатами

Этот год богат на инциденты с центрами сертификации. Сначала история с Comodo, затем с голландским CA DigiNotar. Кроме этого было обнаружено несколько украденных сертификатов, использованных во вредоносных программах, в том числе и в троянце Duqu. Проблема утраты «цифрового доверия» стоит в настоящее время очень остро, и надежных способов ее решения пока не найдено. В ноябре еще один голландский центр сертификации, компания KPN, обьявила о том, что стала жертвой атаки хакеров, и приостановила выдачу сертификатов. Причиной этого стала брешь, обнаруженная на веб-сервере KPN, обслуживающем инфраструктуру открытых ключей (PKI). Атака произошла не менее 4 лет назад. Компания KPN, более известная благодаря своему телеком-бизнесу, четыре года назад купила компанию Getronics. Бывшая Getronics, так же, как и DigiNotar, имеет право выдавать сертификаты. Как и DigiNotar, KPN имеет право выпускать «специальные» сертификаты для правительственных и публичных сервисов Нидерландов. KPN является более крупным центром сертификации, чем DigiNotar. После компрометации серверов DigiNotar многие голландские организации обратились к услугам KPN. Пока неясно, можно ли исключить взлом сервера(-ов) центра сертификации. Кроме того, необходимо получить ответ на вопрос, каким образом утилита для осуществления DDoS-атак оставалась необнаруженной в течение четырех лет. Особенно интересно, что заявление KPN можно понять как подтверждение того, что уже выпущенные сертификаты останутся валидными (независимо ни от чего).

Еще более серьезный инцидент произошел с малазийским центром сертификации Digicert (CA Digicert Malaysia). Он был удален из списка доверенных центров всеми производителями браузеров и компанией Microsoft. На такие меры пришлось пойти из-за выявленных фактов выпуска данным центром 22 сертификатов со слабыми 512-битными ключами и сертификатов без необходимых расширений, определяющих ограничения на использование сертификатов, и без информации о сроке действия. Представитель Microsoft Джерри Брайант (Jerry Bryant) сказал, что нет никаких признаков того, что какой-либо из этих сертификатов был получен мошенническим путем, однако слабые ключи позволили взломать некоторые из них.

Примечательно, что в ноябре также было обнаружено несколько вредоносных программ, подписанных сертификатом, выданным Malaysian Agricultural Research and Development Institute, который является правительственным учреждением. По сообщениям представителей института, сертификат ранее был у них украден. Остается открытым вопрос: если о краже было известно, почему сертификат не был вовремя отозван?

Рейтинги ноября

TOP 10 зловредов в интернете

TOP 10 стран, на ресурсах которых размещены вредоносные программы

TOP 10 вредоносных хостингов

TOP 10 вредоносных доменных зон

10 стран, где пользователи подвергаются наибольшему риску заражения через интернет