Годовой отчет от Лаборатории Касперского по угрозам за 2012 год


KasperskyLabsВ данном отчете рассматриваются основные проблемы, затрагивающие персональных и корпоративных пользователей, и связанные с использованием вредоносных, потенциально нежелательных и мошеннических программ, а также спама, фишинга и различных видов хакерской активности.

Отчет подготовлен экспертами Global Research&Analisys Team (GReAT) в сотрудничестве c подразделениями Content&Cloud Technology Research и Anti-Malware Research "Лаборатории Касперского".


10 важнейших инцидентов IT-безопасности 2012 года

1. Flashback: атака на Mac OS X
Предназначенная для заражения Mac OS X троянская программа Flashback/Flashfake, появившаяся в конце 2011 года, получила по-настоящему широкое распространение только в апреле 2012 года. Т.е., программа распространилась действительно очень широко. Собранные статистические данные говорят о том, что троянец Flashback поразил более 700 000 компьютеров Mac. Это самая крупная на сегодняшний день эпидемия вредоносных программ для MacOS X. В этом сыграли свою роль два основных фактора: уязвимость в Java (CVE-2012-0507) и практически полное безразличие поклонников компьютеров Mac к проблемам безопасности.

С появлением Flashback, миф о неуязвимости компьютеров Mac оказался разрушен и стало ясно, что массовые эпидемии возможны не только в среде Windows.


2. Flame и Gauss: кибершпионаж на государственном уровне
В середине апреля 2012 года в результате серии кибератак были выведены из строя компьютерные системы нескольких нефтяных платформ на Ближнем Востоке. Ответственное за атаки вредоносное ПО под названием "Wiper", так и не было найдено, хотя по некоторым признакам оно имело много общего с Duqu и Stuxnet. В ходе расследования была обнаружена масштабная кампания по кибер-шпионажу - Flame.

Flame — одна из наиболее сложных угроз за всю историю вредоносного ПО. После ее полного развертывания на компьютере, суммарный размер входящих в ее состав модулей составлял более 20 МБ. Эти модули выполняли широкий набор вредоносных функций, таких как:

  • перехват аудиоданных;
  • сканирование устройств;
  • подключенных по протоколу Bluetooth;
  • кража документов;
  • создание снимков экрана на зараженной машине.


Наиболее впечатляющей возможностью программы было использование поддельного сертификата Microsoft для проведения атаки типа Man-in-the-Middle, нацеленной на службу Windows Update. Это позволяло вредоносной программе моментально заражать компьютеры, работающие под управлением Windows 7 со всеми необходимыми патчами. Бытует предположение, что программа была создана при государственной поддержке. Кроме того, была обнаружена тесная связь между Flame и Stuxnet, что позволило прийти к выводу, будто разработчики Flame действовали в сотрудничестве с разработчиками Stuxnet, возможно в рамках одного проекта.

Программа Flame продемонстрировала, что сложное вредоносное ПО способно оставаться необнаруженным в течение многих лет. По оценкам экспертов, проекту Flame не меньше пяти лет. Вдобавок, Flame заставил специалистов по-новому взглянуть на угрозы "нулевого дня" из-за используемого им метода распространения, основанного на атаке man-in-the-middle, подобной чит-коду в компьютерной игре, включающему "режим бога".

Вскоре, после обнаружения Flame, были также обнаружены и другие кампании. В частности, Gauss — еще один сложный троян, широко распространенный на Ближнем Востоке, давший новое измерение киберкампаниям, проводимым на государственном уровне. Gauss интересен по нескольким причинам:

  • Для чего нужен нестандартный шрифт Palida Narrow.
  • Каково назначение зашифрованного вредоносного функционала, рассчитанного на компьютеры, отключенные от интернета.


Кроме того, это первый созданный при государственном участии троян, способный к краже у жертв логинов и паролей к системам онлайн-банкинга, преимущественно принадлежащим ливанским банкам.

Flame и Gauss усложнили и без того непростую ситуацию на Ближнем Востоке, сделав кибероружие важным фактором ее развития.


3. Взрывной рост числа Android-угроз
В течение 2011 года был зафиксирован рост числа мобильных угроз, нацеленных на платформу Android.

Rost chisla vredonos prog dlya Android
Рост числа вредоносных программ для Android

Число мобильных угроз продолжало расти, достигнув максимума в июне 2012 года, когда было выявлено почти 7000 вредоносных программ для Android. Всего в 2012 году идентифицировали почти 35 000 вредоносных программ для Android, что примерно в шесть раз больше, чем в 2011 году. Или примерно в пять раз больше, чем суммарное число образцов вредоносных программ для Android, полученных с 2005 года.

Такой невероятный рост числа вредоносных программ для Android объясняется двумя факторами - экономическим и связанным с самой платформой. Платформа Android стала невероятно популярной. На ее основе выпускается самое большое число телефонных аппаратов, а завоеванная ею доля рынка превысила 70%. К тому же, открытый характер операционной системы, легкость создания приложений и разнообразные (неофициальные) магазины приложений вместе оказывают негативное влияние на уровень безопасности, заложенный в платформу Android.


4. Утечка паролей из сервисов LinkedIn, Last.fm, Dropbox и Gamigo
5 июня 2012 года сайт LinkedIn, одной из крупнейших в мире социальных сетей, специализирующейся на поиске и установлении деловых контактов, был взломан неизвестными злоумышленниками. В результате взлома произошла утечка в интернет более 6,4 миллионов паролей к пользовательским учетным записям. С помощью высокоскоростных графических процессоров специалистам по безопасности удалось восстановить 85% оригиналов паролей. Это стало возможным по нескольким причинам. Во-первых, сервис LinkedIn хранил пароли в форме хешей, созданных по алгоритму SHA1. Несмотря на то, что такие хеши обеспечивают более высокий уровень безопасности, чем созданные по алгоритму MD5, современные графические процессоры способны взламывать хеши SHA1 с поразительной скоростью. Злоумышленники использовали также современные криптографические атаки, такие как применение цепей Маркова для оптимизации подбора паролей или сокрытия атак. Все это преподало веб-разработчикам урок того, как не следует хранить зашифрованные пароли.

В 2012 году были осуществлены похожие атаки на сервисы Last.fm и Gamigo. В результате последнего инцидента на общедоступные ресурсы попали более 8 млн. пользовательских паролей.

Эти атаки показывают, что в эпоху облачных вычислений, когда данные миллионов учетных записей хранятся на одном сервере, а доступ в интернет осуществляется по высокоскоростным каналам, угроза утечки данных приобретает новый масштаб.


5. Кража сертификатов Adobe и вездесущая APT-атака
27 сентября 2012 года компания Adobe объявила об обнаружении двух вредоносных программ, подписанных действительным сертификатом Adobe, предназначенным для подписывания кода компании. Сертификаты Adobe хранились с соблюдением правил обеспечения безопасности в особом защищенном хранилище — аппаратном модуле безопасности (HSM, hardware security module). Это специальное криптографическое устройство, затрудняющее проведение атак. Тем не менее, злоумышленникам удалось взломать сервер, выполнявший запросы о подписывании кода.

Это была одна из чрезвычайно узконаправленных целевых атак, осуществляемых высококвалифицированными злоумышленниками, использующими полный арсенал вредоносных средств. Подобные инциденты часто называют APT-атаками — Advanced Persistent Threat.

Тот факт, что серверы такой крупной и известной компании, как Adobe, были взломаны подобным образом, говорит о необходимости пересмотреть общепринятые представления о границах возможного для злоумышленников столь высокого уровня.


6. Отключение серверов DNSChanger
После ареста киберпреступников в ноябре 2011 года, состоявших за вредоносной программой DNSChanger, управление инфраструктурой, которую они использовали для кражи личных данных пользователей, взяло на себя ФБР.

ФБР согласилось поддерживать серверы до 9 июля 2012 года, чтобы дать жертвам время удалить вредоносную программу со своих машин. Вопреки предполагаемым сценариям вселенской катастрофы, указанный день прошел достаточно спокойно. Это стало возможным благодаря тому, что свои ресурсы и время в проект вложили ФБР, другие правоохранительные органы, частные компании и государственные организации по всему миру. Это был крупномасштабный проект, продемонстрировавший, что успехов в борьбе с киберпреступностью можно добиться, развивая открытое сотрудничество и обмен информацией.


7. Инцидент с Ma(h)di
В конце 2011 и первой половине 2012 года злоумышленниками проводилась кампания по проникновению в компьютерные системы, нацеленная на пользователей в Иране, Израиле, Афганистане и других странах мира. В партнерстве с компанией Seculert было проведено подробное расследование этой операции, дав ей название "Madi" исходя из того, какие строки и идентификаторы использовали киберпреступники.

Вредоносная программа Madi была относительно несложной, однако ей удалось заразить множество компьютеров по всему миру благодаря применению приемов социальной инженерии и технологии Right-To-Left-Override (RTLO). Кампания Madi продемонстрировала еще один чрезвычайно важный аспект операций по кибершпионажу в ближневосточном регионе. Наравне с вредоносными программами, создаваемыми на государственном уровне с неограниченным бюджетом, мало затратные операции могут быть весьма успешны.


8. Уязвимости нулевого дня в Java
После описанного выше инцидента с Flashback, корпорация Apple сделала решительный шаг и приняла решение отключить поддержку Java на компьютерах миллионов пользователей Mac OS X. Патч для уязвимости, использующей Flashback, появился в феврале, а владельцы компьютеров Apple оставались под ударом еще несколько месяцев после этого из-за медлительности компании Apple в отправке патча пользователям операционной системы Mac OS X. Патчи для Mac OS X доставляла на компьютеры пользователей сама корпорация Apple, а не компания ORACLE, как в случае с Windows-пользователями.

В августе 2012 в Java была обнаружена уязвимость нулевого дня (CVE-2012-4681), уже активно используемая в "дикой среде". Эксплойт для этой уязвимости был включен в чрезвычайно популярный набор BlackHole и быстро оказался наиболее эффективным из всех эксплойтов, входящих в этот набор, обеспечив заражение миллионов компьютеров по всему миру.

Во втором квартале 2012 года, проанализировав на наличие уязвимостей ПО, установленное на компьютерах пользователей, обнаружили, что более 30% машин содержат старые уязвимые версии Java.


9. Shamoon
В середине августа появилась подробная информация о крайне разрушительном вредоносном ПО, использованным для атаки на Saudi Aramco — один из крупнейших в мире нефтяных конгломератов. По сообщениям, эта вредоносная программа полностью вывела из строя более 30 000 компьютеров.

В ходе анализа Shamoon было обнаружено, что в эту вредоносную программу встроен переключатель, активирующий деструктивный процесс 15 августа в 8:08 по Гринвичу. Позднее появились сообщения еще об одной атаке той же вредоносной программы, нацеленной на другую ближневосточную нефтяную компанию.

Shamoon реализует идею, заложенную во вредоносную программу Wiper — разрушительный вредоносный функционал, применяющийся для того, чтобы поставить под удар функционирование компании. Как и в случае с Wiper, многие детали остаются неизвестными, в частности, каким образом происходило заражение компьютеров вредоносной программой, и кто за ней стоял.


10. DSL-модемы, проблемы с продукцией Huawei и взломы аппаратных средств
В октябре 2012 года экспертом "Лаборатории Касперского" Фабио Ассолини (Fabio Assolini) была опубликована подробная информация об атаке, осуществляемой киберпреступниками в Бразилии с 2011 года и использующей одну уязвимость в микропрограмме устройств, два вредоносных скрипта и 40 вредоносных DNS-серверов. Для атаки уязвима продукция шести производителей аппаратных средств. Речь идет об осуществляемой непрерывно в течение длительного времени скрытой массовой атаке на DSL-модемы, жертвой которой стали миллионы пользователей интернета в Бразилии.

В марте 2012 года специалисты бразильского центра CERT подтвердили, что в результате атаки злоумышленниками взято под контроль более 4,5 млн. модемов, использующиеся киберпреступниками для осуществления разнообразной мошеннической деятельности.

На конференции T2 в Финляндии эксперт в области безопасности Феликс Линднер (Felix ‘FX’ Lindner) из компании Recurity Labs GmbH сделал доклад об уровне безопасности и уязвимостях, обнаруженных в линейке маршрутизаторов Huawei. Этот доклад появился после того, как администрация США приняла решение провести в отношении компании Huawei расследование с целью определить уровень риска, связанного с потенциальной угрозой шпионажа со стороны этой компании.

Истории с Huawei и бразильскими DSL-маршрутизаторами наглядно показали, что аппаратные маршрутизаторы могут быть источником такого же, если не большего риска IT-безопасности, как и устаревшее или полученное из неизвестных источников и не обновляемое ПО. Они продемонстрировали также, что задача обеспечения защиты стала более комплексной и сложной, чем когда-либо ранее, в некоторых случаях, даже нереализуемой.


Заключение

Несмотря на арест Ксавьера Монсегура (Xavier Monsegur) из хакерской группы LulzSec и многих маститых хакеров из группы Anonymous, хактивисты продолжали свою деятельность. Военные действия в киберпространстве и кибершпионаж получили новое измерение с обнаружением вредоносных программ Flame и Gauss. APT-атаки по-прежнему занимали видные места в новостных лентах. Угрозы нулевого дня и сложные методы проведения атак использовались для взлома компьютерных систем, принадлежащих занимающим высокое положение людям. На пользователей Mac OS X обрушилась эпидемия Flashfake — самая масштабная атака на компьютеры под управлением Mac OS X на сегодняшний день. А крупные компании пытались бороться с разрушительным вредоносным ПО, которое вывело из строя тысячи компьютеров.

Наиболее значительные игроки 2011 года остались прежними и в 2012 году:

  • группы хактивистов;
  • компании, работающие в области IT-безопасности;
  • государства, сводящие счеты друг с другом с помощью кибершпионажа;
  • крупнейшие разработчики ПО и компьютерных игр, такие как Adobe, Microsoft, Oracle и Sony;
  • правоохранительные органы и киберпреступники, использующие традиционные методы;
  • Google, как производитель операционной системы Android;
  • корпорация Apple — благодаря своей платформе Mac OS X.