Pandalabs: Квартальный отчет в сфере IT-безопасности в 1 квартале 2013 года


PandaLabsАнтивирусная лаборатория PandaLabs проанализировала события и инциденты IT-безопасности в период с января по март 2013 года. В результате было отмечено, что начало года было ознаменовано несколькими серьезными кибер-атаками, такими как:

  • взлом Facebook и Twitter-аккаунтов;
  • взлом BBC, Burger King;
  • атаку на Apple и Microsoft.

Положительным моментом начала года стал арест группы хакеров, обвиняемых в вымогательстве с помощью известного "полицейского вируса".


Android угрозы
Вредоносные атаки, направленные на мобильные платформы, в большинстве случаев направлены на операционную систему Android, которая завоевала большую долю на рынке мобильного ПО.

В первом квартале года помимо обычных атак появились и новые техники заражения мобильных устройств. Выявленный образец вредоносной программы под Android, который скрывался внутри Google Play, мог заражать не только мобильные телефоны, но и компьютеры через подсоединенные к ним смартфоны и планшетники.

Специалисты компании утверждают, что из-за развития и популярности мобильных устройств, начинают совершенствоваться и кибер-войны и шпионаж.


"Полицейский вирус" или снова мошенничество
В феврале бригадой технологических расследований в Национальной полиции Испании, совместно с Европолом и Интерполом, были обнаружены многочисленные группировки киберпреступников, ответственных за "Полицейский вирус". Однако, как выяснилось позже, помимо задержанных группировок остались еще группы, т.к. через некоторое время атаки возобновились.

Данные наблюдения подтвердились после изучения кода февральского вредоноса и обнаруженного после задержания группировки. Изучение показало, что в коде двух обнаруженных в разное время версиях "Полицейского вируса", существуют значительные различия. Другими словами, "Полицейский вирус" все еще будет появляться время от времени в сети Интернет, поэтому пользователям необходимо быть "начеку".

Kol-vo zarajenii policeiskim virusom posle aresta bandi
Количество заражений двумя вариантами "Полицейского вируса" после ареста главы банды


Атака на Twitter, Facebook, Apple и Microsoft
1 февраля социальная сеть Twitter стала жертвой атаки. В результате хакеры получили доступ к данным более 250 000 пользователей Twitter. Через пару недель Facebook опубликовал статью "Защита людей в Facebook", в которой признала, что их система была подвержена сложной атаке. В результате этой атаки данные пользователей не пострадали. Еще через несколько дней после статьи Facebook представители Apple сообщили, что на их компанию также произвели подобную атаку. И только после признания компании Apple о совершенной на нее атаке, Microsoft признался, что также подвергся этой атаке.

Общее, что было при проведении этих атак, стало использование ранее неизвестной уязвимости в Java, для которой не были доступны патчи. Такие уязвимости называют - уязвимости "нулевого дня".


Java
Сегодня большинство инфекций осуществляется через "комплекты эксплойтов", которые позволяют заражать компьютеры пользователей с помощью уязвимостей, о которых еще ничего неизвестно. Более 90% из них приходится на уязвимости Java в браузерах. Атаки на Microsoft, Apple, Facebook и Twitter использовали Java. Большинство заражений компьютеров "полицейским вирусом" стало по причине несвоевременного обновления Java. Чтобы избежать подобных заражений, достаточно только удалить Java из браузера. При необходимом наличии Java в браузере, можно использовать его на отдельном браузере, специально установленном для данной задачи.


Кибер-атаки
В первом квартале было зафиксировано большое количество и разнообразие атак. Примерами атак могут послужить:

  • Evernote, ставшая жертвой вторжения, и которое побудило компанию сделать заявление и призвать более 50 млн. пользователей изменить свой пароль.

  • атака на сайт Федеральной резервной системы США. Есть веские основания предполагать, что атака была исполнена хакерской группировкой Anonymous.

  • NASA также стала жертвой вторжения, а на популярном веб-сайте Pastebin была выложена внутренняя информация, включающая адреса электронной почты, реальные имена и пароли.


Социальные сети
На протяжении первого квартала нынешнего года были взломаны различные аккаунты в Twitter. Одним из наиболее известных случаев, стал инцидент, связанный с Burger King, в результате чего хакеры смогли перехватить пароль к аккаунту и взять его под свой контроль. Ими была изменена фоновая картинка на картинку McDonalds, а также было написано сообщение, что компания перешла к своему основному конкуренту.

Twitter-аккаунт известной автомобильной компании Jeep, также подвергся подобной атаке, но в этом случае сообщение гласило, что компания была куплена Cadillac. Были атаки на аккаунты в Twitter, носившие политический характер. Группа киберпреступников, называющих себя "Сирийской электронной армией", сумела взломать аккаунты, принадлежащие некоторым крупным организациям. Сперва были произведены фишинговые атаки, которые позволили получить пароли, а затем уже были взломаны аккаунты. Среди их жертв оказались Human Rights Watch, французский новостной канал France 24 и служба погоды в BBC.


Кибер-войны
В первом квартале 2013 года азиатский гигант захватил все первые полосы. 30 января The New York Times поместила на первой полосе статью об атаке на них. В результате взлома, хакерами был получен доступ к компьютерам компании и они смогли шпионить за издательством на протяжении нескольких месяцев. Атака была произведена сразу же после выхода в газете статьи о состоянии премьер-министра Госсовета КНР Вэнь Цзябао и его семьи.

Через день The Wall Street Journal заявила о направленной на нее атаке со стороны китайских хакеров. Однако в данном случае претензии в отношении причастности китайских хакеров было необоснованны.

В обоих случаях хакеры сумели получить доступ ко всем типам данных (данные о клиентах и пр.). Однако они больше сфокусировали свое внимание только на получении информации о журналистах и сотрудниках, пытаясь найти любые ссылки на журналистские расследования, связанные с Китаем, и в частности, пытаясь определить источников информации для газеты.

На следующий день после выхода статьи The Wall Street Journal, другой медиа-гигант США, The Washington Post заявила, что с подобной атакой они сталкивались в 2011 году. По предположениям, атака 2011 года была проведена также из Китая.

Через несколько недель, Mandiant опубликовала 76-страничный отчет, в котором рассказывалось, что воинская Часть 61398 китайской армии специализируется на кибер-шпионаже. В докладе приведены свыше 3000 данных, свидетельствующих, что данная часть работает уже с 2006 года, и осуществила кражу информации не менее чем у 141 организации во всем мире.

Как бы там не было, определить, кто реально стоит за каждой атакой, представляется крайне сложным, даже в случаях с простыми киберпреступлениями. А когда дело доходит до кибершпионажа, то это еще более осложняется, т.к. обычно за атакой стоят высококвалифицированные  специалисты, способные заметать свои следы.