Bookmark and Share
Page Rank

ПОИСКОВЫЙ ИНТЕРНЕТ-ПОРТАЛ САДОВОДЧЕСКИХ И ДАЧНЫХ ТОВАРИЩЕСТВ "СНЕЖИНКА"

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.



Развитие информационных угроз в 2013-2014 годах

Сообщений 1 страница 4 из 4

1

Развитие информационных угроз в первом квартале 2013 года

Цифры квартала

По данным KSN, в первом квартале 2013 года продукты «Лаборатории Касперского» обнаружили и обезвредили 1 345 570 352 вредоносных объектов.

Обнаружено 22750 новых модификаций вредоносных программ для мобильных устройств — это более половины от общего числа модификаций, обнаруженных за весь 2012 год.

40% отраженных в первом квартале эксплойтов используют уязвимости в продуктах компании Adobe.

Почти 60% всех вредоносных хостов расположено в трех странах: в США, России и в Нидерландах.

Обзор ситуации

Первый квартал 2013 года оказался весьма богат на различные инциденты в области информационной безопасности. В рамках данного отчета мы расскажем о наиболее значимых из этих инцидентов.

Кибершпионаж и кибероружие

Red October

В самом начале 2013 года «Лаборатория Касперского» опубликовала большой отчет с результатами исследования глобальной операции по кибершпионажу, получившей название Red October. Целями этой атаки стали различные государственные структуры, дипломатические организации и компании в разных странах мира. Анализ файлов и восстановление схемы атаки заняли не один месяц, но в результате этого трудоемкого исследования нам удалось выявить немало любопытных фактов.

Атакующие были активны на протяжении последних пяти лет. Используемая ими многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации. Для контроля и управления зараженными системами они создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах. Инфраструктура серверов управления представляет собой цепочку прокси-серверов.

Помимо традиционных целей атак (рабочие станции) Red October способен воровать данные с мобильных устройств; собирать информацию с сетевого оборудования; осуществлять сбор файлов с USB-дисков; красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.

MiniDuke

В феврале компания FireEye опубликовала анализ новой вредоносной программы, проникавшей в систему с использованием 0-day уязвимости в Adobe Reader (CVE-2013-0640). Эксплуатирующий эту уязвимость эксплойт стал первым эксплойтом, способным обходить «песочницу» Acrobat Reader. Он загружал бэкдор, основным назначением которого была кража информации с зараженной системы. После получения образцов данного вредоносного ПО для анализа, мы назвали зловред «ItaDuke».

Через некоторое время мы обнаружили еще несколько похожих инцидентов, в которых использовалась та же уязвимость, однако зловреды были уже другими. Используемая злоумышленниками вредоносная программа получила имя «MiniDuke». Расследование этих инцидентов было проведено совместно с венгерской компанией CrySys Lab. Среди жертв MiniDuke оказались государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии, исследовательский фонд в Венгрии, а также исследовательский институт, два научно-исследовательских центра и медицинское учреждение в США. Всего нам удалось обнаружить 59 жертв в 23 странах мира.

Одной из самых любопытных характеристик атак MiniDuke стало сочетание зловреда, код которого был написан с использованием нетривиального и сложного подхода «старой школы», и относительно новых, но уже зарекомендовавших себя технологий эксплуатации уязвимостей в Adobe Reader.

Атакующие рассылали вредоносные PDF-документы с эксплойтами для 9-й, 10-й и 11-й версий Adobe Reader. Документы содержали информацию о семинаре по правам человека (ASEM), данные о внешней политике Украины, а также планы стран-участниц НАТО. В случае удачной отработки эксплойта, на компьютер жертвы попадал уникальный для каждой системы бэкдор размером всего 20 Кб, написанный на Assembler.

В этой атаке злоумышленники использовали Twitter: для получения адреса C&C-сервера и последующей загрузки новых вредоносных модулей бэкдор искал специальные твиты от заранее созданных аккаунтов. Как только заражённая система устанавливала соединение с сервером управления, она начинала получать зашифрованные модули (бэкдоры) в составе GIF-файлов. Эти модули обладали достаточно тривиальным функционалом: копирование, перемещение и удаление файлов, создание директорий, загрузка новых вредоносных программ.

APT1

В феврале компания Mandiant опубликовала большой PDF-отчет об атаках некой группы китайских хакеров, получившей название APT1. Термин APT (Advanced Persistent Threat по-прежнему у всех на слуху. Иногда им характеризуют угрозы или атаки, которые «продвинутыми» можно назвать с очень большой натяжкой. Однако в случае атак группы APT1 данное определение более чем уместно — развернутая китайскими хакерами кампания была весьма масштабной и серьезной.

В начале отчета Mandiant заявляет, что APT1 предположительно является одним из подразделений армии КНР. Компания даже приводит возможный физический адрес подразделения, строит предположения о его численности и используемой инфраструктуре. Mandiant предполагает, что группа APT1 действует с 2006 года и за 6 лет ей удалось украсть терабайты данных, как минимум, из 141 организации. Пострадавшие организации расположены, по большей части, в англоязычных странах. Безусловно, такой масштаб атак невозможен без ощутимой поддержки сотен человек и развитой современной инфраструктуры.

Далеко не в первый раз на разных уровнях появляются обвинения Китая в осуществлении кибератак на государственные органы и организации разных стран мира. Нет ничего удивительного в том, что китайское правительство в достаточно резкой форме отвергло все предположения компании Mandiant.

Отметим, что до настоящего времени еще ни одна страна не взяла на себя ответственность за какую-либо шпионскую кибератаку или не призналась под давлением общественности и весомых доказательств в осуществлении кибершпионажа.

TeamSpy

В марте 2013 года была опубликована информация об очередной сложной атаке, целями которой стали политики самого высокого уровня и борцы за права человека в странах СНГ и Восточной Европы. Операция получила название «TeamSpy», так как для контроля компьютеров жертв атакующая сторона использовала программу TeamViewer, предназначенную для удаленного администрирования. Основной целью атакующих был сбор информации на компьютере пользователя, начиная от снятия скриншотов и заканчивая копированием файлов с расширением .pgp, в том числе паролей и ключей шифрования.

Хотя используемый в ходе операции TeamSpy набор инструментов, да и в целом сама операция, выглядят менее изощренными и профессиональными по сравнению с вышеупомянутой операцией Red October, атаки TeamSpy были небезуспешны.

Stuxnet 0.5

Инциденты, исследование которых занимает несколько месяцев упорного труда, в антивирусной индустрии происходят не так часто. И еще реже случаются события, интерес к которым не утихает и по прошествии почти трех лет — такие, как обнаружение Stuxnet. Несмотря на то, что этот червь исследовали многие антивирусные компании, по-прежнему остается немало модулей, которые изучены слабо или не исследованы вовсе. Не стоит также забывать о том, что у Stuxnet было несколько версий, самая ранняя из которых появилась в 2009 году. Эксперты не раз высказывали предположение о том, что существовали (или существуют) более ранние версии червя, однако до определенного времени доказательств этого ни у кого не было.

Но в итоге эти предположения подтвердились. В конце февраля компания Symantec опубликовала исследование новой «старой» версии червя: Stuxnet 0.5. Эта версия оказалась наиболее ранней из известных модификаций Stuxnet: она была активна между 2007 и 2009 годами. Помимо этого, данная версия обладает очень любопытными характеристиками:

Во-первых, она была создана на той же платформе, что и Flame — но не на Tilded, как последующие модификации Stuxnet.

Во-вторых, червь распространялся с помощью заражения файлов, создаваемых с помощью ПО Simatic Step 7 и не содержал никаких эксплойтов для продуктов Microsoft.

В-третьих, Stuxnet 0.5 перестал распространяться после 4 июля 2009 года
.
И, наконец, именно в Stuxnet 0.5 присутствует полноценная реализация работы с ПЛК Siemens 417 (в последующих версиях червя данный функционал не был полным).

Результаты исследования версии Stuxnet 0.5 дополнили информацию об этой вредоносной программе. Скорее всего, эта информация будет пополняться и в дальнейшем. То же самое можно сказать и об обнаруженных после Stuxnet образцах кибероружия или средств для кибершпионажа — мы знаем о них далеко не всё.

Целевые атаки

Атаки на тибетских и уйгурских активистов

В первом квартале 2013 года продолжились целевые атаки на тибетских и уйгурских активистов. Для достижения своих целей атакующие использовали все возможные средства — были атакованы пользователи Mac OS X, Windows и Android.

В январе-феврале мы обнаружили существенное увеличение числа целевых атак на уйгуров — пользователей Mac OS X. Все эти атаки использовали уязвимость CVE-2009-0563, которая была закрыта компанией Microsoft почти 4 года назад. Эксплойт к этой уязвимости рассылался в документах MS Office, которые легко распознать благодаря обозначенному в свойствах автору — «captain». В случае успешного исполнения эксплойт осуществляет загрузку бэкдора для Mac OS X в виде Mach-O файла. Это маленький бэкдор, который имеет очень ограниченные функциональные возможности: он устанавливает другой бэкдор и программу для кражи личных данных (контактов).

Атаки на тех же тибетских активистов были зафиксированы нами и в середине марта 2013 года. На этот раз атакующие использовали упомянутый выше эксплойт CVE-2013-0640 (ранее использованный в атаках ItaDuke) для обхода «песочницы» в Acrobat Reader X и заражения целевых компьютеров.

В конце марта 2013 года в данную волну попали также и пользователи Android-устройств. После взлома электронного ящика известного тибетского активиста, от его имени началась рассылка писем с вложениями в виде APK-файла, который оказался вредоносной программой для Android (продукты «Лаборатории Касперского» распознают ее как Backdoor.AndroidOS.Chuli.a). Зловред тайно сообщает на командный сервер об успешном заражении, а затем начинает собирать хранящуюся на устройстве информацию: контакты, журналы вызовов, SMS-сообщения, данные GPS, информацию об устройстве. Потом зловред шифрует украденные данные при помощи системы Base64 и загружает их на командный сервер. Проведенное нами исследование командного сервера указывает как минимум на то, что атакующие говорят по-китайски.

Буквально через несколько дней после публикации результатов нашего расследования исследовательская организация The Citizen Lab опубликовала материалы своего исследования похожего инцидента. Целью атаки также были лица, так или иначе связанные с Тибетом и тибетскими активистами, а используемая вредоносная программа имела схожий функционал (кража персональной информации), но являлась зараженной версией мессенджера Kakao Talk.

Взломы корпоративных сетей

Первый квартал оказался, к сожалению, богатым на взломы корпоративной инфраструктуры и утечки паролей. Среди пострадавших компаний — Apple, Facebook, Twitter, Evernote и другие.

В начале февраля Twitter официально заявил, что злоумышленникам удалось украсть данные (в том числе, и хэши паролей) о 250 000 пользователей социальной сети. Через две недели сотрудники Facebook сообщили в блоге, что компьютеры нескольких сотрудников компании при посещении сайта для мобильных разработчиков были заражены с помощью эксплойтов. Компания заявляет, что это была не обычная атака, а именно целевая, и ее задачей являлось проникновение в корпоративную сеть Facebook. К счастью, по словам представителей компании, Facebook удалось избежать утечек какой-либо пользовательской информации.

Буквально через несколько дней корпорация Apple заявила, что на нескольких сотрудников компании была произведена точно такая же атака при посещении сайта для мобильных разработчиков. По информации Apple никаких утечек данных при этом не произошло.

А в начале марта компания Evernote заявила, что 50 млн. паролей будут сброшены для защиты данных пользователей. К такому решению Evernote подтолкнул взлом их внутренней сети и попытки злоумышленников получить доступ к хранящимся там данным.

В 2011 году мы стали свидетелями массовых взломов сетей различных компаний и массовых утечек пользовательских данных. Кому-то могло показаться, что подобные атаки сошли на нет, но это не так: злоумышленники по-прежнему заинтересованы во взломе крупных компаний и получении конфиденциальных (в том числе пользовательских) данных.

Мобильные зловреды

Отчет, посвященный развитию угроз для смартфонов, планшетов и прочих мобильных устройств в 2012 году, мы опубликовали в феврале 2013 года. По нашим данным, в 2012 году Android стал основной целью вирусописателей, а число угроз в течение года стремительно росло. Продолжился ли рост числа мобильных зловредов в первом квартале 2013 года? Да, безусловно.

Немного статистики

Январь, по традиции, стал месяцем затишья у мобильных вирусописателей — «всего лишь» 1263 новых вариантов зловредов. Но в течение двух последующих месяцев мы обнаружили более 20 тысяч новых образцов вредоносного ПО для мобильных устройств. В феврале было обнаружено 12 044 модификации мобильных зловредов; в марте — 9443. Для сравнения: за весь 2012 год нами было найдено 40 059 самплов вредоносных программ для мобильных устройств.

SMS-троянцы, занимающиеся несанкционированной отправкой SMS-сообщений на короткие платные номера, по-прежнему остаются наиболее распространенной категорией мобильного вредоносного ПО — на их долю приходится 63,6% от всех атак.

99,9% обнаруженных новых мобильных зловредов нацелены на Android.

По данным KSN TOP 20 популярных у злоумышленников мобильных вредоносных и потенциально нежелательных программ для Android выглядит следующим образом.

http://i47.fastpic.ru/big/2013/0622/36/b6569173a87d1207ef78124a5053ed36.jpg

Первую строчку занимает Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Этот зловред нацелен в основном на русскоговорящих пользователей, пытающихся скачать с сомнительных сайтов какое-либо ПО для своих Android-устройств. Часто на таких сайтах под видом полезного софта злоумышленники распространяют вредоносные программы.

Второе место занимает рекламный троянец Trojan.AndroidOS.Plangton.a (18,78%). Основной ареал его распространения — европейские страны, где он используется разработчиками бесплатного ПО для монетизации продукта за счет показа рекламы.

Третью и четвертую позиции заняли SMS-троянцы из семейства Opfake: Trojan-SMS.AndroidOS.Opfake.a (12,23%) и Trojan-SMS.AndroidOS.Opfake.bo (11,49%). Первые модификации зловредов семейства Opfake маскировались под новую версию популярного мобильного браузера Opera. Сегодня вредоносные программы из этого семейства выдают себя за различные новые версии популярного софта (Skype, Angry Birds и т.д.).

Инциденты

В мобильном сегменте среди наиболее интересных вирусных инцидентов в первом квартале 2013 года хотелось бы остановиться на двух:

новый зловред под названием Perkele или Perkel, охотящийся за mTAN,

ботнет MTK.

О еще одном важном инциденте — целевых атаках на пользователей Android — мы рассказали выше.

Perkel

В первой половине марта известный журналист Брайан Кребс (Brian Krebs) обнаружил на русскоязычных андерграундных форумах информацию о новом банковском троянце для мобильных устройств, якобы нацеленном на пользователей из 69 стран и уже заразившем немалое количество устройств по всему миру. Кребс предположил, что этот троянец создан русскоговорящими вирусописателями, поскольку набор инструментов для его создания распространяется через русскоязычные форумы.

Такие новости, безусловно, привлекают внимание и специалистов из антивирусных компаний, но до определенного момента самих образцов вредоносного ПО ни у кого не было.

Через несколько дней первые модификации Perkel были обнаружены. После проведенного нами анализа выяснилось, что в группе вредоносных программ, основной целью которых является кража содержащих mTAN банковских SMS, действительно произошло пополнение. Функционал Perkel обычен для программ этой группы, за двумя исключениями:

1. Для коммуникаций с командным сервером и загрузки украденной информации (помимо SMS с mTAN зловред также собирает информацию о самом устройстве) Perkel, как правило, использует не SMS, а HTTP.

2. Зловред способен самообновляться, загружая новую копию себя с удаленного сервера.

Ботнет MTK

В середине января появились сообщения о существовании миллионного ботнета, созданного на базе Android-устройств, принадлежащих, в основном, китайским пользователям. Оказалось, что за ботнет ответственна распространенная в Китае вредоносная программа («Лаборатория Касперского» детектирует ее как Trojan.AndroidOS.MTK). Распространяется она через неофициальные китайские магазины приложений в комплекте со взломанными популярными играми. Помимо кражи информации о смартфоне, пользовательских контактов и сообщений, зловреды данного семейства занимаются накруткой популярности различных приложений. Для этого троянцы осуществляют скрытую загрузку и установку приложений на мобильное устройство жертвы, а также ставят максимальную оценку этому ПО на сайте магазина. После этого они сообщают о проделанных действиях на удаленный сервер. Приложений для Android становится все больше, и зачастую им сложно завоевывать популярность у пользователей. Именно поэтому такие нелегальные способы накрутки становятся все более распространенными.

Отзыв сертификатов TurkTrust

В первом квартале 2013 года произошел очередной инцидент с корневыми сертификатами. Компании Microsoft, Mozilla и Google одновременно объявили об отзыве двух корневых сертификатов удостоверяющего центра TurkTrust из базы, поставляемой в составе их веб-браузеров.

Как оказалось, удостоверяющий центр TurkTrust еще в августе прошлого года выписал двум организациям вместо обычных SSL-сертификатов вторичные корневые сертификаты. Их можно использовать для создания SSL-сертификатов для любого веб-ресурса в интернете, причем браузеры посетителей ресурса будут воспринимать эти сертификаты как доверенные.

В декабре корпорация Google обнаружила, что один из выписанных от лица сервиса TurkTrust SSL- сертификатов для *.google.com был задействован в атаках типа «man-in-the middle» («человек посередине»). Естественно, факт атаки на сервисы Google не исключает того, что другие сертификаты, выписанные этим же путем, могли быть задействованы в атаках на сервисы других компаний.

Очередной серьезный инцидент, связанный с корневыми сертификатами и вопросами доверия к ним, показал, что проблема вредоносного использования легальных сертификатов по-прежнему актуальна. Но на данный момент вредоносное использование таких сертификатов выявляется уже после атаки, потому что эффективных способов предотвращать подобные инциденты пока нет.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Угрозы в интернете

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.

Детектируемые объекты в интернете

В первом квартале 2013 года решения «Лаборатории Касперского» отразили 821 379 647 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.

TOP 20 детектируемых объектов в интернете

http://i46.fastpic.ru/big/2013/0622/33/e8741608b4d42facded973bf331dab33.jpg

*Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

**Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Первое место в TOP 20 детектируемых объектов вновь заняли вредоносные ссылки из черного списка. По сравнению с четвертым кварталом 2012 года их доля выросла на 0,5%, и в итоге на такие ссылки приходится 91,4% всех срабатываний веб-антивируса. Также заметим, что использование средств KSN для доставки моментальных апдейтов на компьютеры пользователей через «облако» позволило нам заблокировать 6,6% вредоносных ссылок. Эти ссылки вели на недавно взломанные или созданные злоумышленниками сайты, на которые уже стали переходить пользователи.

По-прежнему в первой пятерке детектируемых объектов вердикты Trojan.Script.Generic (2-е место) и Trojan.Script.Iframer (4-е место). Эти вредоносные объекты блокируются при попытках осуществления drive-by атак, которые сегодня являются одним из наиболее распространенных методов заражения компьютеров пользователей.

Седьмое место занимает Hoax.SWF.FakeAntivirus.i. По сути, это фальшивый антивирус, который размещается на различных сайтах сомнительного содержания. При посещении таких сайтов в окне пользовательского браузера проигрывается флэш-анимация, имитирующая работу антивирусного программного обеспечения. По итогам «проверки» компьютер пользователя оказывается «заражен» огромным количеством опаснейших вредоносных программ. Для избавления от них злоумышленники тут же предлагают специальное защитное решение, жертве обмана нужно только отправить SMS на короткий номер и получить в ответ ссылку, по которой они якобы могут скачать ПО.

Уже несколько месяцев подряд в TOP 20 оказывается Hoax.HTML.FraudLoad.i — в первом квартале он занял 15-ое место. С этой угрозой сталкиваются в основном любители скачивать фильмы, сериалы и программное обеспечение с сомнительных ресурсов. Как Hoax.HTML.FraudLoad детектируются веб-страницы, на которых пользователи якобы могут скачать нужный контент, но для этого им необходимо предварительно отправить платное SMS-сообщение или ввести номер своего мобильного телефона для оформления платной подписки. Если пользователь выполняет указанные требования, то вместо искомого контента он получает либо текстовый файл c инструкцией по использованию поисковиков, либо, что еще хуже, вредоносную программу.

На 16-е место попал эксплойт Exploit.Win32.CVE-2011-3402.c. Он эксплуатирует уязвимость в библиотеке win32k.sys (TrueType Font Parsing Vulnerability). Отметим, что эта же уязвимость использовалась для распространения червя Duqu.

Страны, на ресурсах которых размещены вредоносные программы

Данная статистика показывает, в каких странах мира физически расположены сайты, с которых загружаются вредоносные программы. Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

81% веб-ресурсов, используемых для распространения вредоносных программ, расположены в десяти странах мира. За последние полгода этот показатель уменьшился на 5% пунктов: на 3% в первом квартале 2013 года и на 2% — в четвертом квартале 2012 года.

http://www.securelist.com/ru/images/vlill/q1_malware2013_pic01.png
Распределение по странам веб-ресурсов, на которых размещены вредоносные программы, первый квартал 2013 г.

В рейтинге стран по количеству вредоносных хостингов Россия (19%, -6%) и США (25%, +3%) вновь поменялись местами — США вернули утраченную ранее первую позицию. Доли остальных стран по сравнению с четвертым кварталом практически не изменились.

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи продуктов «Лаборатории Касперского» в каждой стране сталкивались со срабатыванием веб-антивируса.

http://www.securelist.com/ru/images/vlill/q1_malware2013_pic02.png
20 стран*, в которых отмечен наибольший риск заражения компьютеров через интернет**, первый квартал 2013 г.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).

**Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

По сравнению с четвертым кварталом 2012 года первая десятка стран, жители которых чаще других сталкиваются с вредоносными программами, практически не изменилась — она по-прежнему состоит из стран, ранее входивших в состав СССР. Россия (57%) занимает третье место в этом списке. Однако некоторые изменения произошли во второй десятке: в первом квартале 2013 года в рейтинг вошли Тунис (43,1%), Алжир (39%). Единственная западноевропейская страна, которая попала в TOP 20, — Италия (39,9%, 16-е место).

Все страны можно разбить на несколько групп.

1. Группа максимального риска — страны, где более 60% пользователей по крайней мере один раз столкнулись со зловредами в интернете. В первом квартале 2013 года в эту категорию стран с показателем 60,4% попал только Таджикистан.

2. Группа повышенного риска. В эту группу с результатом 41-60% вошли 13 стран из TOP 20 (столько же, сколько и в четвертом квартале 2012). За исключением Вьетнама, Туниса и Шри-Ланки, замыкающих список группы, в нее входят страны постсоветского пространства, в частности, Армения (59,5%), Россия (57%), Казахстан (56,8%) Азербайджан (56,7%), Белоруссия (49,9%) и Украина (49%).

3. Группа риска. В эту группу с показателями 21-40% попали 102 страны, в том числе Италия (39,9%), Германия (36,6%), Франция (35,8%), Бельгия (33,8%), Судан (33,1%), Испания (32,5%), Катар (31,9%), США (31,6%), Ирландия (31,5%), Англия (30,2%), ОАЭ (28,7%) и Нидерланды (26,9%).

4. Группа самых безопасных при серфинге в интернете стран. В эту группу в первом квартале 2013 года вошли 28 стран с показателями 12,5-21%. Меньше всего (менее 20%) процент пользователей, атакованных при просмотре страниц в интернете, в африканских странах, где интернет слабо развит. Исключением являются Япония (15,6%) и Словакия (19,9%).

http://www.securelist.com/ru/images/vlill/q1_malware2013_pic03.png
Риск заражения через интернет компьютеров пользователей в разных странах, первый квартал 2013 года

В среднем 39,1% компьютеров всех пользователей KSN в течение квартала хотя бы раз подвергались атаке во время серфинга в интернете. Отметим, что средняя доля атакованных машин по сравнению с четвертым кварталом 2012 года увеличилась на 1,5%.

Локальные угрозы

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

Детектируемые объекты, обнаруженные на компьютерах пользователей

В первом квартале 2013 года наши антивирусные решения успешно заблокировали 490 966 403 попыток локального заражения компьютеров пользователей, участвующих в Kaspersky Security Network.

Детектируемые объекты, обнаруженные на компьютерах пользователей: TOP 20

http://i46.fastpic.ru/big/2013/0622/8e/439fb400e1be5b397f93ad4be474798e.jpg

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

В этом рейтинге, как и прежде, с большим отрывом лидируют три вердикта.

Вредоносные программы DangerousObject.Multi.Generic, обнаруженные с помощью «облачных» технологий, оказались в первом квартале 2013 года на 1-м месте с показателем 18,51% — это на 1,8% больше, чем в четвертом квартале 2012 года. «Облачные» технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке «Лаборатории Касперского» уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

На втором месте Trojan.Win32.Generic (16%) — вердикт, выдаваемый эвристическим анализатором при проактивном детектирования множества вредоносных программ. На третьем — Trojan.Win32.AutoRun.gen (13,6%). Так детектируются вредоносные программы, использующие автозапуск.

Рекламные программы семейства AdWare.Win32.Bromngr дебютировали в рейтинге в 4-м квартале 2012 года на 8-м месте. В первом квартале 2013 года они заняли сразу две позиции в TOP 20 (14-е и 18-е места). Все модификации данных рекламных модулей представляют собой библиотеки DLL, которые являются надстройками к популярным браузерам (Internet Explorer, Mozilla Firefox, Google Chrome). Как и подавляющее большинство подобных программ, этот модуль изменяет поисковые настройки пользователя, стартовую страницу, а также периодически показывает во всплывающих окнах различную рекламу.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Приведенные ниже цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. У пользователей KSN, предоставляющих нам информацию, вредоносный файл по крайней мере один раз был найден на каждом третьем (31,4%) компьютере — на жестком диске или на съемном носителе, подключенном к нему. Это на 0,8% меньше, чем в прошлом квартале.

http://www.securelist.com/ru/images/vlill/q1_malware2013_pic04.png
TOP 20 стран* по уровню зараженности компьютеров**, первый квартал 2013 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Уже четыре квартала подряд первые двадцать позиций в этом рейтинге занимают страны Африки, Ближнего Востока и Юго-Восточной Азии. Доля компьютеров с заблокированным вредоносным кодом у лидера — Бангладеш — вновь уменьшилась, на этот раз на 11,8%, и составила 67,8%. (По итогам третьего квартала 2012 года этот показатель составлял 90,9%.)

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

1. Максимальный уровень заражения (более 60%): по итогам первого квартала 2013 года данная группа теперь состоит всего лишь из двух стран: Бангладеш (67,8%) и Вьетнам (60,2%).

2. Высокий уровень заражения (41-60%): 41 страна мира, в том числе Ирак (50,9%), Сирия (45,5%), Мьянма (44,5%), Ангола (42,3%) и Армения (41,4%).

3. Средний уровень заражения (21-40%): 60 стран, в том числе Китай (37,6%), Катар (34,6%), Россия (34,3%) Украина (33,6%), Ливан (32,4%), Хорватия (26,1%), Испания (26%), Италия (23,8%), Франция (23,4%), Кипр (23,3%).

4. Наименьший уровень заражения (до 21%): 31 страна, среди которых Бельгия (19,3%), США (19%), Великобритания (18,6%), Австралия (17,5%), Германия (17,7%), Эстония (17,8%), Нидерланды (16,2%), Швеция (14,6%), Дания (12,1%) и Япония (9,1%).

http://www.securelist.com/ru/images/vlill/q1_malware2013_pic05.png
Риск локального заражения компьютеров в разных странах, первый квартал 2013 г.

В десятку самых безопасных по уровню локального заражения стран попали:

http://i48.fastpic.ru/big/2013/0622/4b/6a0e4c08821f09053988d064c69f334b.jpg

По сравнению с четвертым кварталом 2012 года в этом списке появилось две новых страны — Нидерланды и Норвегия, которые вытеснили Люксембург и Пуэрто-Рико.

Уязвимости

В первом квартале 2013 года на компьютерах пользователей KSN было обнаружено 30 901 713 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали 8 различных уязвимостей.

Десять наиболее распространенных уязвимостей представлены в таблице ниже.

http://i48.fastpic.ru/big/2013/0622/b5/1742b0ad3136de8698fbb816791443b5.jpg

*За 100% взяты все пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость.

Наиболее распространенным оказались уязвимости в Java, которые были обнаружены на 45,26% всех компьютеров. А замкнула рейтинг достаточно старая, но крайне опасная уязвимость в Adobe Flash Player. Хотя эта уязвимость была обнаружена еще в октябре 2010 года, мы до сих пор находим ее на 11,21% уязвимых компьютеров пользователей.

Первые пять позиций занимают уязвимости в продуктах Oracle и Adobe, и, как уже было сказано выше, за Adobe также последняя строчка рейтинга. Позиции с 6-й по 9-ю распределились между уязвимостями в популярных программных продуктах от разных компаний.

http://www.securelist.com/ru/images/vlill/q1_malware2013_pic06.png
Производители продуктов с уязвимостями из TOP 10, первый квартал 2013 года

Эксплуатация любой уязвимости из TOP 10 фактически приводит к исполнению произвольного кода в системе.

http://www.securelist.com/ru/images/vlill/q1_malware2013_pic07.png
Распределение уязвимостей из TOP 10 по типу воздействия на систему, первый квартал 2013 г.

Подобные уязвимости всегда пользуются популярностью у злоумышленников, и использующие их эксплойты стоят на «черном» рынке дороже большинства других.

http://www.securelist.com/ru/analysis/2 … _2013_goda

0

2

Kaspersky Security Bulletin 2013. Развитие угроз в 2013 году

И снова пришло время для публикации нашего традиционного обзора ключевых событий, ставших определяющими для ситуации в области IT-безопасности в 2013 году. Но давайте сначала вспомним, что, согласно нашему прогнозу, составленному на основе тенденций предыдущего года, должно было определять ситуацию в 2013 году.

Целевые атаки и кибершпионаж
Наступление «хактивистов»
Кибератаки, финансируемые государствами
Использование средств слежения правоохранительными органами
Облачно, вероятны вредоносные атаки
Уязвимости и эксплойты
Кибервымогательство
Кому верить?
Зловреды для Mac OS
Мобильные зловреды
Кто украл мою частную жизнь?!
Теперь перейдем к наиболее заметным событиям и явлениям 2013 года. Вы можете сами решить, насколько точно нам удалось предсказать будущее.

1. 10 важнейших инцидентов IT-безопасности 2013 года

Вот наша десятка важнейших инцидентов IT-безопасности в 2013 году.

Новые старые кампании по кибершпионажу

Читатель может полагать, что, заглянув в ретроспективный обзор громких инцидентов 2013 года, он прочтет о событиях, которые произошли в этом году.  Но с целевыми атаками не все так просто. Часто такие кампании берут свое начало гораздо раньше, чем о них узнают, анализируют и пишут отчеты. Возможно, вы вспомните, что так было со Stuxnet – чем больше мы исследовали его, тем больше назад отодвигалась нами дата его появления. Это верно и для большинства кампаний по кибершпионажу этого года.

Red October – кампания по кибершпионажу, нанесшая ущерб сотням жертв по всему миру, в том числе дипломатическим организациям и правительственным учреждениям, исследовательским институтам, компаниям, занимающимся энергетикой, в том числе ядерной, а также торговым организациям и организациям авиакосмической промышленности. Вредоносное ПО оказалось невероятно сложным: помимо прочего, зловред оснащен «модулем воскрешения», благодаря которому способен заново заражать компьютеры. Код имеет модульную систему, что позволяет злоумышленникам легко подстроить его под определенную цель. Интересно, что Red October собирает информацию не только с компьютеров, но и с мобильных устройств, подключенных к сети жертв. Это показывает, что злоумышленники признали мобильные устройства ключевым компонентом современной бизнес-среды и носителем важной информации. Мы опубликовали результаты анализа в январе 2013 года, но совершенно ясно, что кампания началась в 2008-м.

http://www.securelist.com/ru/images/vlill/malware_ksb_2013_01.png

Карта жертв Red October

В феврале мы опубликовали анализ вредоносного ПО MiniDuke, разработанного для кражи данных из органов государственной власти и исследовательских институтов. По результатам нашего анализа, жертвами зловреда стали 59 известных организаций в 23 странах, в том числе на Украине, в Бельгии, Португалии, Румынии, Чехии, Ирландии, Венгрии и США. Как многие целевые атаки, MiniDuke сочетал использование социальной инженерии – тактики старой школы, и современных сложных технологий. Например, MiniDuke содержал первый эксплойт, способный обходить песочницу Adobe Acrobat Reader. К тому же, зараженные машины получали команды с командного сервера через аккаунты Twitter, указанные заранее (а в качестве запасного варианта искали эти аккаунты в Google).

В марте мы узнали о серии атак, нацеленных на крупных политиков и правозащитников в странах СНГ и Восточной Европы. Для получения контроля над компьютерами жертв злоумышленники использовали инструмент удаленного администрирования TeamViewer, поэтому операция получила название «TeamSpy». Целью этих атак был сбор информации с взломанных компьютеров. Пусть и не настолько сложная, как Red October, NetTraveler и другие, эта кампания стала не менее успешной, доказав, что не все целевые атаки требуют создания кода с нуля.

О NetTraveler, также известном как NetFile, мы сообщили в июне, и это еще одна угроза, которая уже проявляла активность к моменту обнаружения – в этом случае, с 2004 года.

http://www.securelist.com/ru/images/vlill/malware_ksb_2013_02s.png

Эта кампания была разработана для кражи информации, относящейся к исследованию космоса, нанотехнологиям, ядерной энергетике, производству энергии, лазерам, медицине и телекоммуникациям. NetTraveler успешно применили для взлома свыше 650 организаций в 40 странах, в том числе в Монголии, России, Индии, Казахстане, Кыргызстане, Китае, Таджикистане, Южной Корее, Испании и Германии. Жертвами стали государственные и частные организации, в том числе правительственные учреждения, посольства, нефтяные и газовые компании, исследовательские центры, оборонные предприятия и организации Тибетских и Уйгурских активистов.

Если ваша компания еще не стала жертвой атаки, очень легко убедить себя в том, что с вами этого не случится, или представить, что большее из того, что мы слышим о вредоносном ПО, - всего лишь рекламный трюк. Прочитав заголовки, легко прийти к выводу, что целевые атаки – это проблема исключительно крупных организаций. Однако не все атаки нацелены на известные имена или на организации, занятые в проектах критически важных отраслей. На самом деле любая организация может стать жертвой злоумышленников. Каждая компания владеет информацией, которая представляет ценность для злоумышленников или может быть использована как мостик на пути к другим жертвам. Это ярко продемонстрировали атаки Winnti и Icefog. 

В апреле мы опубликовали отчет о деятельности киберпреступной группировки Winnti, которая с 2009 года специализируется на краже цифровых сертификатов, подписанных легитимными разработчиками ПО, а также занимается кражей интеллектуальной собственности (в том числе кражей исходного кода онлайн-игр). Троянец, который использовала группа, представляет собой DLL-библиотеку для 64-битной среды Windows. Вредоносное ПО использует легитимно подписанный драйвер и работает как полноценный инструмент удаленного администрирования – так злоумышленники получали полный контроль над взломанным компьютером. В общей сложности мы обнаружили свыше 30 компаний, работающих в сфере онлайн-игр и пострадавших от действий группировки – большинство из них находятся в Юго-Восточной Азии, но также встречаются компании из Германии, США, Японии, России, Бразилии, Перу, Белоруссии и Великобритании. В настоящий момент группировка по-прежнему активна.

Атаки Icefog, о которых мы писали в сентябре (подробное описание см. в следующем разделе этого отчета), были нацелены на цепи поставок и, помимо кражи ценной информации из взломанных сетей, служили средством для сбора логинов и паролей к почте и доступа к различным интернет-ресурсам.

2. Кибернаемники: новая тенденция

На первый взгляд, Icefog – обычная целевая атака, каких много. Это кампания по кибершпионажу, действующая с 2011 года и ориентированная прежде всего на Южную Корею, Тайвань и Японию. Жертвы этой кампании есть также в США, Европе и Китае. Как и в других подобных кампаниях, для заражения жертв злоумышленники применяют целевые фишинговые рассылки (spear-phishing) электронных писем, содержащих вредоносные вложения или ссылки на вредоносные сайты. Как в любой подобной кампании, точно подсчитать количество жертв атак сложно, однако нам известно о нескольких десятках жертв, работающих под Windows, и более 350, использующих Mac OS X (последние большей частью находятся в Китае).

http://www.securelist.com/ru/images/vlill/malware_ksb_2013_03.png

Тем не менее, Icefog имеет несколько ключевых отличий от других атак, о которых мы писали выше. Во-первых, эта кампания – пример нарождающейся тенденции, которую мы наблюдаем последнее время, – атак, проводимых быстро и с хирургической точностью малыми группами кибернаемников. Во-вторых, злоумышленники скрупулезно выбирали потенциальных жертв, среди которых – государственные учреждения, военные подрядчики, судоходные и судостроительные компании, телекоммуникационные компании, операторы спутниковой связи, промышленные и технологические компании и средства массовой информации. В-третьих, в ходе кампании широко применяются средства кибершпионажа собственной разработки для Windows и Mac OSX, причем злоумышленники напрямую управляют взломанными компьютерами. Кроме того, мы обнаружили, что в дополнение к Icefog атакующие применяют бэкдоры и другие вредоносные утилиты для заражения других компьютеров в сети организации-жертвы и для передачи краденных данных на свой сервер.

Китайская группа под названием Hidden Lynx, о чьей деятельности писали эксперты компании Symantec в сентябре, входит в ту же категорию – «наемники», которые осуществляют заказные атаки с применением технически сложных средств, созданных для выполнения конкретных задач. На счету этой группы, в частности, атака на компанию Bit9 в начале этого года.

Мы прогнозируем появление новых подобных групп в будущем по мере формирования черного рынка «APT-услуг».

3. Хактивизм и утечка данных

Кража денег – напрямую с банковских счетов или с помощью тоже краденых личных данных – не единственный мотив, который кроется за взломом систем защиты. Такие атаки также могут быть формой политического или социального протеста или же способом запятнать репутацию компании, на которую нацелена атака. Сегодня интернет участвует практически во всех областях нашей жизни. Для того, кто обладает определенными навыками, гораздо легче атаковать правительственный или коммерческий веб-сайт, чем организовать реальную акцию протеста или демонстрацию.

Для тех, кто преследует такие цели, хорошим оружием стали DDoS-атаки (атаки типа «отказ в обслуживании»). Одна из крупнейших DDoS-атак в истории (а некоторые скажут, что самая крупная) была направлена на организацию Spamhaus в марте этого года. По некоторым расчетам, в пиковый период интенсивность атаки достигала 300 Гбайт/с. Организация, предположительно начавшая атаку, называется Cyberpunker. Конфликт между ней и Spamhaus начался еще в 2011 году, но достиг апогея лишь за пару недель до атаки, когда Spamhaus внесла Cyberpunker в черный список. Владелец Сyberpunker отказался взять на себя ответственность за атаку, однако согласился выступить представителем атакующих. В любом случае атака была запущена кем-то, кто способен генерировать гигантские объемы трафика. Чтобы защитить себя от атаки, организация Spamhaus была вынуждена перенести свой сайт на хостинг провайдера услуг CloudFare, известного своей защитой от DDoS-атак.

Инцидент со Spamhaus, судя по всему, не был связан с другими инцидентами, однако он произошел на фоне продолжавшихся в этом году  атак групп хактивистов. В том числе, атак Anonymous. В этом году они взяли на себя ответственность за атаки на министерство юстиции США, Массачусетский технологический институт и веб-сайты разных государств, включая Польшу, Грецию, Сингапур, Индонезию и Австралию (последние два инцидента не обошлись без перепалок между группами Anonymous, которые находятся в этих странах). Anonymous также взяли на себя ответственность за взлом Wi-Fi сети британского парламента во время протестов на площади Парламента в первых числах ноября.

Активисты, причисляющие себя к «Сирийской электронной армии» (сторонники Сирийского президента Башара Ассада), в течение года также совершили несколько атак. Так, в апреле они взяли на себя ответственность за взлом аккаунта Associated Press в Twitter и размещение фальшивых сообщений о взрывах в Белом Доме – американскому индексу Dow Jones это обошлось в 136 млрд долларов.  В июле группировка взломала Gmail-аккаунты трех служащих Белого Дома и аккаунт агентства Thomson Reuters в Twitter.

Очевидно, что наша зависимость от технологий, как и огромные вычислительные мощности, которыми обладают современные компьютеры, приводят к тому, что мы становимся потенциально уязвимы к атакам, цели которых весьма разнообразны. Поэтому маловероятно, что действиям хактивистов или кого угодно еще, кто заинтересован в проведении атак на всевозможные организации, когда-нибудь придет конец.

4. Кибервымогательство

Методы, к которым прибегают киберпреступники, чтобы заработать на своих жертвах, далеко не всегда отличаются утонченностью. Так называемые программы-вымогатели (Ransomware) по сути представляют собой DOS-атаки на отдельно взятый компьютер – они блокируют доступ к его файловой системе или шифруют данные на жестком диске. Особенности поведения таких программ могут различаться. Например, там, где распространено компьютерное пиратство, троянец-вымогатель может выводить на экран сообщение о якобы обнаруженном на машине нелицензионном ПО и требовать плату за возвращение пользователю доступа к компьютеру. В других регионах требования маскируются под всплывающие сообщения полиции об обнаружении на компьютере детской порнографии или иного запрещенного контента, за который пользователь должен заплатить штраф. Но зачастую злоумышленники вовсе не прибегают ни к каким уловкам – они просто зашифровывают данные и сообщают пользователю, что для их восстановления необходимо заплатить. Таков, например, троянец Cryptolocker, который мы проанализировали в октябре.

Cryptolocker устанавливает соединение с командным сервером и загружает с него открытый ключ RSA, с помощью которого шифрует данные. Для каждой новой жертвы создается новый уникальный ключ, а доступ к закрытым ключам, необходимым для расшифровки файлов, имеют только авторы. Для соединения с командным сервером Cryptolocker использует алгоритм генерации доменных имен, создающий 1000 уникальных имен-кандидатов в сутки. Злоумышленники требуют, чтобы пользователь заплатил им в течение примерно трех дней – устрашающие обои, устанавливаемые на зараженной машине, предупреждают, что в противном случае данные будут безвозвратно утрачены. Предлагаются различные способы оплаты, в том числе с использованием виртуальной валюты Bitcoin. Больше всего жертв в США и Великобритании, за которыми следуют (с большим отставанием) Индия, Канада и Австралия.

http://www.securelist.com/ru/images/vlill/malware_ksb_2013_04.png

Проблема здесь связана не столько с трудностями удаления вредоносного приложения или даже восстановления зараженного компьютера, сколько с возможной утратой данных. В прошлом нам в некоторых случаях удавалось расшифровать «угнанные» данные пользователей. Однако в случае если используется очень мощное шифрование, это не представляется возможным. Такое шифрование применено, например, в некоторых вариантах троянца Gpcode. В Cryptolocker также используется очень мощный шифр. Поэтому как отдельным пользователям, так и организациям любого масштаба просто необходимо регулярно делать резервные копии своих данных, чтобы в случае потери данных – по какой бы то ни было причине – неприятность не стала катастрофой.

Cryptolocker – не единственная программа-вымогатель, попавшая в этом году в заголовки новостей. В июне мы столкнулись с приложением для Android под названием Free Calls Update – фальшивым антивирусом, запугивающим пользователей, чтобы убедить их заплатить за удаление с их устройств несуществующего вредоносного ПО. После установки на устройстве приложение пытается получить права администратора – это дает ему возможность включать и выключать Wi-Fi и 3G, а также не позволяет пользователю легко удалить вредоносное приложение с устройства. Установочный файл вредоносного приложения удаляется с целью предотвратить обнаружение со стороны легитимного антивирусного ПО, если пользователь решит его установить. Приложение выдает ложные сообщения об обнаружении вредоносных программ и предлагает пользователю приобрести лицензию на полную версию, которая якобы их удалит. При посещении пользователем веб-страниц приложение во всплывающем окошке сообщает ему, что вредоносная программа пытается украсть с телефона порнографический контент. Это окошко появляется постоянно и мешает работе с устройством.

5. Вредоносное ПО для мобильных устройств и (без)опасность магазинов приложений

Стремительный рост количества вредоносного ПО для мобильных платформ, который начался в 2011-м, продолжился и в этом году. На сегодняшний день существует свыше 148 тысяч модификаций мобильных вредоносных программ, образующих 777 семейств. Как и в прошлые годы, подавляющее большинство из них – 98,05% всех обнаруженных вредоносных приложений – нацелены на устройства на базе Android. И в этом нет ничего удивительного. Эта платформа отвечает всем требованиям злоумышленников: она популярна, для нее легко разработать приложение, а пользователи устройств на базе Android могут скачивать приложения (в том числе и вредоносные) откуда угодно. Последний фактор очень важен: злоумышленники активно используют тот факт, что пользователи загружают приложения из Google Play, а также из других онлайн-магазинов или с веб-сайтов. Это также позволяет злоумышленникам создавать поддельные сайты, замаскированные под легитимные магазины приложений. Поэтому спада в области разработки вредоносного ПО для Android в ближайшее время ожидать не приходится.

Виды вредоносного ПО, нацеленного на мобильные устройства, практически полностью повторяют виды зловредов, которые чаще всего заражают компьютеры и ноутбуки – это бэкдоры, троянцы и троянцы-шпионы. Единственным исключением являются SMS-троянцы, разрабатываемые специально для смартфонов.

При этом растет не только количество зловредов: мы также наблюдаем повышение сложности вредоносного ПО. В июне мы проанализировали Obad – самый сложный мобильный троянец на сегодняшний день. Это многофункциональная угроза: Obad отправляет SMS-сообщения на платные номера, загружает и устанавливает другие вредоносные программы, использует Bluetooth для распространения на другие устройства, а также удаленно выполняет команды с консоли. Кроме того, этот троянец очень сложен, его код сильно обфусцирован и он использует три ранее неизвестные уязвимости, причем одна из них позволяет троянцу получать на устройстве расширенные права администратора, но при этом не попадать в список приложений, имеющих такие привилегии. Это не позволяет пользователю просто удалить программу с устройства. Obad также может заблокировать экран – не больше, чем на 10 секунд, однако этого достаточно, чтобы троянец успел отправить свою копию (и другое вредоносное ПО) на находящиеся поблизости устройства. Этот трюк придуман для того, чтобы владелец смартфона не заметил активность зловреда.

Obad использует различные методы распространения. Мы уже упомянули Bluetooth, но троянец также распространяется через поддельный магазин Google Play, посредством SMS-спама и за счет перенаправления пользователей со взломанных сайтов. Кроме того, Obad может быть установлен в системе другим мобильным троянцем – Opfake.

Киберпреступники, стоящие за Obad, могут управлять троянцем с помощью заранее заданных строк, передаваемых в SMS-сообщениях. Список действий, которые может выполнять зловред, включает отправку SMS-сообщений и ping-запросов на определенные ресурсы, функционирование в качестве прокси-сервера, соединение с определенными адресами, загрузку и установку определенных файлов, отправку списка установленных на устройстве приложений, отправку информации об определенных приложениях, отправку контактов жертвы на сервер и выполнение команд, полученных с сервера.

Троянец собирает данные с устройства и отсылает их на командный сервер – в том числе MAC-адрес устройства, имя устройства, номер IMEI, баланс счета, местное время и информацию о том, удалось ли зловреду получить права администратора устройства или нет. Все эти данные загружаются на командный сервер: сначала троянец пробует использовать активное интернет-соединение, а если его нет, ищет ближайшую точку доступа Wi-Fi, не требующую авторизации.

6. Атаки типа watering hole

Возможно, вам знакомы термины «drive-by загрузка» и «целевой фишинг». В первом случае  киберпреступники находят незащищенные веб-сайты и внедряют вредоносный скрипт в HTTP- или PHP-код одной из страниц. Этот скрипт может непосредственно устанавливать вредоносные программы на компьютер посетителя сайта или использовать IFRAME, чтобы перенаправлять жертву на вредоносный сайт. Второй вариант представляет собой направленную форму фишинга, часто применяемую в качестве отправной точки для целевой атаки.  Определенному человеку в организации-мишени отправляется электронное письмо в расчете на то, что он откроет ссылку или приложение, которые запустят вредоносный код и помогут преступникам проникнуть в корпоративную сеть.

Если объединить эти два подхода (drive-by загрузку и целевой фишинг), то получится так называемая атака типа watering hole. Киберпреступники изучают поведение людей, которые работают в интересующей их организации, чтобы узнать, какие интернет-ресурсы они чаще всего посещают. Затем злоумышленники заражают веб-сайт, пользующийся у сотрудников популярностью – желательно такой, который принадлежит доверенной организации и служит ценным источником информации. В классическом варианте атаки применяется эксплойт нулевого дня. Когда сотрудник открывает страницу этого сайта, его компьютер подвергается заражению: как правило, на него устанавливается троянская программа-бэкдор, позволяющая злоумышленникам получить доступ к внутренней сети компании. Это очень похоже на подкарауливание  жертвы у водопоя (watering hole), когда вместо того, чтобы выслеживать добычу, хищник ждет в засаде в таком месте, куда потенциальная жертва наверняка придет сама.

В этом году атаки типа  watering hole пользуются у киберпреступников большим успехом. Сразу после нашего сообщения об атаках Winnti мы обнаружили экслойт для Flash Player на сайте попечительского фонда Tibetan Homes Foundation, который поддерживает детей-беженцев из Тибета.  Выяснилось, что этот сайт был взломан с целью распространения бэкдоров, подписанных сертификатами, которые ранее использовались в кампании Winnti. Это классический пример атаки типа watering hole: преступники изучили интернет-предпочтения своих жертв и взломали соответствующие сайты для того, чтобы таким путем заразить их компьютеры. Та же методика была применена в августе, когда вредоносный код на сайте Правительства Тибета в изгнании перенаправлял посетителей, использующих язык CN (упрощенный китайский), на ресурс с Java-эксплойтом, загружавший на их компьютеры бэкдор, предназначенный для проведения целевых атак.

http://www.securelist.com/ru/images/vlill/malware_ksb_2013_05.png

В сентябре нами были зарегистрированы новые атаки типа watering hole, направленные на эти группы в рамках кампании NetTraveler.

Важно отметить, что атаки типа watering hole являются лишь одним из приемов, применяемых преступниками наряду с целевым фишингом и другими видами атак. Описанные выше заражения являются частью кампании, направленной против тибетских и уйгурских сайтов, которая продолжается уже более двух лет.

И наконец, все эти случаи – еще одно доказательство того, что мишенью целевой атаки может стать практически любая организация, а не только международная корпорация или другая солидная структура.

7. Самое слабое звено в цепочке безопасности

Многие современные угрозы чрезвычайно сложны. Особенно это касается целевых атак, для осуществления которых преступники создают специальные эксплойты, использующие незакрытые уязвимости в приложениях, или разрабатывают специализированные модули, помогающие им похищать данные своих жертв. Однако часто самой главной уязвимостью, которую эксплуатируют злоумышленники, является человеческий фактор. Злоумышленники применяют методы социальной инженерии, чтобы ввести в заблуждение сотрудников организации и вынудить их совершить действия, ставящие под угрозу корпоративную безопасность. Люди попадаются на эти уловки по разным причинам: иногда они просто не осознают опасность; иногда поддаются на заманчивые предложения получить «бесплатный сыр»; а иногда идут в обход правил, чтобы облегчить себе жизнь – например, используют один пароль на все случаи жизни.

Многие нашумевшие целевые атаки, которые мы анализировали в этом году, начались именно с эксплуатации человеческого фактора. В Red October, серии целевых атак на тибетских и уйгурских активистов, в MiniDuke, NetTraveler и Icefog для получения первоначального доступа к корпоративным сетям организаций-мишеней использовался целевой фишинг. Киберпреступники ищут подход к сотрудникам этих организаций, используя данные, которые удается собрать на официальном сайте компании, на открытых форумах, а также путем тщательного анализа информации, которую люди размещают в социальных сетях. Все это помогает преступникам создавать электронные сообщения, которые не вызывают подозрений и застают людей врасплох.

Этот же подход используют и организаторы массовых атак с применением социальной инженерии, в ходе которых фишинговые сообщения рассылаются большому числу случайных пользователей.

Социальная инженерия применяется и в реальной жизни, причем этот аспект безопасности часто упускают из виду. Он громко напомнил о себе в этом году, когда преступники попытались установить KVM-переключатели в филиалах двух британских банков. В обоих случаях злоумышленники представлялись сотрудниками инженерной службы и пытались получить физический доступ в банк, чтобы установить там оборудование, которое позволило бы им отслеживать сетевую активность организации. Подробнее об этих инцидентах можно прочитать здесь и здесь.

Эта же тема привлекла внимание нашего коллеги Дэвида Джэкоби (David Jacoby): в сентябре он провел небольшой эксперимент в Стокгольме с целью выяснить, насколько легко можно получить доступ к информационным системам компаний, эксплуатируя готовность персонала помочь человеку, попавшему в затруднительное положение. Отчет Дэвида вы можете прочитать здесь.

К сожалению, в компаниях часто недооценивают значение человеческого фактора в вопросах безопасности. Даже в том случае, когда информирование персонала об информационных угрозах признается необходимым, используемые для этого методы часто оказываются неэффективными. Однако те, кто игнорируют данный аспект безопасности, делают это на свой страх и риск, поскольку совершенно очевидно, что технологии сами по себе не могут гарантировать полную защиту корпоративной сети. Поэтому крайне важно, чтобы во всех организациях знание и соблюдение мер безопасности персоналом стало неотъемлемой частью стратегии защиты корпоративной сети.

8. Нарушение тайны частной жизни и утрата доверия: Lavabit, Silent Circle, NSA

Обзор информационных угроз 2013 года не может считаться полным без упоминания Эдварда Сноудена и широких последствий для тайны частной жизни, которые повлекла за собой публикация сведений о Prism, XKeyscore, Tempora и других программах слежки за гражданами.

Вероятно, одним из наиболее заметных последствий публикации этой информации стало закрытие сервиса по обмену зашифрованными электронными письмами Lavabit. Мы писали об этом сервисе здесь. Еще один провайдер услуг шифрования почты – Silent Circle – также решил прекратить свою работу, что оставило пользователям весьма ограниченный выбор возможностей для безопасного обмена личными электронными письмами. Причина, по которой эти два сервиса прекратили свое существование, – невозможность предоставлять подобные услуги в условиях давления со стороны правоохранительных органов и других государственных структур.

Еще один сюжет, существенно повлиявший на ситуацию в области тайны частной жизни, – компрометация Агентством национальной безопасности США (National Security Agency, NSA) алгоритмов эллиптической криптографии, принятых Национальным институтом стандартов и технологий США (National Institute of Standards and Technology, NIST). По-видимому, NSA внедрило своеобразный «бэкдор» в алгоритм, известный под названием Dual Elliptic Curve Deterministic Random Bit Generation (Dual EC DRBG). По некоторым сведениям, «бэкдор» позволяет определенным сторонам с легкостью взламывать данный протокол шифрования, внедряясь таким образом в канал связи, который считается безопасным. Компания RSA, один из крупнейших мировых разработчиков систем шифрования, заявила, что этот алгоритм применяется по умолчанию в одном из предлагаемых ею пакетов средств шифрования, и рекомендовала всем своим клиентам прекратить его использование. Данный алгоритм был одобрен NIST в 2006 году, но был доступен и широко применялся как минимум с 2004 года.

Любопытно, что один из широко обсуждаемых инцидентов имеет непосредственное отношение к антивирусной отрасли. В сентябре бельгийская телекоммуникационная компания Belgacom заявила о взломе ее сети. В ходе плановой проверки сотрудники Belgacom обнаружили на нескольких серверах и компьютерах сотрудников неизвестный вирус. Позднее были озвучены предположения, которые указывали на NSA и его британский аналог GCHQ (Government Communications Headquarters) как на возможный источник заражения и самого вируса. Несмотря на то, что компании антивирусной индустрии не получили образцы данного вредоносного ПО, появились новые сведения, согласно которым атака была осуществлена через модифицированные страницы LinkedIn, в которые при помощи технологии man-in-the-middle (MITM) вставлялись ссылки на сервера с эксплойтами.

Все эти инциденты, связанные со слежкой и шпионажем, породили вопросы о том, насколько активно компании индустрии IT-безопасности сотрудничают с государственными структурами. Фонд EFF (Electronic Frontier Foundation) совместно с другими организациями опубликовал 25 октября 2013 года открытое письмо, в котором антивирусным компаниям был задан ряд вопросов относительно обнаружения и нейтрализации вредоносных программ, создаваемых и распространяемых при участии государственных структур.

Что касается «Лаборатории Касперского», то у нас очень простая и однозначная позиция относительно обнаружения вредоносного ПО: мы делаем все возможное для обнаружения и нейтрализации любых атак с применением вредоносного ПО, независимо от их источника или целей. Для нас не существует «правильных» или «неправильных» вредоносных программ. Наша команда экспертов активно участвовала в обнаружении и анализе нескольких вредоносных атак, к которым были причастны государственные структуры и государства. В 2012 году мы опубликовали подробный отчет об анализе вредоносных программ Flame и Gauss, входящих в число крупнейших среди известных на сегодняшний день кампаний кибершпионажа, проводимых на государственном уровне. Мы также публиковали предупреждения об опасности так называемых «легальных» средств слежки, таких как DaVinci (HackingTeam) и FinFisher (Gamma). Крайне важно, чтобы эти инструменты слежения не попали в плохие руки, – именно поэтому индустрия IT-безопасности не может делать исключений в том, что касается обнаружения вредоносного ПО. В действительности, крайне маловероятно, что государственная организация, обладающая серьезным интеллектуальным и человеческим потенциалом, станет обращаться к разработчику (или разработчикам) антивирусов с просьбой воздержаться от обнаружения определенных вредоносных программ, созданных при поддержке государства. Такое «привилегированное» вредоносное ПО вполне может попасть не в те руки и быть применено в том числе и против тех, кто его создал.

9. Уязвимости и эксплойты нулевого дня

Киберпреступники продолжают широко использовать уязвимости в легитимном ПО для проведения вредоносных атак. Они делают это с помощью эксплойтов – фрагментов кода, разработанного специально для эксплуатации уязвимостей в ПО с целью установки вредоносных программ на компьютер без ведома пользователя. Такой вредоносный код может содержаться в специально созданном вложении в электронном письме или эксплуатировать уязвимость в браузере.

Если злоумышленник эксплуатирует уязвимость, известную только ему (так называемая уязвимость нулевого дня), то всякий, кто использует уязвимое приложение, остается беззащитным до тех пор, пока не будет выпущен патч для закрытия бреши в этом приложении. Однако очень часто преступники используют известные уязвимости, для которых «заплатки» уже давно существуют. Эксплойты для давно известных уязвимостей успешно применялись в ходе многих крупных целевых атак 2013 года, включая Red October, MiniDuke, TeamSpy и NetTraveler, а также большого числа атак с применением социальной инженерии, нацеленных на неопределенную аудиторию и составляющих основную массу всех киберпреступлений.

Злоумышленники предпочитают использовать уязвимости в наиболее популярных приложениях, которые пользователи по тем или иным причинам редко обновляют. Это дает преступникам широкие возможности для достижения своих целей. Так, в 2013 году через уязвимости в Java-приложениях было совершено 90,52% всех атак, а через уязвимости в Adobe Acrobat Reader – 2,01%. Это служит продолжением установившейся тенденции и не является сюрпризом. Java присутствует на огромном количестве компьютеров (по данным Oracle, на 3 миллиардах машин), а ее обновления не устанавливаются автоматически. Киберпреступники также продолжают эксплуатировать уязвимости в Adobe Reader, хотя за последние 12 месяцев количество атак существенно сократилось. Это связано с тем, что обновления для Adobe Reader стали выпускаться чаще, а в последней версии они к тому же устанавливаются автоматически.

http://www.securelist.com/ru/images/vlill/malware_ksb_2013_06.png

Для минимизации рисков IT-безопасности компаниям необходимо использовать самые последние версии всего программного обеспечения, имеющегося на компьютерах корпоративной сети, устанавливать обновления безопасности по мере их появления и удалять ПО, которое больше не требуется для работы. Также можно использовать специальный сканер, позволяющий выявлять приложения с незакрытыми уязвимостями, или установить защитное решение, блокирующее попытки эксплуатации этих уязвимостей со стороны вредоносного ПО.

10. Взлеты и падения криптовалют: биткойны правят миром.

В 2009 году некий Сатоси Накамото (Satoshi Nakamoto) опубликовал доклад, которому суждено было произвести революцию в мире электронных валют. Документ под названием “Bitcoin: A Peer-to-Peer Electronic Cash System” (Bitcoin: P2P-система электронных денег) определял основную структуру распределенной децентрализованной системы платежей, не предусматривающей платы за проведение транзакций. Система Bitcoin была реализована, люди начали ею пользоваться. Поначалу это были математики и энтузиасты новой виртуальной платежной системы, но вскоре к ним присоединились обычные пользователи, а также киберпреступники и террористы.

Еще в январе 2013 года стоимость одного биткойна составляла $13. Однако по мере того, как все новые сервисы начинали принимать биткойны в качестве средства платежа, стоимость электронной валюты росла. Наконец, 9 апреля 2013 г. она превысила 260 долларов (средняя стоимость составляла $214), а на следующий день обрушилась, потому что владельцы большого количества биткойнов начали обменивать виртуальные деньги на реальные.

http://www.securelist.com/ru/images/vlill/malware_ksb_2013_07.png

Обменный курс Bitcoin/USD на Mt.Gox, 2013

В ноябре 2013 г. биткойн снова начал набирать силу и в начале декабря превысил отметку в $1000.

Почему же биткойны пользуются такой популярностью? Прежде всего, это почти анонимное и при этом безопасное платежное средство. Нет ничего удивительного, что на поднявшейся в 2013 году волне разоблачения государственной слежки пользователи пытаются найти альтернативные способы осуществления платежей. Кроме того, эта виртуальная валюта пользуется большим успехом у киберпреступников, которые ищут возможности скрыться из поля зрения правоохранительных органов.

В мае мы писали о бразильских киберпреступниках, создающих фишинговые сайты, замаскированные под биржи Bitcoin. Кроме того, появились специализированные ботнеты по добыче биткойнов, а также вредоносные программы, предназначенные для кражи кошельков Bitcoin.

25 октября в ходе совместной операции ФБР и Управления США по борьбе с наркотиками был закрыт печально известный сайт Silkroad. Согласно пресс-релизу, распространенному генеральной прокуратурой США, Silk Road («Шелковый путь») – это «скрытый веб-сайт, позволяющий пользователям покупать и продавать запрещенные наркотики и другие незаконные товары и услуги – анонимно и без риска быть пойманным правоохранительными органами». Сайт использовал в качестве средства оплаты биткойны, что позволяло как продавцам, так и покупателям оставаться неизвестными. ФБР и Управление по борьбе с наркотиками изъяли у владельца Silkroad, известного как Dread Pirate Roberts («Страшный пират Робертс»), около 140 тыс. биткойнов (по нынешним ценам порядка 56 млн. долларов). Оборот сайта, который открылся в 2011 году и был доступен только через сеть TOR Onion, достиг 9,5 млн. биткойнов.

Очевидно, что киберпреступники нашли для себя в Bitcoin тихую гавань, однако у этой платежной системы есть множество других пользователей, не преследующих незаконные цели. Сервис становится все более популярным, и было бы любопытно узнать, следует ли ожидать репрессивных мер против бирж Bitcoin со стороны государственных органов в попытке положить конец их использованию в противозаконных целях.

Если у вас в собственности есть биткойны, вас скорее всего волнует, как их сберечь. Несколько советов можно найти в посте наших коллег Стефана Танасе и Сергея Ложкина.

Выводы и прогнозы: 2014 год – «год доверия»

В отчете 2011 года мы назвали год «взрывоопасным». Мы также предсказывали, что 2012-й будет годом разоблачений, а 2013-й – годом сенсаций и переосмысления ситуации.

И действительно, некоторые из открытий 2013 года стали поистине сенсационными. Они заставили нас по-новому посмотреть на то, как мы теперь используем интернет и с какими видами рисков нам приходится сталкиваться. В 2013 году наиболее опасные группы киберпреступников продолжали осуществлять крупномасштабные кампании – например, RedOctober и NetTraveler. Злоумышленники освоили новые приемы, такие как атаки типа watering hole, однако эксплойты нулевого дня остаются популярными среди серьезных киберпреступников. В 2013 году на сцене появились кибернаемники – компактные группы, специализирующиеся на проведении «молниеносных» APT-атак на заказ. В заголовках новостей постоянно мелькали хактивисты, а также утечки данных. Последние способны нагнать страху даже на самых крутых сисадминов. Тем временем киберпреступники активно создавали новые методы кражи пользовательских денег и биткойнов; широчайшее распространение получили программы-вымогатели (Ransomware). И наконец, серьезной проблемой, не имеющей простого решения, остается мобильное вредоносное ПО.

Конечно, все хотели бы знать, как эти тенденции скажутся на ситуации в 2014 году. Мы предполагаем, что через весь 2014 год красной нитью пройдет тема восстановления доверия.

Тайна частной жизни, как и многочисленные факторы, ведущие к ее сохранению или утрате, останется горячей темой. Шифрование снова войдет в моду: мы ожидаем появления многочисленных сервисов, обещающих защитить личную жизнь пользователей от посторонних глаз. Облако – чудо-технология прошлых лет – теперь забыто, поскольку люди потеряли к нему доверие, а государства более серьезно задумались о том, как применение облачных технологий соотносится с тайной частной жизни. В 2014 году финансовые рынки, вероятно, почувствуют на себе влияние виртуальной валюты Bitcoin, в которую будут вкладывать значительные средства инвесторы из Китая и других стран. Не исключено, что стоимость биткойна достигнет $10 000, но нельзя также исключать и краха виртуальной валюты, в результате которого пользователи станут искать более надежные альтернативные варианты.

http://www.securelist.com/ru/analysis/2 … _2013_godu

0

3

Kaspersky Security Bulletin 2013. Основная статистика за 2013 год

Эта часть отчета Kaspersky Security Bulletin 2013 сформирована на основе данных, полученных и обработанных при помощи Kaspersky Security Network. KSN использует «облачную» архитектуру в персональных и корпоративных продуктах и является одной из важнейших технологий «Лаборатории Касперского».

Статистика в отчете основана на данных, полученных от продуктов «Лаборатории Касперского», пользователи которых подтвердили свое согласие на передачу статистических данных.

Цифры года

По данным KSN, в 2013 году продукты «Лаборатории Касперского» заблокировали 5 188 740 554  вредоносных  атак на компьютерах и мобильных устройствах пользователей.

Обнаружено 104 427 новых модификаций вредоносных программ для мобильных устройств.

Решения «Лаборатории Касперского» отразили 1 700 870 654  атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.

Наши антивирусные решения обнаружили почти 3 миллиарда вирусных  атак  на компьютерах пользователей. Всего в данных инцидентах было зафиксировано 1,8 млн. вредоносных и потенциально нежелательных  программ.

45% веб-атак, заблокированных нашими продуктами, проводились с использованием вредоносных веб-ресурсов, расположенных в США и России.

Мобильные угрозы

Мир мобильных устройств относится к той сфере, где IT-безопасность развивается наиболее быстро.  В 2013 году проблема безопасности мобильных устройств встала очень остро, и это связано и с количественным, и с качественным ростом мобильных угроз. Если 2011 год был годом становления мобильных зловредов, особенно в секторе Android-устройств, а 2012 — годом развития их многообразия, то 2013 год стал годом наступления их зрелости. Неудивительно, что мир мобильных зловредов становится все более похожим на мир угроз для персональных компьютеров с точки зрения применяемых киберпреступниками методов и технологий; однако скорость развития этой сферы впечатляет.

Obad – пожалуй, наиболее заметное событие в сфере мобильных зловредов. Этот мобильный троянец распространяется разными способами, в том числе через уже существующий мобильный ботнет — смартфоны, зараженные Trojan-SMS.AndroidOS.Opfake.a, используются в качестве дополнительного вектора заражения. С них на все номера из списка контактов рассылаются сообщения, содержащие вредоносные ссылки. Такая практика широко распространена в сфере угроз для персональных компьютеров и популярна как сервис, предоставляемый ботоводами на теневом рынке киберпреступников.

На поверку оказывается, что мобильные ботнеты имеют значительные преимущества по сравнению с традиционными. Мобильный ботнет более стабильный: смартфоны редко отключаются, поэтому почти все его узлы всегда доступны и готовы выполнять новые инструкции. Наиболее распространенные задачи, выполняемые с помощью традиционных ботнетов — это массовая рассылка спама, проведение DDoS-атак и массовое отслеживание личной информации пользователей. Все эти задачи малотребовательны по отношению к вычислительной мощности устройств и, соответственно, легко реализуемы на смартфонах. Ботнет MTK, появившийся в начале 2013 года, а также ботнет Opfake, как и многие другие, подтверждают, что мобильные ботнеты для киберпреступников стали большим, чем просто «площадкой для игр», и уже активно используются для основной цели: дать киберпреступникам заработать денег.

Значимые события

Мобильные банковские троянцы. Сюда относится мобильный фишинг, кража информации о кредитных картах, перевод денег с банковских карт на счёт мобильного телефона и оттуда – в кошелек QIWI. В 2013 году появились также мобильные троянцы, способные проверять баланс счёта жертвы, чтобы «доход» был максимальным.

Мобильные ботнеты. Как сказано выше,  ботнеты предоставляют большие возможности и большую гибкость при использовании нелегальных схем получения прибыли. Теперь это явление охватило и  мобильные устройства. По нашим оценкам, около 60% мобильных вредоносных программ представляют собой элементы больших и малых мобильных ботнетов.

Backdoor.AndroidOS.Obad. Этот  зловред – пожалуй, самый универсальный из всех, зарегистрированных на сегодняшний день. Он включает целых три эксплойта, бэкдор, SMS-троянец, предоставляет функциональные возможности бота и другие. Это, по сути, швейцарский армейский нож, оснащенный разнообразными инструментами.

Контроль ботнетов через Google Cloud Messaging. Киберпреступники обнаружили способ, как использовать сервис Google Cloud Messaging  (GCM) для осуществления контроля зомби-устройств в ботнете. Этот метод используется в относительно небольшом количестве вредоносных программ, но некоторые из них при этом широко распространены. Выполнение команд, получаемых через GCM, производится системой GCM, и их невозможно заблокировать непосредственно на зараженном устройстве.

APT-атаки против уйгурских активистов. Мы наблюдали, как в целевых атаках против уйгурских активистов используются зловреды, написанные и под Windows, и под MAC OS X. В прошлом атаки происходили также через PDF, XLS, DOC и ZIP-файлы, рассылаемые по электронной почте. Теперь в арсенал злоумышленников добавлены APK-файлы, отслеживающие личную информацию, хранящуюся на устройстве-жертве, а также передающие данные о его местонахождении.

Уязвимости  в Android. В 2013 году мы наблюдали эксплойты, направленные на Android и созданные для трех разных целей: для обхода проверки целостности кода приложения при установке (также известную как уязвимость мастер-ключа), для повышения прав и для затруднения анализа приложения. Последние два типа также задействованы в Obad.

Атака на ПК при помощи Android-устройства. Существуют  угрозы для персональных компьютеров, которые могут заразить смартфоны, но мы обнаружили и зловред под Android, который заражает ПК.  Когда Android-устройство подсоединяется к компьютеру в режиме эмуляции USB-флешки, запускается вредоносный контент.

Статистика

Что касается мобильных ОС, на которые нацелены вредоносные программы, то значимых изменений за 2013 год не произошло. Android по-прежнему остаётся основной целью для вредоносных атак – на эту платформу нацелено уже 98,05% всех известных зловредов. Как видно на диаграмме ниже, никакая другая ОС и рядом не стоит по «популярности». Причиной тому – ведущие позиции Android на рынке, преобладание сторонних магазинов приложений и в значительной степени открытая архитектура этой платформы, благодаря чему под нее легко писать как разработчикам приложений, так и авторам вредоносных программ. Мы не думаем, что эта тенденция в ближайшем будущем изменится.

http://www.securelist.com/ru/images/vlill/stat_ksb_2013_01.png

Распределение мобильных вредоносных программ по платформам

На сегодняшний день нам удалось собрать 8 260 509 уникальных вредоносных установочных пакетов. Стоит учитывать, что разные установочные пакеты могут устанавливать программы с одним и тем же функционалом, разница может заключаться лишь в интерфейсе вредоносного приложения и, например, содержимом отправляемых им SMS.

Общее число образцов мобильных зловредов в нашей коллекции составляет 148 778, из которых 104 427 обнаружены в 2013 году. Только в октябре появилось 19 966 модификаций – половина того количества, что «Лаборатория Касперского» обнаружила за весь 2012 год. К счастью, это сильно отличается от ситуации, наблюдаемой в мире зловредов для персональных компьютеров – их мы обрабатываем более 315 000 образцов в сутки. Тем не менее, тенденция к интенсивному росту вполне очевидна:

http://www.securelist.com/ru/images/vlill/stat_ksb_2013_02.png

Количество образцов в нашей коллекции

Среди мобильных зловредов по-прежнему лидируют SMS-троянцы:

http://www.securelist.com/ru/images/vlill/stat_ksb_2013_03.png

Распределение мобильных вредоносных программ по поведениям

Однако зловреды категории Trojan-SMS за очень малым исключением эволюционировали в ботов, поэтому можно смело объединить двух лидеров диаграммы в одну категорию — Backdoor. Таким образом, 62% вредоносных приложений являются элементами мобильных ботнетов.

Выводы

Все техники и механизмы инфицирования, сокрытия деятельности вредоносных программ очень быстро перебираются с PC на платформу Android. Этому способствует ее открытость и популярность.

Большинство мобильных  вредоносных приложений ориентировано на кражу денег и только во вторую очередь на кражу личной информации.

Большинство мобильных вредоносных приложений представляют собой ботов с богатым функционалом. В ближайшее время начнется торговля мобильными ботнетами.

Явно прослеживается  «банковская» направленность развития мобильных зловредов. Вирусописатели следят за развитием сервисов мобильного банкинга. При успешном инфицировании смартфона сразу проверяют, привязан ли телефон к банковской карте.

Уязвимые приложения, используемые злоумышленниками

Рейтинг уязвимых приложений, приведенный ниже, построен на основе данных о заблокированных нашими продуктами эксплойтах, используемых злоумышленниками как в атаках через интернет, так и при компрометации локальных приложений, в том числе на мобильных устройствах пользователей.

http://www.securelist.com/ru/images/vlill/stat_ksb_2013_04.png

Распределение эксплойтов, использованных в атаках злоумышленников, по типам атакуемых приложений

Из всех зафиксированных нами попыток эксплуатации уязвимостей 90,52% пришлось на уязвимости в Oracle Java. Такие уязвимости эксплуатируются в ходе drive-by атак через интернет, и новые Java-эксплойты входят в состав множества эксплоит-паков. Подробнее о Java-эксплойтах можно прочитать в нашей статье.

На втором месте расположилась категория «Windows компоненты», которая включает уязвимые файлы семейств ОС Windows, не относящиеся к Internet Explorer и программам Microsoft Office – их мы выделили отдельно. В этой категории самое большое количество атак приходится на обнаруженную в win32k.sys уязвимость CVE-2011-3402,  которую  впервые использовал Duqu.

На третьем месте с показателем 2,5% расположились эксплойты для Android OS. Уязвимости в Android используют злоумышленники (а иногда и сами пользователи), чтобы получить root-привилегии, которые дают практически неограниченные возможности для манипуляций над системой. Данные уязвимости не используются в drive-by атаках и эксплойты к ним детектируются либо веб-антивирусом в случае попытки скачивания пользователем приложения с эксплойтом, либо файловым антивирусом при нахождении эксплойта уже на устройстве. Тут стоит упомянуть, что недавно появилась информация о нахождении в браузере Chrome на Nexus 4 и Samsung Galaxy S4 уязвимости, которая может привести к использованию в будущем Android-уязвимостей в drive-by атаках.

http://www.securelist.com/ru/images/vlill/stat_ksb_2013_05.png

Распределение установленной у пользователей OS Windows по версиям, 2013

Среди пользователей наших продуктов, подтвердивших свое участие в KSN, суммарно 61,5% используют различные версии операционной системы Windows 7 (на 5% больше чем в прошлом году); 6,3% - Windows XP (на 7,75% меньше, чем в 2012 году).

Вредоносные программы в интернете (атаки через Web)

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносных объектов с вредоносной/зараженной веб-страницы. Вредоносные сайты специально создаются злоумышленниками; зараженными могут быть веб-ресурсы, контент которых создается пользователями (например, форумы), а также взломанные легитимные ресурсы.

Количество атак с интернет-ресурсов, размещенных в разных странах мира, за год увеличилось с 1 595 587 670 до  1 700 870 654. Таким образом, наши продукты защищали пользователей при серфинге в интернете в среднем 4 659 920 раз в день.

По сравнению с прошлым годом темпы роста числа атак через браузер снизились. Число отраженных в 2013 году интернет-атак превышает аналогичный показатель 2012 года в 1,07 раз, а в 2012 году мы зафиксировали рост в 1,7 раз. Основной способ атаки – через эксплоит-паки – дает злоумышленникам практически гарантированную возможность заражения компьютеров, если на них не установлена защита и имеется хотя бы одно популярное и уязвимое (не обновленное) приложение.

Вредоносные программы в интернете: TOP 20

Из всех вредоносных программ, участвовавших в интернет-атаках на компьютеры  пользователей, мы выделили 20 наиболее активных. На них пришлось 99,9% всех атак в интернете.

http://i59.fastpic.ru/big/2013/1214/9d/e7d3c820ce67c6125aa486131668849d.jpg

По сравнению с 2012 годом увеличилась доля вердиктов, связанных с блокированием зловредных ссылок, находящихся в черном списке веб-антивируса (1 место – Malicious URL). Развитие новых технологий детектирования, опирающихся на возможности KSN, позволило за год увеличить долю угроз, обнаруживаемых такими методами, с 87% до 93%. Значительная часть детектов Malicious URL приходится на сайты с эксплойтами и на сайты, перенаправляющие на эксплойты.

7 из 20 мест в нашем рейтинге заняли вердикты, которые присваиваются вредоносным объектам, используемым в  drive-by атаках — самом популярном способе проникновения вредоносных программ через интернет. Это и эвристические вердикты, такие как Trojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan-Downloader.Script.Generic, Exploit.Java.Generic, Exploit.Script.Generic, и не-эвристические.  Это вердикты, присваиваемые как скриптам, перенаправляющим на эксплойты, так и самим эксплойтам.

Девятое место занимает Hoax.SWF.FakeAntivirus.i. Так детектируются флеш-файлы с анимацией, имитирующей работу антивирусного программного обеспечения. По итогам «проверки» компьютер пользователя оказывается «заражен» огромным количеством вредоносных программ. Для избавления от них злоумышленники тут же предлагают специальное защитное решение, жертве обмана нужно только отправить SMS на короткий номер и получить в ответ ссылку, по которой они якобы могут скачать антивирусное ПО. Подобные флеш-файлы могут показываться на сайтах, размещающих у себя  баннеры рекламной сети, участники которой не гнушаются время от времени «подкладывать» перенаправление на нежелательный контент.

Восемнадцатое место Hoax.HTML.FraudLoad.i — детект HTML-страницы, которая имитирует стандартное окошко для загрузки  файла:

http://www.securelist.com/ru/images/vlill/stat_ksb_2013_06.png

На подобную страницу перенаправляют различные русскоязычные сайты, на которых предлагается скачать какой-либо контент: игры, программы, фильмы (чаще всего подобные сайты размещаются на бесплатных хостингах). Если пользователь нажмет кнопку «Сохранить файл», то будет перенаправлен на файловый хостинг, где предлагается скачать файл после оформления платной подписки по SMS. Однако после выполнения всех требований вместо искомого контента он получает либо текстовый файл c инструкцией по использованию поисковиков, либо, что еще хуже, вредоносную программу.

По сравнению с 2012 годом в рейтинге больше вердиктов рекламных программ. суммарная доля детектирований которых в TOP 20 выросла с 0,3% до 1,04%.

Страны - источники веб-атак: TOP 10

Данная статистика показывает распределение по странам источников заблокированных антивирусом веб-атак на компьютеры пользователей (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т.д.). Отметим, что каждый уникальных хост мог быть источником одной и более веб атак.

Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

Для проведения  1 700 870 654 атак через интернет злоумышленники воспользовались  10 604 273  уникальными хостами, что на 4 с небольшим миллиона больше, чем в 2012 году. 82%  нотификаций о заблокированных веб-атаках были получены  при блокировании атак с веб-ресурсов, расположенных в десяти странах мира – это на 14,5% меньше, чем в 2012 году.

http://www.securelist.com/ru/images/vlill/stat_ksb_2013_07.png

Распределение по странам источников веб-атак

TOP 10 стран в 2013 году практически не изменился по сравнению с 2012 годом.  Из первой десятки выбыл Китай, занимавший первое место в рейтинге до 2010 года, а на восьмом месте появился Вьетнам. В 2010 году властям Китая удалось убрать из локального киберпространства множество вредоносных хостингов, в то же время были ужесточены правила регистрации доменов в зоне .cn. После этого доля вредоносных хостингов в Китае резко сократилась. В 2010 году Китай занимал 3 место, в 2011 году – 6-е, в 2012 году -  8-е, а по итогам 2013 года эта страна заняла в рейтинге лишь  21-е место.

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение года пользователи продуктов «Лаборатории Касперского» в каждой стране сталкивались со срабатыванием веб-антивируса. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах.

http://i60.fastpic.ru/big/2013/1214/63/cfea0430e3576f8eb08f7043e4a6f263.jpg

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).

**Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

В 2013 году в этом рейтинге сменился лидер: первое место занял Азербайджан, где веб-атакам подверглись 56,3% пользователей. Россия, которая лидировала два года подряд, сместилась на 4-ю строчку с показателем 54,5% (на 4,1% меньше, чем в прошлом году).

Покинули TOP 20 США, Испания, Оман, Судан, Бангладеш, Мальдивы, Туркменистан. Среди новичков – Австрия, Германия, Греция, Грузия, Киргизия, Вьетнам, и Алжир.

США опустились с 19-го сразу на 25-е место. Показатель этой страны уменьшился на 7% и составил 38,1%. Напомним, что еще два года назад по уровню веб-угроз эта страна была на 3-м месте. Уменьшение риска заражения компьютеров через интернет в США может быть связано в том числе с  ростом популярности у пользователей веб-серфинга через мобильные устройства. Испания, которая в 2012 замыкала TOP 20, в 2013 году оказалась на 31-м месте (36,7%, на 8% меньше, чем в прошлом году).

Австрия (+8%), оказалась сразу на 12-м месте, Германия (+9,3%) - на 13-м, а Греция (-1,6%) - на 19-м. Замыкает TOP 20 еще одна западноевропейская страна -  Италия (-6%).

Все страны мира можно распределить по степени риска заражения при серфинге в интернете.

Группа повышенного риска

В эту группу с результатом 41-60% вошли первые 15 стран из TOP 20. Это Россия, Австрия, Германия, большинство стран постсоветского пространства и страны Азии.  Эта группа уменьшилась более чем вдвое: по итогам 2012 года в нее  входила 31 страна.

Группа риска

В эту группу с показателями 21-40,99% попали 118 стран, в том числе:
Австралия (38,9%), США (38,1%), Канада (36,5%);
Италия (39,6%), Франция (38,1%), Испания (36,7%), Великобритания (36,7%), Нидерланды (27,3%), Финляндия (23,6%),  Дания (21,8%);
Польша (37,6%), Румыния (33,2%), Болгария (24,1%);
Бразилия (34,6%), Мексика (29,5%), Аргентина (25%);
Китай (32,3%),  Япония (25,3%).

Группа самых безопасных при серфинге в интернете стран (0-20,99%)
В эту группу попали 25 стран. В нее входят Чехия (20,3%), Словакия (19,7%), Сингапур (18,5%) и ряд африканских стран.
Африканские страны из группы самых безопасных при веб-серфинге попали в группы с высоким и средним уровнем заражения по уровню локальных угроз (см. ниже). В этих странах интернет пока не очень хорошо развит, и для обмена файлами пользователи активно используют различные съемные носители информации. Поэтому веб-угрозам в этих странах подвергаются немногие, тогда как вредоносные программы, распространяющиеся на съемных носителях,  часто детектируются на компьютерах пользователей.

http://www.securelist.com/ru/images/vlill/stat_ksb_2013_08.png

В среднем уровень опасности интернета за год увеличился на 6,9%: в 2013 году в мире 41,6%  компьютеров пользователей интернета хотя бы раз подвергались веб-атаке. Интернет по-прежнему является основным источником вредоносных объектов для пользователей большинства стран мира.

Локальные угрозы

Исключительно важным показателем является статистика локальных заражений пользовательских компьютеров. В эти данные попадают объекты, которые проникли на компьютеры не через  интернет, почту или сетевые порты.

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

Наши антивирусные решения успешно обнаружили почти 3 миллиарда вирусных инцидентов на пользовательских компьютерах, участвующих в Kaspersky Security Network.

Всего в данных инцидентах было зафиксировано  1,8 миллиона вредоносных и потенциально нежелательных программ.

http://i60.fastpic.ru/big/2013/1214/f2/8d20df6426b880352380626369f301f2.jpg

*Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

Вердикт DangerousObject.Multi.Generic, используемый для вредоносных программ, обнаруженных с помощью облачных технологий, в этом году поднялся со второго места на первое. Облачные технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы. При помощи системы мгновенного обнаружения угроз UDS, работающей в составе Kaspersky Security Network, более 11 млн. компьютеров пользователей были защищены в режиме реального времени.

Второе место занимает эвристический вердикт Trojan.Win32.Generic - лидер прошлого года.

Exploit.Win32.CVE-2010-2568.gen (5-е место), Trojan.WinLNK.Runner.ea (20-е место) являются детектами вредоносных lnk-файлов (ярлыков). В lnk-файлах данных семейств осуществляется запуск другого вредоносного исполняемого файла. Они активно используются червями для распространения через USB-накопители.

Восемь программ из TOP 20 либо имеют механизм самораспространения, либо используются как одна из составляющих в схеме распространения червей: Virus.Win32.Sality.gen (4-е место), Trojan.Win32.Starter.lgb (7-е место), Virus.Win32.Nimnul.a (8-е место), Worm.Win32.Debris.a (9-е место), Virus.Win32.Generic (10-е место), Net-Worm.Win32.Kido.ih (12-е место), Net-Worm.Win32.Kido.ir (14-е место), Trojan.Win32.Starter.yy (15-е место).

Доля знаменитых червей Net-Worm.Win32.Kido (12-е и 14-е места), появившихся еще в 2008 году, из года в год уменьшается по мере того, как пользователи обновляют свои системы.

В ТОР 20 в этом году не попали вердикты семейства Virus.Win32.Virut, однако доли других представителей вирусов — Sality (4-е место) и Nimnul (8-е место) — увеличились соответственно на 8,5% и на 1,4%.

Новое семейство в рейтинге этого года - Worm.Win32.Debris.a - на 9-м месте. Распространяется червь через съемные носители с помощью lnk-файлов. Полезная нагрузка этого червя представляет собой вредоносную программу Andromeda, которая используется для загрузки посторонних файлов. Эта программа известна на черном рынке вирусописателей еще с 2011 года. Однако новый способ ее инсталляции и распространения был выделен нами в отдельное семейство.

На 18-м месте расположился вердикт Trojan.Win32.Hosts2.gen - он присваивается вредоносным программам, которые пытаются изменить специальный файл hosts, перенаправляя запросы пользователей к определенным доменам на свои подконтрольные хосты.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Чтобы оценить, в каких странах пользователи чаще всего сталкиваются с киберугрозами, для каждой из стран мы подсчитали, насколько часто в течение года пользователи в ней сталкивались со срабатыванием антивирусной программы. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам — флешках, картах памяти фотоаппаратов, телефонов, внешних жестких дисках. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах мира.

http://i58.fastpic.ru/big/2013/1214/b1/b87c93af459261442a961798b19472b1.jpg

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).

**Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Уже больше года TOP 20 стран по уровню зараженности компьютеров состоит из стран Африки, Ближнего Востока и Юго-Восточной Азии. Однако за прошедший год ситуация в целом изменилась к лучшему. Если в 2012 году показатели страны - лидера рейтинга превышали 99%, то в 2013 году максимальный показатель в TOP 20 не достигает 70%.

В среднем в группе стран из TOP 20 вредоносный объект хотя бы раз был обнаружен  на компьютере — на жестком диске или на съемном носителе, подключенном к нему, — у   60,1% пользователей KSN, предоставляющих нам информацию, тогда как в 2012 году – у 73,8%.

В случае локальных угроз мы можем разделить все страны мира на несколько категорий. Учитывая общее уменьшение уровня локальных заражений,  связанное, по всей видимости, с падением популярности использования флешек для обмена информацией, мы снизили пороговые значения показателей  групп (по сравнению со статистикой за 2012 год).

Максимальный уровень заражения (более 60%): 4 страны, лидирующие в рейтинге — Вьетнам (68,1%), Бангладеш (64,9%), Непал (62,4%) и Монголия (60,2%).

Высокий уровень заражения (41-60%): 67 стран мира, в том числе Индия (59,2%), Китай (46,7%), Казахстан (46%), Азербайджан (44,1%), Россия (41,5%), большинство стран Африки.

Средний уровень заражения (21-40,99%): 78 стран, в том числе

Испания (36%), Франция 33,9%, Португалия (33,1%), Италия (32,9%), Германия (30,2%), США (29%), Великобритания (28,5%), Швейцария (24,6%), Швеция (21,4%), Украина (37,3%),

Бразилия (40,2%), Аргентина (35,2%), Чили (28,9%), Южная Корея (35,2%), Сингапур (22,8%).

Наименьший уровень заражения (0-20,99%): 9 стран мира.

http://www.securelist.com/ru/images/vlill/stat_ksb_2013_09.png

В десятку самых безопасных по уровню локального заражения стран попали:

http://i58.fastpic.ru/big/2013/1214/06/f784f2f2b2bb3d38d6040d28cc704806.jpg

По сравнению с 2012 годом в списке произошло одно изменение – в нем появились Сейшельские острова, которые вытеснили Нидерланды.

В среднем в десятке самых безопасных стран мира хотя бы раз в течение года было атаковано 18,8% компьютеров пользователей. По сравнению с прошлым годом этот показатель уменьшился на 6,6%.

http://www.securelist.com/ru/analysis/2 … a_2013_god

0

4

Прогнозы на 2014 – мнение эксперта

В 2014 году мы ожидаем увеличения количества угроз, связанных с экономическим и внутригосударственным кибершпионажем. Активное участие в проведении подобных атак будут принимать кибернаемники-кибердетективы.

http://www.securelist.com/ru/blog/20776 … e_eksperta

0