Ведущие лаборатории констатировали, что в 2010 г. сохранялись основные тенденции в области угроз. Вместе с тем в целом ряде сегментов появились предпосылки, которые могут со временем способствовать существенному изменению ситуации. Особенно активно эти процессы касаются спама и фишинга, где соответствующие процессы идут довольно активно. В сегменте вредоносного ПО также появились новые тенденции, которые выглядят весьма тревожно и могут стать источником серьезных опасностей. Впрочем, подробнее об этом будет сказано ниже.
Вредоносное ПО
В целом ключевые тенденции развития вредоносного ПО остались теми же, что и в предыдущие годы. Основной инструмент в руках злоумышленников — ботнеты: сети из зомби-компьютеров, используемые для рассылки спама, всевозможных атак или для распространения вредоносного ПО, направленного на кражу информации. Наиболее заметными были Mariposa, ZeuS, Bredolab, TDSS, Koobface, Sinowal, Black Energy 2.0. В 2010 г. появились сети, которые объединяют миллион и более зараженных систем. При этом усложнение вредоносных программ сопровождалось упрощением их использования даже для не самых продвинутых пользователей. Получили распространение услуги, связанные со сдачей ботнет‑сетей в аренду, хотя их появление было отмечено еще годом-двумя раннее. И такие услуги востребованы, в частности, преступными сообществами, чья специализация связана с кражами денежных средств со счетов предприятий и организаций. Они используются как для распространения троянских программ, с помощью которых крадется идентификационная информация для систем дистанционного банковского обслуживания, так и для организации DDoS-атак, которые служат отвлекающим маневром с целью запутать следы.
Как и раньше, вирусописатели активно использовали различные уязвимости в ПО. При этом полностью сохранялась тенденция прошлого года, связанная с отходом от использования «дыр» в продуктах Microsoft. Это компенсировалось эксплуатацией брешей в продуктах других компаний, прежде всего Adobe (Acrobat, Flash), Apple (iTunes, QuickTime, Safari), Oracle (Java). Какие из этих уязвимостей наиболее опасны? Здесь мнения разных лабораторий расходятся. Так, «Лаборатория Касперского» считает, что по числу зафиксированных инцидентов с использованием программных уязвимостей лидируют продукты Adobe. Аналитики Symantec же обращают внимание на Java. Уязвимости в этой технологии эксплуатировал и Phoenix, самый популярный, с точки зрения Symantec, готовый инструмент для Web-атак. Но в этих оценках есть и нечто общее, поскольку и технологии Adobe, в частности Flash, и Java, являются кросс-платформенными, и это повышает их привлекательность для злоумышленников. В итоге количество Web-атак в 2010 г. практически удвоилось.
Для заражения вредоносами активно использовались социальные сети. В этом сходятся аналитики всех ведущих антивирусных лабораторий. Злоумышленники использовали Twitter, Facebook, «Вконтакте» и «Одноклассники». В России именно через социальные сети распространялись так называемые блокеры, которые при запуске компьютера блокировали работу операционной системы, требуя отправить SMS на платный номер для получения «кода разблокировки». На Западе основным способом для вымогательства денег стало использование поддельных антивирусов. Некоторые из таких вредоносов также блокировали работу зараженного компьютера до внесения денег за «полную версию». В текущем году подобное ПО появилось и для платформы Mac. Также, по оценке «Лаборатории Касперского», вновь начала расти популярность пиринговых сетей как канала для распространения вредоносов. Даже более того, данный способ заражения стал вторым по распространенности после Web.
Аналитики «Лаборатории Касперского» и Symantec назвали 2010 г. годом направленных атак. Примером могут служить такие вредоносы, как Aurora, Hydraq и Stuxnet, эксплуатирующие различные уязвимости в системном и прикладном ПО, в том числе и «нулевого дня». «Stuxnet и Hydraq, два самых заметных киберсобытия 2010 г., стали эпизодами настоящей кибервойны — они кардинальным образом изменили ландшафт угроз, — заявил Стивен Триллинг (Stephen Trilling), вице-президент Symantec по технологиям безопасности и ответных действий. — Фокус угроз расширился от попыток взлома частных банковских счетов до нанесения ущерба информационной и физической инфраструктуре целых государств». Stuxnet оказался первым серьезным прецедентом использования вредоносного ПО в межгосударственных или межкорпоративных конфликтах, что может стать довольно опасной тенденцией. И раньше существование внутри спецслужб и армейских структур подразделений, занятых в том числе и разработкой вредоносного ПО, особо не скрывалось. А теперь, как говорится, Рубикон перейден, и есть риск, что данные средства будут использоваться более активно. Это может привести к самым опасным последствиям.
Другой новой тенденцией стал значительный рост внимания злоумышленников к мобильным платформам. «Повсеместное распространение мобильных платформ достигло того уровня, когда злоумышленники просто не могут не обращать на это внимания», — так говорится об этом в 16‑м отчете Symantec по угрозам в области интернет-безопасности. Как отмечается в отчете, данному процессу способствует слабый контроль за приложениями, распространяемыми через официальные магазины. Именно таким образом распространялся Pjapps Trojan. На руку злоумышленникам также наличие уязвимостей в системном и прикладном ПО, которых, по данным Symantec, насчитывается 163. В итоге по состоянию на март 2011 г. число устройств, зараженных всяческого рода вредоносами, прежде всего троянцами, идет на сотни тысяч.
По мнению специалистов «Лаборатории Касперского», наиболее уязвимая среди мобильных платформ — Android. Для нее существуют вредоносы, «работа» которых ведет к заметному материальному ущербу для владельца коммуникатора или планшета. Для устройств на Apple iOS реально работающего вредоносного ПО пока не выявлено, хотя появилось несколько приложений, функционалом которых могут воспользоваться киберпреступники. Среди них отмечен, в частности, SpyPhone, хранящий аутентификационные данные для доступа к различным ресурсам.
Спам и фишинг
Как уже было сказано выше, в данном сегменте, похоже, происходит серьезная трансформация. Весь 2010 г. доля «мусорной» почты неуклонно сокращалась. В среднем за год доля такого рода сообщений, по данным «Лаборатории Касперского», составила 82%, что на 3 процентных пункта меньше, чем в 2009 г. В конце октября доля спама составила и вовсе немногим более 70%. С одной стороны, данная ситуация связана с заметными успехами в борьбе с ботнетами, на которые, по данным Symantec, приходится 90% всего мирового рынка спам-рассылок. Так, в конце февраля было закрыто 277 доменов, связанных с системой управления ботнетом Waledac. В августе — 20 управляющих центров еще более крупной зомби‑сети Pushdo/Cutwail. В октябре прекращена работа 143 командных центров крупнейшего ботнета Bredolab, который объединял около 30 млн компьютеров.
Результатом отключения этого ботнета стало ощутимое снижение доли спама в почтовом трафике. По данным «Лаборатории Касперского», она сократилась на 8—9%, по данным Symantec — на 40%. Тогда же прекратила существование одна из крупнейших в мире партнерских программ по продаже фармацевтических препаратов SpamIt. Серьезные потери спамеры понесли и после ареста участников группировки, владевшей ботнетом Zeus. Россия также не оставалась в стороне от этого процесса. В конце октября было заведено уголовное дело в отношении руководителя компании «Деспмедия» Игоря Гусева, которого обвиняют в продаже контрафактных препаратов с использованием спама через программу Glavmed.
Правда, эти потери спамеры успешно компенсировали ростом активности в социальных сетях, в том числе и связанной с рекламой товаров и услуг, для продвижения которых традиционно используется спам. Это лекарственные препараты, распространяемые по рецептам, всевозможный контрафакт (подделки продукции известных марок, «пиратские» музыкальные и видеодиски, нелицензионное ПО, поддельные дипломы и сертификаты), различные специфические услуги (например, сексуального характера или в области азартных игр) и многое другое. Кроме того, данный канал, как уже было сказано выше, используется для распространения вредоносного ПО, фишинговых атак и для проведения других афер («нигерийские письма» и т. п.).
Кроме того, никто не даст гарантии, что спамеры смогут восполнить потери, которые они понесли при закрытии упомянутых выше ботнетов. Прецеденты тому уже были. Так что расслабляться не стоит.
Утечки информации
По оценкам InfoWatch, количество утечек выросло незначительно: с 747 в 2009 г. до 794 в 2010 г. Однако ущерб от каждой утечки вырос, и существенно. Это связано с ростом концентрации данных, к чему ведет распространение дистанционного обслуживания и торговли. Количество скомпрометированных записей составило 654 млн, что охватывает практически все население развитых стран. По оценкам Symantec, в среднем прямой ущерб в результате одной утечки составлял 7,2 млн долл. Как и прежде, в основном «утекают» персональные данные. По оценкам InfoWatch, на них приходится 96% всех инцидентов. При этом средний размер утечки составил 1,4 млн записей. Symantec оценивает долю персональных данных в 85%. Такая ситуация связана с тем, что именно эта категория информации наиболее распространена и в то же время пользуется высоким спросом на теневом рынке.
По оценкам InfoWatch, на умышленные утечки пришлось 42% от общего числа инцидентов, на неумышленные — 53%. В 2009 г. преобладали умышленные утечки. Аналитики InfoWatch связывали это с эффектом от внедрения DLP‑систем, которые довольно активно внедрялись в предшествующем году. Возможно, сыграло свою роль и то, что на 2009 г. пришелся пик проявлений мирового кризиса, что и способствовало желанию поднять свое благосостояние за счет компании или повысить свою важность на новом месте работы. Как показывают опросы, более 70% всех работников в мире аккумулирует всевозможную служебную информацию, а в России эта доля превышает 90%.
В России аналитики InfoWatch зафиксировали 28 инцидентов, связанных с утечками информации. Все это были умышленные инциденты, связанные с персональными данными, которые использовались для совершения мошенничеств. Данные были украдены из банков и госучреждений. Заметная часть утечек вскрыта в ходе проверок Роскомнадзора.
По данным Symantec, чаще всего утечки данных допускали учреждения здравоохранения (27% от общего числа инцидентов), образования (18%), правительственные структуры (13%, без учета армии и правоохранительных органов), розничной торговли (12%) и финансов (11%, без учета страховых компаний). Вместе с тем по количеству пострадавших финансовый сектор окажется безусловным лидером за счет большего масштаба утечек. В среднем это более 235 тыс. человек, что на порядок больше, чем в случае инцидента, имевшего место в государственных, медицинских или образовательных учреждениях.
Основным каналом утечек, по данным InfoWatch, являлись настольные ПК и серверы (25%), бумажные копии (20%), Интернет/интранет (16%), мобильные устройства (12%). При этом структура каналов утечки серьезно отличается среди случайных и умышленных инцидентов. Среди случайных утечек больше половины приходится на твердые копии и Интернет/интранет. Среди умышленных преобладают связанные с ПК, серверами и мобильными устройствами, а также с использованием архивных копий. Крупнейшим инцидентом, связанным с утечкой данных, были сбои в аутентификационной системе Microsoft, в результате которых в течение нескольких часов пользователи могли заходить в чужие учетные записи. Этот инцидент прямо или косвенно затронул около 460 млн человек по всему миру. Вторым по масштабам оказался инцидент в Турции, где был обнаружен в продаже диск, содержащий персональные данные всех ее 72 млн граждан, украденные в госучреждениях. В Британии данные 25 млн налогоплательщиков, украденные в налоговой службе, были проданы по меньшей мере трем компаниям, занятым рассылкой спама.
Новые угрозы под контролем
Олег Глебов,
специалист департамента маркетинга компании «Информзащита»Широкое распространение социальных сетей привело к их использованию в качестве инструментов развития бизнеса. Маркетологи применяют их для ведения персональных страниц и блогов компаний, пиара, организации форумов и сообществ заинтересованных людей. Кадровые специалисты компаний проводят поиск сотрудников, онлайн‑собеседования с помощью видео- и аудиоконференций, собирают информацию о соискателях. Такая деятельность социальных сетей не осталась в стороне от внимания злоумышленников. А простое блокирование ресурсов может не только повлиять на качество работы сотрудников, но даже навредить компании. Вендоры в области информационной безопасности предлагают для решения этой задачи технологию контроля Web-приложений. Специальные продукты позволяют управлять доступом пользователя или группы пользователей к сотням тысяч приложений. Такой подход позволяет контролировать запуск Web-приложений согласно разработанным политикам, не блокируя тот или иной ресурс. В 2010 г. были обезврежены масштабные бот‑сети, которые использовались для атаки Web‑сервисов. Для защиты от таких атак используется Web application firewall, который защищает не только от существующих, но и от будущих угроз. Заметный рост рынка WAF-решений в прошлом году доказывает, что это одно из самых перспективных и востребованных направлений в информационной безопасности.
Впервые осуществлена атака на программируемые логические контроллеры атомной станции в Иране. Это открыло для преступников рынок промышленных сетей. Новый узконаправленный вирус Stuxnet оказался проблемой поистине глобального масштаба. В феврале 2011 г. он был замечен в системах более чем 40 000 предприятий в одном только Китае. Уязвимые контроллеры активно используются и России, в том числе в проектах «умный дом» и поездах «Сапсан». Событие, произошедшее в Иране, выявило острую потребность в специализированных системах защиты технологических сетей для АСУТП и SCADA.