Kaspersky Security Bulletin 2012. Развитие угроз в 2012 году

13.12.2012 |

Александр Абрамов.

Отчет подготовлен экспертами Global Research&Analisys Team (GReAT) в сотрудничестве c подразделениями Content&Cloud Technology Research и Anti-Malware Research «Лаборатории Касперского».

10 важнейших инцидентов IT-безопасности 2012 года

В начале этого года мы опубликовали обзор вирусной активности в 2011 году (), в котором охарактеризовали год одним словом – «взрывоопасный». Тогда самой большой проблемой было поместить всего в десять сюжетов – главные сюжеты года - все многочисленные инциденты, темы, факты, новые тенденции и загадочных игроков.

События и игроки, определившие десятку главных сюжетов безопасности 2011 года, позволили нам сделать ряд прогнозов на 2012 год:

●    Продолжение роста активности хактивистских групп.
●    Рост числа инцидентов, связанных с атаками класса APT (Advanced Persistent Threat)
●    Первые свидетельства применения кибероружия. Борьба самых могущественных государств за доминирующее положение с применением кибершпионажа.
●    Атаки на разработчиков ПО и игр, таких как Adobe, Microsoft, Oracle и Sony.
●    Более активные действия правоохранительных органов по отношению к злоумышленникам, совершающим традиционные компьютерные преступления.
●    Взрывной рост угроз, нацеленных на Android.
●    Атаки на платформу Apple Mac OS X.

Насколько точными оказались наши прогнозы? Давайте посмотрим, какими в 2012 году были десять наиболее значительных инцидентов, связанных с информационной безопасностю.

1. Flashback: атака на Mac OS X

Несмотря на то что предназначенная для заражения Mac OS X троянская программа Flashback/Flashfake появилась в конце 2011 года, по-настоящему широкое распространение она получила только в апреле 2012 года. Говоря «по-настоящему широкое распространение», мы имеем в виду именно то, что программа распространилась действительно очень широко. Собранные нами статистические данные говорят о том, что троянец Flashback поразил более 700 000 компьютеров Mac. Это, по-видимому, самая крупная на сегодняшний день эпидемия вредоносных программ для MacOS X. Как же она стала возможна? Здесь сыграли свою роль два основных фактора: уязвимость в Java (CVE-2012-0507) и практически полное безразличие поклонников компьютеров Mac к проблемам безопасности.

С появлением Flashback возникла проблема, которая по-прежнему актуальна, потому что миф о неуязвимости всего, что связано с компьютерами Mac оказался разрушен и стало ясно: массовые эпидемии возможны не только в среде Windows. В 2011 году мы предсказали новые вредоносные атаки на компьютеры Mac. Однако мы не ожидали, что они приобретут такой масштаб.

2. Flame и Gauss: кибершпионаж на государственном уровне

В середине апреля 2012 года в результате серии кибератак были выведены из строя компьютерные системы нескольких нефтяных платформ на Ближнем Востоке. Ответственное за атаки вредоносное ПО, получившее название «Wiper», так и не было найдено, хотя по некоторым признакам оно имело много общего с Duqu и Stuxnet. Однако в ходе расследования мы наткнулись на масштабную кампанию по кибер-шпионажу, которая теперь известна как Flame.

Как нам представляется, Flame – одна из наиболее сложных угроз за всю историю вредоносного ПО. После полного развертывания ее на компьютере суммарный размер входящих в ее состав модулей составлял более 20 МБ. Эти модули выполняли широкий набор вредоносных функций, таких как перехват аудиоданных, сканирование устройств, подключенных по протоколу Bluetooth, кража документов и создание снимков экрана на зараженной машине. Наиболее впечатляющей возможностью программы было использование поддельного сертификата Microsoft для проведения атаки типа Man-in-the-Middle, нацеленной на службу Windows Update. Это позволяло вредоносной программе моментально заражать компьютеры, работающие под управлением Windows 7 со всеми необходимыми патчами. Сложность этого механизма не оставляла никаких сомнений в том, что программа была создана при государственной поддержке. Кроме того, специалисты «Лаборатории Касперского» обнаружили тесную связь между Flame и Stuxnet. Это позволило прийти к выводу, что разработчики Flame действовали в сотрудничестве с разработчиками Stuxnet, возможно в рамках одного проекта.

Программа Flame имеет большое значение, поскольку она продемонстрировала, что сложное вредоносное ПО способно оставаться необнаруженным в течение многих лет. По нашим оценкам, проекту Flame не меньше пяти лет. Вдобавок, Flame заставил специалистов по-новому взглянуть на угрозы «нулевого дня» из-за используемого им метода распространения, основанного на атаке man-in-the-middle, подобной чит-коду в компьютерной игре, включающему «режим бога».

Конечно же, после обнаружения Flame возник вопрос о том, много ли проводится других подобных кампаний. Вскорости другие кампании были обнаружены. В частности, Gauss  – еще один сложный троянец, широко распространенный на Ближнем Востоке, давший новое измерение киберкампаниям, проводимым на государственном уровне. Gauss интересен по нескольким причинам, причем ответы на некоторые вопросы отсутствуют по сей день. Среди множества загадок – для чего нужен нестандартный шрифт Palida Narrow и каково назначение зашифрованного вредоносного функционала, рассчитанного на компьютеры, отключенные от интернета. Кроме того, это первый созданный при государственном участии троянец, способный к краже у жертв логинов и паролей к системам онлайн-банкинга, преимущественно принадлежащим ливанским банкам.

Flame и Gauss усложнили и без того непростую ситуацию на Ближнем Востоке, сделав кибероружие важным фактором ее развития. Похоже, что нынешняя геополитическая напряженность имеет мощную кибернетическую составляющую – возможно, даже более мощную, чем можно было ожидать.

3. Взрывной рост числа Android-угроз

В течение 2011 года мы были свидетелями взрывного роста числа мобильных угроз, нацеленных на платформу Android. Мы предсказали, что число угроз для Android продолжит расти огромными темпами.

Число получаемых нами образцов продолжало расти, достигнув максимума в июне 2012 года, когда мы выявили почти 7000 вредоносных программ для Android. Всего в 2012 году мы идентифицировали почти 35 000 вредоносных программ для Android – это примерно в шесть раз больше, чем в 2011 году. Вдобавок, это примерно в пять раз больше, чем суммарное число образцов вредоносных программ для Android, полученных нами с 2005 года!

Такой невероятный рост числа вредоносных программ для Android можно объяснить двумя факторами: экономическим и связанным с самой платформой. Прежде всего, сама платформа Android стала невероятно популярной. На ее основе выпускается самое большое число телефонных аппаратов, а завоеванная ею доля рынка превысила 70%. В дополнение к этому открытый характер операционной системы, легкость создания приложений и разнообразные (неофициальные) магазины приложений вместе оказывают негативное влияние на уровень безопасности, заложенный в платформу Android.

Заглядывая в будущее, можно констатировать, что эта тенденция, несомненно, сохранится – ситуация в данном случае такая же, как с вредоносным ПО для операционной системы Windows много лет назад. Поэтому мы ожидаем, что 2013 год станет годом целевых атак против пользователей Android, угроз «нулевого дня» и утечек данных.

4. Утечка паролей из сервисов LinkedIn, Last.fm, Dropbox и Gamigo

5 июня 2012 года сайт LinkedIn, одной из крупнейших в мире социальных сетей, специализирующейся на поиске и установлении деловых контактов, был взломан неизвестными злоумышленниками. В результате взлома произошла утечка в интернет хешей более 6,4 миллионов паролей к пользовательским учетным записям. С помощью высокоскоростных графических процессоров специалистам по безопасности удалось восстановить 85% оригиналов паролей – поразительный результат. Это стало возможным по нескольким причинам. Во-первых, сервис LinkedIn хранил пароли в форме хешей, созданных по алгоритму SHA1. Несмотря на то что такие хеши обеспечивают более высокий уровень безопасности, чем созданные по чрезвычайно популярному алгоритму MD5, современные графические процессоры способны взламывать хеши SHA1 с поразительной скоростью. Например, процессор Radeon 7970 стоимостью 400 долларов способен проверять почти 2 миллиарда вариантов пароль/хеш в с секунду. Злоумышленники использовали также современные криптографические атаки, такие как применение цепей Маркова для оптимизации подбора паролей или сокрытия атак. Все это преподало веб-разработчикам урок того, как не следует хранить зашифрованные пароли.

Когда DropBox объявил о произошедшем взломе  и утечке данных пользовательских учетных записей, это стало очередным подтверждением того, что хакеры охотятся за ценными данными (особенно логинами и паролями пользователей) на популярных веб-сервисах. В 2012 году были осуществлены похожие атаки на сервисы Last.fm и Gamigo. В результате последнего инцидента на общедоступные ресурсы попали более 8 миллионов пользовательских паролей.

Чтобы проиллюстрировать масштаб проблемы, на конференции InfoSecSouthwest 2012 компания Korelogic распространила архив, содержащий около 146 миллионов хешей паролей, собранных в результате нескольких инцидентов со взломом сайтов, причем 122 миллиона паролей из этого числа уже были взломаны.
 
Эти атаки показывают, что в эпоху облачных вычислений, когда данные миллионов учетных записей хранятся на одном сервере, а доступ в интернет осуществляется по высокоскоростным каналам, угроза утечки данных приобретает новый масштаб. В прошлом году мы анализировали эту проблему применительно к взлому Sony Playstation Network. Наверное, нет ничего удивительного в том, что столь же масштабные взломы и утечки данных продолжились и в 2012 году.

5. Кража сертификатов Adobe и вездесущая APT-атака

В 2011 году мы были свидетелями нескольких громких атак на центры сертификации. Произошедший в июне взлом серверов голландской компании DigiNotar привел к уходу этой компании с рынка. Филиал компании Comodo выпустил в марте сертификаты по поддельным учетным данным. Обнаружение в сентябре 2011 года вредоносной программы Duqu также было связано со взломами центров сертификации.

27 сентября 2012 года компания Adobe объявила об обнаружении двух вредоносных программ, подписанных действительным сертификатом Adobe, предназначенным для подписывания кода компании. Сертификаты Adobe хранились с соблюдением правил обеспечения безопасности в особом защищенном хранилище – аппаратном модуле безопасности (HSM, hardware security module). Это специальное криптографическое устройство, значительно затрудняющее проведение атак. Тем не менее, злоумышленникам удалось взломать сервер, выполнявший запросы о подписывании кода.

Это была одна из чрезвычайно узконаправленных целевых атак, осуществляемых высококвалифицированными злоумышленниками, использующими полный арсенал вредоносных средств. Подобные инциденты часто называют APT-атаками. APT – Advanced Persistent Threat.

Тот факт, что серверы такой крупной и известной компании, как Adobe, были взломаны подобным образом, говорит о необходимости пересмотреть общепринятые представления о границах возможного для злоумышленников столь высокого уровня.

6. Отключение серверов DNSChanger

После того как киберпреступники, стоящие за вредоносной программой DNSChanger, были арестованы в ноябре 2011 года в ходе операции Ghost Click, управление инфраструктурой, которую они использовали для кражи личных данных пользователей, взяло на себя ФБР.

ФБР согласилось поддерживать серверы до 9 июля 2012 года, чтобы дать жертвам время удалить вредоносную программу со своих машин. Вопреки предполагаемым сценариям вселенской катастрофы, указанный день прошел достаточно спокойно. Это стало возможным благодаря тому, что свои ресурсы и время в проект вложили ФБР, другие правоохранительные органы, частные компании и государственные организации по всему миру. Это был крупномасштабный проект, который продемонстрировал, что успехов в борьбе с киберпреступностью можно добиться, развивая открытое сотрудничество и обмен информацией.

7. Инцидент с Ma(h)di

В конце 2011 и первой половине 2012 года злоумышленниками проводилась кампания по проникновению в компьютерные системы, нацеленная на пользователей в Иране, Израиле, Афганистане и других странах мира. В партнерстве с компанией Seculert мы провели подробное расследование этой операции, дав ей название «Madi» исходя из того, какие строки и идентификаторы использовали киберпреступники.

Несмотря на то что вредоносная программа Madi была относительно несложной, ей удалось заразить множество компьютеров по всему миру благодаря применению приемов социальной инженерии и технологии Right-To-Left-Override (RTLO). Кампания Madi продемонстрировала еще один чрезвычайно важный аспект операций по кибершпионажу в ближневосточном регионе: наравне с вредоносными программами, создаваемыми на государственном уровне с неограниченным бюджетом, малозатратные операции могут быть весьма успешны.

8. Уязвимости нулевого дня в Java

После описанного выше инцидента с Flashback корпорация Apple сделала решительный шаг и приняла решение отключить поддержку Java на компьютерах миллионов пользователей Mac OS X. Стоит отметить, что, хотя патч, закрывающий уязвимость, которую использовал Flashback, появился в феврале, владельцы компьютеров Apple оставались под ударом еще несколько месяцев после этого из-за медлительности компании Apple в отправке патча пользователям операционной системы Mac OS X: в отличие от других операционных системам, пользователи которых получали патчи напрямую от Oracle, патчи для Mac OS X доставляла на компьютеры пользователей сама корпорация Apple.

Кроме того, в августе 2012 в Java была обнаружена уязвимость нулевого дня (CVE-2012-4681), которая на тот момент уже активно использовалась в «дикой среде». Эксплойт для этой уязвимости был включен в чрезвычайно популярный набор BlackHole и быстро оказался наиболее эффективным из всех эксплойтов, входящих в этот набор, обеспечив заражение миллионов компьютеров по всему миру.

Во втором квартале 2012 года мы проанализировали, какое уязвимое ПО установлено на компьютерах пользователей, и обнаружили, что более 30% машин содержат старые уязвимые версии Java. Это, по-видимому, было самое распространенное уязвимое ПО на компьютерах пользователей.

9. Shamoon

В середине августа появилась подробная информация о крайне разрушительном вредоносном ПО, которое было использовано для атаки на Saudi Aramco – один из крупнейших в мире нефтяных конгломератов. По сообщениям, эта вредоносная программа полностью вывела из строя более 30 000 компьютеров.

Мы выполнили анализ Shamoon и обнаружили, что в эту вредоносную программу встроен переключатель, активирующий деструктивный процесс 15 августа в 8:08 по Гринвичу. Позднее появились сообщения еще об одной атаке той же вредоносной программы, нацеленной на другую ближневосточную нефтяную компанию.

Shamoon имеет большое значение, поскольку реализует идею, заложенную во вредоносную программу Wiper – разрушительный вредоносный функционал, который применяется для того, чтобы поставить под удар функционирование компании. Как и в случае с Wiper, многие детали остаются неизвестными, в частности каким образом происходило заражение компьютеров вредоносной программой и кто за ней стоял.

10. DSL-модемы, проблемы с продукцией Huawei и взломы аппаратных средств

В октябре 2012 года эксперт «Лаборатории Касперского» Фабио Ассолини (Fabio Assolini) опубликовал подробную информацию об атаке, осуществляемой киберпреступниками в Бразилии с 2011 года и использующей одну уязвимость в микропрограмме устройств, два вредоносных скрипта и 40 вредоносных DNS-серверов. Для атаки уязвима продукция шести производителей аппаратных средств. Речь идет об осуществляемой непрерывно в течение длительного времени скрытой массовой атаке на DSL-модемы, жертвой которой стали миллионы пользователей интернета в Бразилии.

В марте 2012 года специалисты бразильского центра CERT подтвердили, что в результате атаки злоумышленниками взято под контроль более 4,5 миллионов модемов, которые используются киберпреступниками для осуществления разнообразной мошеннической деятельности.

На конференции T2 в Финляндии эксперт в области безопасности Феликс Линднер (Felix ‘FX’ Lindner) из компании Recurity Labs GmbH сделал доклад об уровне безопасности и уязвимостях, обнаруженных в линейке маршрутизаторов Huawei. Этот доклад появился вскорости после того, как администрация США приняла решение провести в отношении компании Huawei расследование с целью определить уровень риска, связанного с потенциальной угрозой шпионажа со стороны этой компании.

Истории с Huawei и бразильскими DSL-маршрутизаторами нельзя считать случайными инцидентами. Они наглядно показали, что аппаратные маршрутизаторы могут быть источником такого же, если не большего риска IT-безопасности, как и устаревшее или полученное из неизвестных источников и не обновляемое ПО. Они продемонстрировали также, что задача обеспечения защиты стала более комплексной и сложной, чем когда-либо ранее, – в некоторых случаях, даже нереализуемой.

Заключение: от взрывоопасного к удивительному и сенсационному

Накануне нового 2013 года мы все задаем себе вопрос: «Что же будет дальше?» Подтверждением точности наших прогнозов можно считать представленную выше десятку наиболее значительных сюжетов уходящего года.

Несмотря на арест Ксавьера Монсегура (Xavier Monsegur) из хакерской группы LulzSec и многих маститых хакеров из группы Anonymous, хактивисты продолжали свою деятельность. Военные действия в киберпространстве и кибершпионаж получили новое измерение с обнаружением вредоносных программ Flame и Gauss. APT-атаки по-прежнему занимали видные места в новостных лентах: угрозы нулевого дня и сложные методы проведения атак использовались для взлома компьютерных систем, которые принадлежат занимающим высокое положение людям. На пользователей Mac OS X обрушилась эпидемия Flashfake – самая масштабная атака на компьютеры под управлением Mac OS X на сегодняшний день. А крупные компании пытались бороться с разрушительным вредоносным ПО, которое вывело из строя тысячи компьютеров.

Наиболее значительные игроки 2011 года остались прежними: это группы хактивистов, компании, работающие в области IT-безопасности, государства, сводящие счеты друг с другом с помощью кибершпионажа, крупнейшие разработчики ПО и компьютерных игр, такие как Adobe, Microsoft, Oracle и Sony, правоохранительные органы и киберпреступники, использующие традиционные методы, Google как производитель операционной системы Android, а также корпорация Apple – благодаря своей платформе Mac OS X.

2011 год мы охарактеризовали как «взрывоопасный». Инциденты 2012 года, на наш взгляд, также удивили и поразили многих наблюдателей. Но пока мы осознавали масштабы существующих угроз, шел процесс формирования новых…

Автор: Александр Абрамов.

Тематики: Безопасность

Ключевые слова: Kaspersky, Вирусы для мобильных телефонов