2014 год ознаменовался политическими и экономическими потрясениями. Но для специалистов по информационной безопасности это, прежде всего, год новых, особо опасных информационных угроз. Ведущие компании отрасли рассказали о наиболее заметных вредоносных программах и хакерских атаках года.
Прошедший год можно назвать годом триумфа организованной киберпреступности. Талантливые вирусописатели-энтузиасты, творившие ради любви к искусству программирования на грани закона, давно сошли со сцены. Хакеры-одиночки, стремившиеся подзаработать на своих талантах, также перестали представлять собой значимую угрозу. Первую скрипку играют сплоченные, хорошо финансируемые группы, ставящие перед собой четкие бизнес-задачи.
Современная вредоносная программа – продукт, разработанный под нужды заказчика или под требования рынка, планомерно развиваемый и поддерживаемый, либо услуга, предоставляемая по подписке. Каждая ее функциональная особенность отвечает какому-либо конкретному запросу от потенциальных покупателей. И в конечном итоге должна приносить деньги. И в этом авторы вирусов, червей, троянцев и прочих представителей вредоносного зоопарка, проявляют изрядное хитроумие.
Громче всех в этом году прогремел банкоматный троянец Backdoor.MSIL.Tyupkin, примечательный своей способностью к прямой манипуляции раздатчиком банкнот аппарата.
«Преступники проводят операцию в два этапа, – рассказали в «Лаборатории Касперского». – Сначала они получают физический доступ к банкомату и устанавливают с загрузочного компакт-диска вредоносную программу, получившую название Tyupkin; затем они перезагружают банкомат, чтобы загрузить вредоносную программу, которая позволяет им управлять работой банкомата. После этого вредоносная программа запускает бесконечный цикл ожидания пользовательского ввода. Чтобы усложнить обнаружение, Tyupkin принимает команды только в определенное время ночью в воскресенье и понедельник. В это время участники атаки могут ввести на клавиатуре банкомата комбинацию цифр, связаться по телефону с оператором вредоносного ПО, ввести еще один набор цифр и забрать деньги, выданные банкоматом в результате этих манипуляций».
Заметьте, извлечение денег требует работы с оператором, предоставляющим код. Это сделано для того, чтобы на «Тюпкине» не заработали случайные люди. Похоже, недолго осталось ждать появления круглосуточных кол-центров, предоставляющих техническую поддержку хакерам и пользователям вредоносных программ.
Троянец Regin, исследованный в этом году «Лабораторией Касперского», тайно работал более десяти лет. Regin – изменчивый и сложный для анализа зловред, различные его варианты попадались исследователям-безопасникам еще в 2003 году, но разобраться в его работе удалось только этой осенью.
Самое интересное в нем – его необычные способности. «Regin является первой обнаруженной вредоносной платформой, которая вдобавок к стандартным шпионским возможностям может проникать в GSM-сети и осуществлять слежку за звонками и передаваемыми сообщениями», – рассказали в «Лаборатории Касперского».
Regin способен заражать базовые станции мобильной связи, годами работая в GSM-инфраструктуре и ведя слежку за определенными людьми. Также он замечен в атаках на телекоммуникационные компании, органы государственной власти, финансовые и научные учреждения, международные политические организации и ученых, участвующих в математических и криптографических исследованиях. Троянец крадет электронные письма и документы, а также способен загружать на зараженный компьютер другие вредоносные программы.
Также крайне интересным оказался механизм связи Regin со своими хозяевами: зараженные компьютеры организуют сеть, обмениваясь информацией, и один из них становится маршрутизатором, отвечающим за связь с сервером злоумышленников. В работе Regin остается еще множество неизвестных особенностей. В частности, специалистам так и не удалось разобраться, как он проникает на компьютеры, известно лишь о его способности распространяться по локальным сетям. Как отмечают специалисты, Regin, скорее всего, является следом крупномасштабной разведывательной операции одной из мировых спецслужб.
Киберпреступники масштабом поменьше сосредоточились в этом году на мобильных устройствах. Поле деятельности крайне перспективное: там есть что украсть, а средства защиты распространены мало. Список контактов, логины и пароли, доступ к банковским счетам, приватная информация – все это можно найти едва ли не в каждом смартфоне.
Троянец Destover, примененный в ходе нашумевшей атаки на Sony Pictures Entertainment, оставил за собой след в виде множества выведенных из строя компьютеров. Атака на корпоративную сеть Sony привела к утечке большого объема конфиденциальных данных, включая информацию о зарплатах и персональные данные сотрудников, а также еще не вышедшие в прокат фильмы. Sony – не первая жертва Destover и ему подобных, но отловить семпл такого троянца очень непросто. Дело в том, что Destover относится к классу троянцев-стирателей и после выполнения своей задачи полностью затирает содержимое жесткого диска компьютера, включая себя самого.
В чьих интересах действовал Destover, достоверно неизвестно, однако эта атака последовала за угрозами, высказанными в адрес компании Министерством иностранных дел Северной Кореи. Гнев КНДР компания навлекла на себя выпуском комедийного фильма «Интервью», сюжет которого построен вокруг вымышленной попытки ЦРУ убить главу страны Ким Чен Ына. Есть ли между этими событиями связь или это лишь совпадение, неизвестно, но прокат фильма был сорван.
Android/Simplocker, под данным компании ESET, представляет собой первый троян-шифратор для Android. «Он был обнаружен аналитиками ESET в середине 2014 года и специализируется на шифровании файлов на устройстве пользователя, – рассказали в ESET. – После успешно проведенной атаки жертва теряет доступ к файлам, а Simplocker выводит на экран планшета или смартфона сообщение с требованием выкупа. Шифрованию подвергаются изображения, документы, видео».
Такого рода зловреды появились на десктопах довольно давно, они шифруют содержимое жесткого диска компьютера, и без уплаты выкупа пользователь не может получить доступ к своим программам и документам. В этом году нечто подобное появилось на Android-устройствах. Android/Simplocker запугивает жертву сообщением, что его смартфон был заблокирован ФБР, так как на нем была обнаружена детская порнография, и требует выкуп в объеме 300 долларов. Более того, Simplocker предварительно фотографирует жертву через камеру его собственного мобильного устройства и вставляет фото на страницу с требованием денег, дабы окончательно подавить волю жертвы к сопротивлению.
Пользователи смартфонов и планшетов на iOS долгое время наслаждались относительной защищенностью – их устройства были практически свободны от вредоносных программ, если, конечно, владелец не баловался установкой Jailbreak. В этом году был обнаружен новый троянец, опасный и для невзломанной iOS.
iOS/WireLurker известен своей редкой способностью заражать iOS-устройство без Jailbreak. Распространители WireLurker маскируются под компанию–разработчика программ для iOS. Для них Apple оставила возможность установки их программ напрямую, минуя AppStore. Похищенный цифровой сертификат iOS-разработчика поставил под удар миллионы мобильных устройств.
«Для заражения устройства Apple без Jailbreak вредоносная программа использует метод Enterprise provisioning. Это единственный способ установки ПО в обход AppStore. В таком сценарии атаки пользователь получает в сообщении ссылку на IPA-файл – специальный контейнер с приложением iOS, подписанный цифровым сертификатом Apple. Программа устанавливается, если пользователь переходит по ссылке. Это возможно из-за компрометации цифрового сертификата одной из компаний, который уже отозван», – рассказали в компании ESET.
Android.Becu.1.origin, обнаруженный в ноябре этого года компанией «Доктор Веб», демонстрирует всю уязвимость открытой платформы от Google. Его возможности не особо примечательны – он умеет незаметно загружать и устанавливать приложения на мобильное устройство, а также блокировать СМС-сообщения с определенных номеров. Интересен в нем механизм распространения: по сообщению компании «Доктор Веб», «Android.Becu.1.origin был встроен непосредственно в образ операционной системы целого ряда бюджетных Android-устройств, поэтому для его удаления могло потребоваться полное удаление всей информации с зараженного смартфона или планшета».
Жертва получает троянца, приобретая недорогой китайский смартфон, причем избавиться от него можно, лишь выкинув «заряженный» аппарат или перепрошив его, найдя прошивку с чистой ОС. В противном случае мобильный и, возможно, банковские счета владельца устройства будут регулярно «сливаться».
Несмотря на возрастающее давление правоохранительных органов на киберпреступную отрасль (а может, и благодаря ему), кибербандиты очень быстро осваивают новые способы незаконного обогащения и выстраивают между собой все более сложные связи. Куда пойдет развитие их преступного бизнеса, достоверно никто не знает. Но заранее пугает растущее число сообщений об обнаружении уязвимостей в автоматизированных системах управления, применяющихся в том числе и в ЖКХ. Технически уже сейчас нет ничего невозможного в троянце, останавливающем лифт между этажей и рассылающем застрявшим в лифте людям СМС с требованием выкупа. Успокаивает лишь то, что в России пока еще очень мало по-настоящему автоматизированных жилых зданий.