Информационная безопасность: хроника 16 – 22 июня

Наступление середины года ничего не изменило в мировых раскладах в сфере информационной безопасности. Киберзлоумышленники все так же используют в своих интересах всякое заметное событие и все так же, как и прежде, тиранят Android. Также все более целенаправленным атакам подвергается бизнес-ПО корпоративного уровня – его взлом более «интересен» для хакеров, чем банальное собирание личных данных с частных компьютерных устройств.

Согласитесь, было бы странно, если бы киберпреступники не использовали в своих интересах Чемпионат мира по футболу. Например, еще до начала мундиаля эксперты представительства ESET в Латинской Америке обнаружили фишинговые сайты для кражи личных данных пользователей под видом регистрации на розыгрыш билетов на матчи чемпионата. А в мае-июне было выявлено несколько мошеннических сайтов, на которые пользователей заманивали сенсационными новостными заголовками о футболистах и «эксклюзивными предложениями» для покупки билетов.

Но было и кое-что необычное. Например, таковой стала кампания кибератак под общим названием #OpHackingCup или #OpWorldCup, инициированная хакерами из группировки Anonymous. Уже в первые дни ЧМ по футболу «Анонимусы» подвергли DDoS-атакам и взломам сайты компаний, имеющих отношение к организации соревнований. После этого перед публикой предстал официальный (насколько такое вообще возможно) представитель Anonymous по имени Che Commodore. Он заявил, что группировка уже атаковала «десятки сайтов», а еще больше повергнутся атаке в ближайшее время. В частности, объектами нападения должны стать правительственные учреждения и спонсоры чемпионата.

Как водится, Anonymous путем компьютерных взломов протестуют против социальных проблем, коррупции в госорганах и хищения средств, предназначенных для проведения мундиаля. И здесь, кстати, они оказались вполне «в теме»: по Бразилии накануне чемпионата как раз прокатилась волна протестов против его проведения. Тогда же Che Commodore заявил в интервью Reuters, что Anonymous поддерживают протесты в разных слоях общества против проведения соревнований.

Хотя сами «Анонимусы» стараются таковыми и оставаться, свои действия они делают максимально публичными. Список нынешних и будущих жертв кампании #OpWorldCup размещен на Hacker News Bulletin. Некоторые из тех, кто уже подвергся атаке, восстановили работоспособность своих сайтов, но часть ресурсов по-прежнему недоступна.

Тем временем грандиозный скандал разгорается совсем в другой сфере. Как выясняется, специализированное ПО для бизнес-администрирования совсем не такое безопасное, каким его пытаются представить разработчики ERP-, CRM- и прочих подобных систем. Эксперты компании Digital Security представили результаты своей работы по анализу уязвимостей платформы SAP – исследование продуктов лидера рынка делового ПО длилось целых семь лет. Результаты удручают: было обнаружено 3000 уязвимостей. Значительная их часть была закрыта при помощи команды Digital Security, но сколько были использованы злоумышленниками остается неизвестным.

При этом динамика однозначно негативная. Число уязвимостей (найденных сторонними организациями), к которым в SAP выпустили патчи, возросло по сравнению с 2000-ми годами c 10% до 60-70% от всех уязвимостей, закрываемых ежемесячно. Число уязвимостей в SAP, находимых в течение месяца, сократилось почти в два раза по сравнению с 2010 годом, когда это количество достигло своего пика. Количество проблем, обнаруживаемых в новых продуктах, включая SAP HANA, растет гораздо быстрее по сравнению с остальными.

Есть у SAP и своя «специфика» по багам. Как следует из отчета Digital Security, число узвимостей, связанных с повреждениями памяти (Memory Corruption), в семь раз меньше у SAP по сравнению с продуктами других участников рынка. Зато проблемы, связанные с ошибками конфигурации, в пять раз «популярнее» для SAP, чем для ПО компаний-конкурентов.

«В соответствии с данными портала cvedetails.com, собирающего информацию по всем публичным уязвимостям, а также наиболее уязвимым вендорам, по количеству CVE продукты SAP находятся на 37 месте в списке производителей. Однако стоит понимать, что не все проблемы SAP имеют CVE, – говорит технический директор компании Digital Security Александр Поляков. – Сами представители SAP их не публикуют, в то время как сторонние исследователи тоже делают это лишь изредка. Поэтому, если мы будем судить по количествам публичных уведомлений об уязвимостях (advisories), число которых насчитывает чуть более 500, то SAP находится на 15 месте. В то же время, если мы будем считать по числу уязвимостей, закрытых производителем в общем, включая внешние и внутренние, то их наберется 3013. В таком случае SAP окажется на втором месте после Microsoft. Отметим, что такое сравнение является не совсем правомерным, поскольку Microsoft закрывает множество проблем внутренне. Впрочем, и SAP также может закрывать часть уязвимостей без выпуска SAP Security Note».

Ну а в потребительском сегменте компьютерного рынка повышенным вниманием киберзлоумышленников продолжает пользоваться мобильная ОС Android. Напомню, что немногим более месяца назад «Лаборатория Касперского» выявила первый в истории троян-шифровальщик под Android (она же стала первой программой такого рода для мобильных устройств). Как и на обычных ПК, шифровальщик «берет в заложники» пользовательские файлы, шифрует их и требует от пользователя «выкуп», обещая предоставить ключ для расшифровки после оплаты определенной суммы. Оригинальная версия вредоноса занесена в реестр «ЛК» как Trojan-Ransom.AndroidOS.Pletor.a, западные компании называют его Simplocker.

Эксперты «Лаборатории Касперского» свидетельствуют, что троян начал продаваться на подпольных форумах в середине мая по цене $5000. На сегодняшний день выявлено уже более 30 его модификаций. Показательно, что почти все они распространяются в русскоязычных странах.

Свое собственное исследование Simplocker провела антивирусная компания ESET, а также независимые эксперты в области криптографии, в том числе английский студент Саймон Белл. Он преобразовал APK в JAR, после чего среди файлов нашел класс AesCrypt, отвечающий за шифрование и дешифрование. В нем в качестве константы был прописан пароль «jndlasf074hr». Саймон проверил и убедился, что пароль используется как при шифровании, так и при дешифровании файлов. Это позволило ему написать Java-программу, которая дешифрует файлы на инфицированном устройстве, тем самым збавляя жертвы заражения от необходимости платить злоумышленникам.

Одновременно в каталоге Google Play появилась приложение Аvast! Ransomware Removal от компании Avast, которое делает ровно то же самое. Его можно установить его на смартфон и планшет из каталога Google Play в удаленном режиме, зайдя в аккаунт Google с другого компьютера. Кроме дешифрования файлов, приложение еще и автоматически удаляет троян.

Впрочем, буквально через несколько дней эксперты вирусной лаборатории ESET в Братиславе детектировали уже новые модификации Simplocker. По данным облачной технологии ESET LiveGrid, наибольшее распространение эти версии трояна-вымогателя получили в России и Украине. Новые модификации Simplocker, обнаруженные аналитиками ESET, отличаются друг от друга рядом признаков: одни версии используют для связи с командным сервером обыкновенные домены, другие – домены .onion, принадлежащие анонимной сети TOR; обнаружены различные пути передачи команды decrypt, которая сигнализирует о факте получения выкупа злоумышленниками; используются разные интерфейсы окон с требованием выкупа и различные валюты (рубль и гривна); некоторые модификации используют в сообщении о блокировке фотографию пользователя, сделанную на встроенную камеру устройства; вопреки обещанию мошенников, несколько версий Simplocker не шифруют файлы, а просто блокируют устройство. Еще одна отличительная примета новинок - то, что в большинстве новых модификаций применен упрощенный подход к шифрованию с использованием алгоритма AES и жестко зашитого ключа. То есть можно сказать, что злоумышленники в целом пошли по пути упрощения исходной программы.

Simplocker распространяется посредством загрузчика (downloader), который удаленно устанавливает основной файл трояна. Использование такого типа вредоносного ПО является обычным для Windows, но в последнее время такие программы создаются и для Android. При этом система телеметрии ESET LiveGrid установила основные векторы заражения Simplocker. Чаще всего злоумышленники маскируют троян под приложение с порнографическим контентом или популярную игру, например, Grand Theft Auto: San Andreas.

Специалисты ESET изучили один из загрузчиков, известный специалистам как Android/TrojanDownloader.FakeApp. Он распространялся под видом видеоплеера USSDDualWidget через магазин приложений. Его URL-адрес не указывал напрямую на вредоносный файл с трояном, поэтому сам по себе загрузчик не вызывал подозрений. Установка Simplocker происходила после перенаправления на другой сервер, находящийся под контролем злоумышленников.

«Подобные приложения могут появляться даже на Google Play и успешно избегать разоблачения со стороны security-приложений, в частности, Bounce, – предупреждает Артем Баранов, ведущий вирусный аналитик ESET Russia. – Причина в том, что такие загрузчики при установке не требуют подозрительных разрешений на доступ, а сам факт перехода по URL еще не говорит о вредоносной активности». Чтобы не стать жертвой операторов Simplocker, эксперты ESET рекомендуют отказаться от загрузки подозрительных приложений, регулярно проводить бэкап данных и использовать мобильный антивирус.

Конечно, Simplocker – далеко не единственная актуальная угроза для Android-пользователей. Компания FireEye в своем отчете рассказывает о вредоносном приложении для Android-устройств, выдающем себя за Google Play. Этот вредонос преимущественно атакует корейских пользователей. Обнаружить вирус практически невозможно. Только три из 51 антивирусного решения оказались способны найти на системе жертвы ложный Google Play с интерфейсом на корейском языке.

Как сообщают в FireEye, иконка приложения выглядит почти также, как и у Google Play, а располагается она на главной странице мобильного устройства. Это очень значительно увеличивает вероятность того, что пользователи зайдут именно во вредоносное приложение, а не будут работать с подлинным клиентом. Активируется программа после первого клика, а начав работу – похищает текстовые сообщения жертвы, сертификаты подписи, а также пароли, используемые для online-банкинга. При этом, что немаловажно, опция Google App Stoy, якобы предназначенная для удаления приложения, на самом деле не удаляет его. Соответственно, вредонос запускается при каждом включении или перезагрузке системы.

Виктор Демидов