Битва за информбезопасность

Нынешней весной новостей в сфере информационной безопасности поступает как-то особенно много. Пришлось даже основные из них свести в специальный обзор, который я и представляю вниманию читателей.

Антивирусная компания Eset опубликовала свой очередной отчет. Из него следует, что в марте 2011 года самой опасной из угроз информбезопасности была кража персональных данных и учетных записей. Самым популярным вирусом в марте был Win32/Spy.Ursnif.A, который крал персональную информацию и учетные записи с зараженного ПК, после чего отправлял их на удаленный сервер.

Также значительно распространились программы, которые заражали компьютеры через сменные носители (обычно флэшки) посредством запуска функции Windows Autorun. Третье место по уровню распространения заняла модификация червя Conficker - Win32/Conficker.AA.

В отчете особо отмечено, что в марте злоумышленники использовали громкие информационные поводы для "черных" методов поисковой оптимизации. Один из наиболее громких случаев такой оптимизации паразитировал на ифнормации о землетрясении в Японии для распространения ссылок на фальшивые антивирусы и вредоносное ПО.

Гендиректор "Лаборатории Касперского" Евгений Касперский, проводивший в Токио презентацию своих новых продуктов для японского рынка, неожиданно заявил, что реальной защиты от DDoS-атак не существует. "Защищаться можно только в том случае, если атака достаточно слабая. Однако в случае грамотно спланированной DDoS-атаки ничего не получится. Это очень серьезная проблема, на которую пока нет ответа", - отметил Касперский.

 

Напомню, что недавно в Рунете был отмечен ряд громких хакерских DDoS-атак. Им подверглись популярные в российском сегменте Сети блогосервис "Живой журнал" и web-версия издания "Новая газета". По данным "Живого журнала", атака велась более чем с 1 тыс. IP-адресов по всему миру. И, как рассказал в Токио Евгений Касперский, администрация "ЖЖ" обратилась в "Лабораторию" за помощью в отражении DDoS-атак.

А ФБР США с гордостью заявило о том, что обезвредило одну из крупнейших хакерских сетей. Создавшие её киберпреступники предположительно живут в России. Оказывается, сеть существовала целых 10 лет, за которые хакеры украли около $100 млн.

Как заявило Министерство юстиции США, которому подчинено ФБР, хакерская сеть была создана при помощи вируса Coreflood. Он смог объединить в ботнет порядка 2 млн зараженных ПК. Инфицирование компьютеров обычно происходило в ходе посещения пользователями web-страниц с внедренным вредоносным кодом. Браузер невидимо для пользователя перенаправлялся на промежуточный сервер, где на ПК загружалась программа, ворующая данные.

Ботнет хакеры использовали, чтобы воровать по всему миру личные данные пользователей и сведения об их кредитных картах. Заразив компьютер, преступники ждали, пока на банковском счете владельца ПК появятся деньги. В момент хищения на компьютере жертвы инициировались сбои в работе, чтобы владелец счета не успел обнаружить пропажу денег. Средства переводились на краденые карты, после чего снимались преступниками через посредников.

То, что хакерская сеть без помех работала около десяти лет, эксперты объясняют уникальным синтезом нескольких вредоносных программ, работающих на Coreflood. Известно также, что специальные stealth-технологии обеспечивали ботнету анонимность и незаметность. "Такая гремучая смесь позволяла Coreflood оставаться незаметной для пользователя и антивирусного решения даже в активном режиме", - говорят специалисты.

Американским следователям известно, что основная часть зараженных ПК работала на территории США. Жертвами мошенников также стали преимущественно граждане Штатов. Как говорят в ФБР, чтобы обезвредить ботнет, оперативники перехватили управление её серверами и удалённо посылали сигналы зараженным ПК на уничтожение вредоносной программы. Но окончательно отключить сеть удалось лишь после решения суда штата Коннектикут.

"Мы почти точно уверены, что за ботнетом стояла преступная группа из России", - заявил Алан Пэлер, представитель некоммерческой организации SAN Institute, помогающей бороться с киберпреступностью.

Тем временем эксперты по информбезопасности жалуются на то, что расшифровка вредоносных программ становится вся более сложной задачей. Как говорят эксперты по реверс-инжинирингу, хакеры теперь шифруют не просто имена функций, а целые блоки кода. Киберпреступники используют обфускацию для того, чтобы затруднить анализ вредоносного ПО и усложнить задачу системам обнаружения вторжений. Первоначально обфускация касалась только имен функций, затрудняя анализ двоичного кода.

"С развитием автоматизированного реверсинга авторы malware начали шифровать целые блоки и использовать более эффективные приемы умышленного запутывания, чтобы сделать проведение анализа и процесс обнаружения намного сложнее. В настоящее время большинство приемов обфускации простые и используют такие операции, как XOR или простое смещение. Однако все чаще злоумышленники применяют лучшие способы шифрования или свои собственные методы, чтобы сделать проведение анализа еще более трудным. Как ни странно, направленные атаки, которые многие называют "advanced persistent threats" (APT), не всегда самые трудные для анализа. Наемные разработчики, которые создают ПО для киберпреступников, в основном, используют шифрование и другие формы обфускации. Одной из причин повышения сложности является то, что конкуренция на рынке malware привела к созданию более совершенных инструментов. Ну и коммерческое вредоносное ПО все чаще использует технологию управления цифровыми правами, чтобы исключить возможность того, что клиенты станут конкурентами", - говорит Адам Мейерс, директор по кибербезопасности компании SRA International.

Проблема еще и в том, что атакующие используют множество различных способов проникновения в систему. Атаки, применяющие социальную инженерию, используют скрытые web-адреса; Drive-by загрузки, которые заражают ПК при посещении сайтов, шифруют свою действующую часть. А при вторжении на серверы используются совсем другие методы для защиты от систем обнаружения вторжения.

Еще одна тенденция нынешней весны - то, что компании, занятые в сфере информбезопасности, подвергаются более жестоким атакам, чем когда-либо ранее. Микко Хиппонен, директор по развитию компании F-Secure, сообщил, что разработчикам ПО для безопасности "в последние месяцы пришлось столкнуться с несколькими достаточно агрессивными атаками". "По сравнению с прошлым, мы видим их значительное увеличение, и они становятся все более жестокими. Очевидно, никому в индустрии безопасности не нравится наблюдать все большее и большее количество атак на компании. Нельзя добиться 100%-й безопасности, но мы делаем все возможное. Мы определенно не хотим бросать кому-либо вызов для взлома наших систем", - заявил Хиппонен.

Эти комментарии прозвучали после всплеска атак против технологических компаний. К примеру, сайт компании HBGary был взломан хакерской группировкой Anonymous после размолвки между этими организациями, что привело к утечке десятков тысяч почтовых сообщений фирмы. А недавно RSA подверглась серьезной атаке, в ходе которой была изъята информация, связанная с технологией компании SecurID. Затем Barracuda Networks столкнулась с атакой, в результате чего была украдена информация о партнерских контактах.

Как признал Микко Хиппонен, значительная проблема связана с трудностью выявления целевых атак. "Мы пропускаем большинство из таких атак. Причина, по которой это происходит, заключается в их узкой направленности. Обычно удар наносится лишь по одному компьютеру и не определяется защитными программами", - сказал эксперт.

По мнению F-Secure, большинство таких атак финансируется спецслужбами, о чем говорит большое количество попавших под удар общественных и защищающих свободу слова организаций.

Виктор ДЕМИДОВ

Версия для печатиВерсия для печати

Номер: 

15 за 2011 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!
 

Комментарии

Аватар пользователя АНДРЕЙ
"Как заявило Министерство юстиции США, которому подчинено ФСБ..."

ФБР? Если автор не ошибся, то получается интересненько, интересненько. :))

Аватар пользователя Инкогнито
ФБР... ФСБ... какая разница.... Все они на Моссад работают. :-)
Аватар пользователя mike
Осталось эту презабавность исправить на бумаге. :) И ещё. Автор всё Win упоминает. И правильно -- обожает вирусня Венду. :)