A
Alex 777
Guest,
- Регистрация
- 24.11.2005
- Сообщения
- 110 099
- Реакции
- 360
- Баллы
- 0
Итоги 2008 года
2008 год показал, что эпоха эпидемий осталась в прошлом. Начавшись в 2000 году, она характеризовалась большим количеством червей, вызывавших глобальные эпидемии и использовавших для своего распространения сначала электронную почту, а ближе к концу периода – сетевые атаки. Пик эпидемий пришелся на 2003-2005 годы.
2007-2008 годы стали началом нового периода со стремительным ростом количества троянских программ, ориентированных на кражу информации, которая в большинстве случаев относится к банковским аккаунтам и онлайн-играм. Очевидно, что в индустрии производства вредоносных программ существует четкое «разделение труда», когда разные этапы создания, распространения и использования вредоносных программ осуществляются разными группами людей. Фактически, киберкриминальный бизнес окончательно сложился в виде сети услуг, которые предоставляются взаимообразно внутри этого бизнеса.
Если в 2007 году мы констатировали смерть «некоммерческого» вредоносного ПО, то в 2008 году произошла смерть «эксклюзивных» вредоносных программ, создававшихся и использовавшихся одним-двумя людьми. Подавляющее большинство обнаруженных в 2008 троянцев и вирусов были созданы для продажи, причем активно использовались услуги по технической поддержке таких продаж, в том числе и обход антивирусных продуктов, если они начинали обнаруживать конкретный файл.
На международной сцене роль безусловного лидера в создании вредоносного ПО окончательно перешла к Китаю. Не ограничиваясь только созданием собственных троянских программ, китайские хакеры начали осуществлять локализацию иностранных вирусных решений, в первую очередь российских. Ими были созданы китайские версии таких популярных наборов эксплойтов, как IcePack, FirePack, MPack, локализованы несколько вариантов троянцев Pinch и Zeus и т.д.
Вместе с тем, китайские киберпреступники продолжали проявлять повышенную активность в поиске новых уязвимостей в популярном ПО, в первую очередь в Microsoft Office и Microsoft Windows. Здесь им удалось достичь значительных успехов, самым громким из которых стало обнаружение ими уязвимости в NetAPI Windows. В результате конец 2008 года ознаменовался большим числом атак, использующих уязвимость MS08-067.
Выражение «Большой Китайский Хак» фигурировало в средствах массовой информации, начиная с апреля и до октября 2008 года. Фактически, в интернете произошло две массовые атаки, нацеленные на взлом веб-сайтов, равных которым по объемам история еще не знала. В ходе первой из них, прошедшей в апреле-июне 2008 года, было взломано более двух миллионов интернет-ресурсов по всему миру. Основным инструментом атакующих были SQL-инъекции, позволявшие встроить в код взломанного сайта команды для скрытого перенаправления посетителей на хакерские сайты, откуда затем происходило заражение компьютеров пользователей вредоносными программами.
Однако во многом законодателями мод на вирусной сцене остаются русскоязычные вирусописатели. Они продолжали активно реализовывать модель Malware 2.0, в основе которой лежит принцип разделения различных вредоносных модулей по функционалу, использование универсальных средств взаимодействия между модулями и защищенные от внешнего воздействия каналы обмена данными и центры управления ботнетами.
Наиболее четко это проявилось в историях с двумя опаснейшими руткитами, обнаруженными в 2008 году: Rustock.C (по классификации «Лаборатории Касперского» эта программа получила имя Virus.Win32.Rustock.A) и Sinowal (Bootkit). В них были реализованы инновационные технологии, равных которым антивирусная индустрия еще не встречала, а созданные вокруг них мощные инфраструктуры по своей масштабности и сложности превосходили ранние образцы, – для червей Zhelatin и Warezov.
В полном соответствии с нашим прогнозом 2008 год оказался годом возвращения файловых вирусов. Добавив к своей традиционной функции – заражению файлов – функцию кражи информации и, что более важно, способность распространяться с помощью сменных накопителей, подобные творения смогли за короткое время поразить компьютеры пользователей в большинстве стран мира. Современные вирусы практически полностью перешли на полиморфную структуру кода, что создает дополнительные проблемы антивирусным компаниям, зачастую не успевающим оперативно реализовывать надежные средства детектирования и лечения таких угроз.
Черви на флешках оказались способны обойти традиционные средства защиты корпоративных сетей, основными элементами которых являлись почтовый антивирус, межсетевой экран и антивирус на файл-сервере. Проникая на локальную станцию в обход всех этих средств контроля, такие черви стремительно распространяются по всей сети, копируя себя на все доступные сетевые ресурсы.
Продолжающийся бум популярности социальных сетей и их активное использование в странах с большим количеством новых интернет-пользователей (Юго-Восточная Азия, Индия, Китай, Южная Америка, Турция, Северная Африка, страны бывшего СССР) привели к тому, что атаки на и через социальные сети из единичных инцидентов стали обыденным и крайне опасным явлением. Социальные сети используются не только для распространения новых вредоносных программ, но и для сбора информации, а также для реализации множества мошеннических схем, в том числе фишинга. Наиболее значительной эпидемией, затронувшей пользователей социальных сетей, стала эпидемия червя Koobface, первые варианты которого были обнаружены «Лабораторией Касперского» в июле 2008 года. Червь, нацеленный на пользователей социальных сетей Facebook и MySpace, в декабре обернулся серьезной проблемой и еще больше заставил волноваться компьютерную общественность после того, как были обнаружены его новые варианты, способные атаковать пользователей еще одной популярной социальной сети – Bebo.
В 2008 году прекратилось распространение множества вариантов червя Zhelatin (Storm Worm). Почти двухлетняя история (первые варианты червя появились в январе 2007 года) создала больше вопросов, чем ответов. Почти легендарный «Штормовой ботнет», по некоторым оценкам размером достигавший двух миллионов машин (некоторые эксперты говорили и о 50 миллионах), так и не показал всей своей мощности. Ожидавшиеся гигантские спам-рассылки и DDoS-атаки так и не произошли.
Возможно, одной из причин этого стало фактическое закрытие печально известного киберкриминального хостинга RBN (Russian Business Network). Активное обсуждение в СМИ его возможной причастности едва ли не ко всем происходящим в интернете событиям криминального характера привело к тому, что неизвестные владельцы RBN предпочли раздробить бизнес и создать несколько автономных хостингов, разместив их по всему миру – от Сингапура до Украины, и осуществлять свою деятельность менее открыто.
В итоге оказалось, что с маленькими клонами RBN справиться гораздо проще, чем с большим монстром. Осенью по киберпреступности было нанесено несколько серьезных ударов. Благодаря скоординированным действиям интернет-компаний, компаний, занимающихся информационной безопасностью, и правительств, последовательно были закрыты Atrivo\Intercage, EstDomains и McColo. Закрытие последней привело к тому, что количество спама в интернете резко сократилось – более чем на 50%. Прекратили свою работу множество ботнетов, управляемых с закрытых ресурсов. Несмотря на то что спустя несколько недель объем спама начал восстанавливаться, это событие стоит рассматривать как одну из самых значительных побед последних лет.
2008 год показал, что эпоха эпидемий осталась в прошлом. Начавшись в 2000 году, она характеризовалась большим количеством червей, вызывавших глобальные эпидемии и использовавших для своего распространения сначала электронную почту, а ближе к концу периода – сетевые атаки. Пик эпидемий пришелся на 2003-2005 годы.
2007-2008 годы стали началом нового периода со стремительным ростом количества троянских программ, ориентированных на кражу информации, которая в большинстве случаев относится к банковским аккаунтам и онлайн-играм. Очевидно, что в индустрии производства вредоносных программ существует четкое «разделение труда», когда разные этапы создания, распространения и использования вредоносных программ осуществляются разными группами людей. Фактически, киберкриминальный бизнес окончательно сложился в виде сети услуг, которые предоставляются взаимообразно внутри этого бизнеса.
Если в 2007 году мы констатировали смерть «некоммерческого» вредоносного ПО, то в 2008 году произошла смерть «эксклюзивных» вредоносных программ, создававшихся и использовавшихся одним-двумя людьми. Подавляющее большинство обнаруженных в 2008 троянцев и вирусов были созданы для продажи, причем активно использовались услуги по технической поддержке таких продаж, в том числе и обход антивирусных продуктов, если они начинали обнаруживать конкретный файл.
На международной сцене роль безусловного лидера в создании вредоносного ПО окончательно перешла к Китаю. Не ограничиваясь только созданием собственных троянских программ, китайские хакеры начали осуществлять локализацию иностранных вирусных решений, в первую очередь российских. Ими были созданы китайские версии таких популярных наборов эксплойтов, как IcePack, FirePack, MPack, локализованы несколько вариантов троянцев Pinch и Zeus и т.д.
Вместе с тем, китайские киберпреступники продолжали проявлять повышенную активность в поиске новых уязвимостей в популярном ПО, в первую очередь в Microsoft Office и Microsoft Windows. Здесь им удалось достичь значительных успехов, самым громким из которых стало обнаружение ими уязвимости в NetAPI Windows. В результате конец 2008 года ознаменовался большим числом атак, использующих уязвимость MS08-067.
Выражение «Большой Китайский Хак» фигурировало в средствах массовой информации, начиная с апреля и до октября 2008 года. Фактически, в интернете произошло две массовые атаки, нацеленные на взлом веб-сайтов, равных которым по объемам история еще не знала. В ходе первой из них, прошедшей в апреле-июне 2008 года, было взломано более двух миллионов интернет-ресурсов по всему миру. Основным инструментом атакующих были SQL-инъекции, позволявшие встроить в код взломанного сайта команды для скрытого перенаправления посетителей на хакерские сайты, откуда затем происходило заражение компьютеров пользователей вредоносными программами.
Однако во многом законодателями мод на вирусной сцене остаются русскоязычные вирусописатели. Они продолжали активно реализовывать модель Malware 2.0, в основе которой лежит принцип разделения различных вредоносных модулей по функционалу, использование универсальных средств взаимодействия между модулями и защищенные от внешнего воздействия каналы обмена данными и центры управления ботнетами.
Наиболее четко это проявилось в историях с двумя опаснейшими руткитами, обнаруженными в 2008 году: Rustock.C (по классификации «Лаборатории Касперского» эта программа получила имя Virus.Win32.Rustock.A) и Sinowal (Bootkit). В них были реализованы инновационные технологии, равных которым антивирусная индустрия еще не встречала, а созданные вокруг них мощные инфраструктуры по своей масштабности и сложности превосходили ранние образцы, – для червей Zhelatin и Warezov.
В полном соответствии с нашим прогнозом 2008 год оказался годом возвращения файловых вирусов. Добавив к своей традиционной функции – заражению файлов – функцию кражи информации и, что более важно, способность распространяться с помощью сменных накопителей, подобные творения смогли за короткое время поразить компьютеры пользователей в большинстве стран мира. Современные вирусы практически полностью перешли на полиморфную структуру кода, что создает дополнительные проблемы антивирусным компаниям, зачастую не успевающим оперативно реализовывать надежные средства детектирования и лечения таких угроз.
Черви на флешках оказались способны обойти традиционные средства защиты корпоративных сетей, основными элементами которых являлись почтовый антивирус, межсетевой экран и антивирус на файл-сервере. Проникая на локальную станцию в обход всех этих средств контроля, такие черви стремительно распространяются по всей сети, копируя себя на все доступные сетевые ресурсы.
Продолжающийся бум популярности социальных сетей и их активное использование в странах с большим количеством новых интернет-пользователей (Юго-Восточная Азия, Индия, Китай, Южная Америка, Турция, Северная Африка, страны бывшего СССР) привели к тому, что атаки на и через социальные сети из единичных инцидентов стали обыденным и крайне опасным явлением. Социальные сети используются не только для распространения новых вредоносных программ, но и для сбора информации, а также для реализации множества мошеннических схем, в том числе фишинга. Наиболее значительной эпидемией, затронувшей пользователей социальных сетей, стала эпидемия червя Koobface, первые варианты которого были обнаружены «Лабораторией Касперского» в июле 2008 года. Червь, нацеленный на пользователей социальных сетей Facebook и MySpace, в декабре обернулся серьезной проблемой и еще больше заставил волноваться компьютерную общественность после того, как были обнаружены его новые варианты, способные атаковать пользователей еще одной популярной социальной сети – Bebo.
В 2008 году прекратилось распространение множества вариантов червя Zhelatin (Storm Worm). Почти двухлетняя история (первые варианты червя появились в январе 2007 года) создала больше вопросов, чем ответов. Почти легендарный «Штормовой ботнет», по некоторым оценкам размером достигавший двух миллионов машин (некоторые эксперты говорили и о 50 миллионах), так и не показал всей своей мощности. Ожидавшиеся гигантские спам-рассылки и DDoS-атаки так и не произошли.
Возможно, одной из причин этого стало фактическое закрытие печально известного киберкриминального хостинга RBN (Russian Business Network). Активное обсуждение в СМИ его возможной причастности едва ли не ко всем происходящим в интернете событиям криминального характера привело к тому, что неизвестные владельцы RBN предпочли раздробить бизнес и создать несколько автономных хостингов, разместив их по всему миру – от Сингапура до Украины, и осуществлять свою деятельность менее открыто.
В итоге оказалось, что с маленькими клонами RBN справиться гораздо проще, чем с большим монстром. Осенью по киберпреступности было нанесено несколько серьезных ударов. Благодаря скоординированным действиям интернет-компаний, компаний, занимающихся информационной безопасностью, и правительств, последовательно были закрыты Atrivo\Intercage, EstDomains и McColo. Закрытие последней привело к тому, что количество спама в интернете резко сократилось – более чем на 50%. Прекратили свою работу множество ботнетов, управляемых с закрытых ресурсов. Несмотря на то что спустя несколько недель объем спама начал восстанавливаться, это событие стоит рассматривать как одну из самых значительных побед последних лет.