Супервирусы нового поколения

30.05.2013

С помощью новых приемов хакеры-профессионалы вымогают деньги и следят за пользователями, даже когда те сидят дома перед своими телевизорами.

С помощью новых приемов хакеры-профессионалы вымогают деньги и следят за пользователями, даже когда те сидят дома перед своими телевизорами. CHIP расскажет о новых приемах хакеров по вымогательству денег и слежке за пользователями Посещение одного из крупнейших европейских информационных интернет-ресурсов имело для многих пользователей дурные последствия. Злоумышленники внедрили в 186 подстраниц популярного сайта код, который распространял вредоносное ПО. Пока еще малоизвестный бот рассылал спам на компьютеры посетителей.

Использование для нападения безопасных и достойных доверия веб-сайтов — стандартный метод для нового поколения ботов, шпионских программ и банковских троянов. Несмотря на кажущиеся наивными названия, например Blackhole, Gameover и DroidKungFu, они представляют собой вполне серьезную угрозу. Чем так опасны эти «вредители» и как от них защититься, вы узнаете в этой статье.

Супервирусы заражают миллионы компьютеров. Большинство из них используют уязвимости в популярных программах, таких как Java, Flash или AdobeReader. При этом пути инфицирования разнообразны: преступники могут разместить вредоносный код на обычных сайтах, а затем заманить пользователя на свои страницы или разослать поддельные документы. Например, за последний год многочисленным европейским адресатам были отправлены электронные письма якобы от компаний Vodafone и Immobilien-Scout24. При открытии приложенного PDF-файла на компьютер устанавливался вирус.

Будущие цели: Windows 8 и Smart TV

Помимо классических атак эксперты по компьютерной безопасности ожидают в ближайшие месяцы и первых целенаправленных нападений на Windows 8. То, что новая система от Microsoft изначально оснащена большим количеством защитных механизмов по сравнению с предшественницами, слабо успокаивает Арье Горецкого — эксперта компании ESET. По его прогнозам, мошенники воспользуются пока еще непривычным интерфейсом, чтобы ввести в заблуждение пользователей фальшивыми системными сообщениями. Уже взломана защита от руткитов в Windows 8 (ELAM), подключающаяся во время загрузочного процесса. «Появились руткиты, загружающиеся еще до ядра ОС и таким образом обходящие ELAM», — заявляет Стефан Веше, специалист по безопасности компании Symantec.

Но под угрозой находится не только Windows. Операционные системы смартфонов, планшетов и телевизоров также попали под прицел мошенников. Причинами их уязвимости являются слабый контроль за магазинами приложений (Android), отсутствие у пользователей представлений об информационной защите (iOS) и выход устройств на рынок без концепции безопасности (Smart TV). Целями шпионских кибератак частных хакерских групп и государственных учреждений становятся не только простые пользователи, но и предприятия, заводы и политические организации. Тот, кто не способен разработать свою вредоносную программу, покупает готовые профессиональные решения. В качестве примера можно привести нашумевшую новость о том, что Федеральное управление уголовной полиции Германии (BKA) в целях тестирования приобрело шпионский софт FinFisher.

Компьютеры с Windows: золотая антилопа для гангстеров

  Вредоносное ПО попадает на ПК, выискивая и используя уязвимости в популярных программах при открытии веб-страницы.

С помощью новых троянов преступники могут сколотить себе целое состояние. Их приемы — «умные» бот-сети и серьезная техподдержка.

Если кибермошенник не может самостоятельно попасть на компьютеры своих жертв, он прибегает к помощи служб взлома. Там он может приобрести специальный инструмент — набор эксплоитов. Это вредоносное ПО распознает уязвимости, через которые вирус может проскользнуть в систему по методу Drive-by Download, когда даже не требуется участие пользователя. Самый опасный на данный момент набор под названием Blackhole приобретается преступниками на подпольных форумах. Лицензия на его использование, согласно документам разработчика, стоит от €40 (около 1700 рублей) в день до €1200 (около 50 000 рублей) в год. Покупатели встраивают эту «отмычку» в свои веб-сайты, после чего им остается только завлечь туда пользователей. Это делается с помощью фишинговых писем или путем заражения обычных ресурсов кусочком кода, который незаметно, в фоновом режиме, подгружает страницу с Blackhole.

Данный набор эксплоитов через код JavaScript «простукивает» систему пользователя в поисках слабых мест. Всю необходимую информацию этот коварный «вредитель» получает из постоянно обновляемого банка данных. Помимо прочего, такой сложный набор эксплоитов с трудом распознается антивирусами, поскольку в опубликованной в сентябре версии 2.0 используются динамические URL как для сайтов, где находится сам Blackhole, так и для страниц с вредоносным ПО.

Люкс-версия Blackhole под названием CoolExploitKit атакует только через так называемые уязвимости нулевого дня (ZeroDay), для которых даже в случае обнаружения не существует патчей. Это означает, что пострадать может любой пользователь ПО. «Такой набор эксплоитов предлагается только избранным клиентам по цене около $100 000 (порядка 3,2 млн руб.) в год», — объясняет Стефан Веше, эксперт компании Symantec.

Уязвимости в безопасности для проникновения опасных программ преступники находят прежде всего на частных сайтах, которые зачастую используют незащищенное серверное ПО.

Сколько стоят ваши данные:

Вид данных Цена
Данные кредитной карты €112
Электронные письма, SMS €44
История веб-поиска €43
Местоположение по GPS €41
Журнал браузера €39
Профиль (хобби, интересы) €3
Почтовый адрес, телефон €3
Ключ к 850 млн компьютеров

Самым крупным и дерзким достижением разработчиков Blackhole стала обнаруженная в январе и сразу интегрированная в этот набор эксплоитов уязвимость ZeroDay в среде Java. Пять дней заняла подготовка патча для Oracle у программистов. Все это время мошенники при помощи Blackhole могли получать контроль над атакованными компьютерами и заманивать пользователей на зараженные сайты. Впрочем, данная среда и без того пользуется огромной популярностью у преступников, поскольку установлена примерно на 850 млн компьютеров по всему миру, при этом многие версии из-за некачественного механизма обновлений являются устаревшими. Наш совет: обновляйте Java вручную. Для этого откройте меню «Пуск» и в строке поиска введите «Java». Среди результатов щелкните по записи «Java (32 Bit)» или «Java (64 Bit)». В появившемся окне Java Control Panel перейдите на вкладку «Обновить» («Update») и нажмите на кнопку «Обновить сейчас» («Update now»). Для полной уверенности можно просто удалить Java через меню «Пуск | Панель управления | Удаление программ». Как только набор эксплоитов взломает «дверь», он запускает вредоносное ПО, прежде всего новые версии банковских троянов, таких как ZeuS. «По нашим сведениям, Citadel является самым распространенным клоном трояна ZeuS», — рассказывает Ральф Бенцмюллер, руководитель компании G Data Security Labs. Для этого лидера банковских троянов разработчики даже организовали онлайновый сервис техподдержки, где киберпреступники могут сообщить о багах и поделиться идеями относительно новых возможностей. Все предложения затем обрабатываются в настоящем центре обслуживания. Базовый пакет Citadel включает в себя утилиту, с помощью которой можно подготовить бот-сеть для спама и осуществлять ее дальнейший контроль.

ZEUS И ЕГО ОТПРЫСКИ С момента распространения исходного кода ZeuS в Сети появились новые опасные модификации этого банковского трояна.

ЦЕЛИ БАНКОВСКОГО ТРОЯНА SPYEYE В списке целей троянских модификаций ZeuS оказались как банковские ресурсы, так и известные платежные системы.

Будущее: бот-сети с самоуправлением

Еще одна модификация трояна ZeuS — Gameover — демонстрирует будущее банковских бот-сетей. Здесь ставка была сделана не на классический ботнет с централизованным управлением, а на разветвленную структуру P2P. В ней каждый бот действует одновременно и как сервер управления. Таким образом, связанные между собой боты могут регулярно информировать друг друга об обновлениях и распространять их. Для властей невероятно сложно прекратить действие подобной сети, поскольку у нее отсутствует централизованное управление, то есть нет сервера, который можно было бы отключить от Интернета. Как и большинство вариантов ZeuS, троян Gameover регистрирует нажатия на клавиатуру, чтобы выяснить данные для входа на банковские порталы (так называемый кейлоггинг). Впрочем, Gameover отчасти использует и поддельные банковские страницы для прямого считывания данных. «В следующем году может даже появится банковский троян, использующий сеть Tor (анонимную, почти неконтролируемую сеть — прим. ред.)», — сообщает Ральф Бенцмюллер. Помимо банковских троянов золотой жилой являются неизменно популярные Ransomware (программы-вымогатели). Эти «вредители», как правило, в виде троянов семейств BKA и GEMA используют хитроумную мошенническую уловку, когда неопытных пользователей пугают логотипами настоящих органов власти. Они блокируют компьютер якобы на основании нелегальной (зачастую террористической) деятельности и освобождают его только после выплаты штрафа. С технической точки зрения существуют два варианта: Reveton полностью блокирует доступ к Рабочему столу, Ransomcrypt шифрует отдельные документы или даже все данные целиком. Как правило, пользователю предоставляют пять попыток для ввода правильного пароля. Если все они неудачные, троян самоликвидируется, оставляя закодированные данные или систему.

ГДЕ ХОЗЯЙНИЧАЕТ ТРОЯН BKA? В этих странах международная программа-вымогатель Reveton (более распространенное название — BKA) появлялась чаще всего.

УДАЧЛИВЫЕ ШАНТАЖИСТЫ За последний год число атак BKA-троянов выросло более чем вдвое — вероятно, потому что большинство жертв предпочитает заплатить.

Мобильные телефоны и ТВ: поля деятельности для хакеров

  Некоторые вирусы для Android способны на несколько атак, поэтому значения суммируются и составляют более 100%.

Едва только преступники «пристрелялись» к Android, как начали выслеживать пользователей и других устройств, подключаемых к Интернету.

Первые вирусы для мобильных устройств зачастую были способны поражать лишь малое количество аппаратов, а вот их преемники представляют собой массовую угрозу. К примеру, в середине января компания Kingsoft, занимающаяся безопасностью, раскрыла ботсеть, в которую входило более миллиона смартфонов. Шпионский троян скрывался почти в 7000 приложений из альтернативных магазинов. Подобная вирусная волна в прошлом году накрыла и компьютеры Mac, когда, по данным F-Secure, примерно 600 000 этих устройств было инфицировано спам-трояном Flashback. Эта атака использовала уязвимости в Java.

Некоторые вирусы для Android способны на несколько атак, поэтому значения суммируются и составляют более 100% Такой успех с мобильными аппаратами и компьютерами Mac преступники захотели повторить и на других устройствах, подключаемых к Интернету: телевизорах, DVD-проигрывателях и ресиверах цифрового телевидения. Поскольку они подсоединены к домашней сети, мошенник может внедрить вредоносный код сначала на компьютер, а оттуда и на другие компоненты. Такие вирусы используют открытые сетевые порты, зарезервированные для этих устройств, однако не защищенные совсем или же лишь с помощью простого стандартного пароля. Одно из первых нападений на сетевые аппараты произвела вредоносная программа LightAidra, заразившая за последний год ресиверы, устройства IPTV и роутеры на базе Linux-систем MIPS и SuperH.

Что делает вирус на смартфоне:

Подглядывание за пользователями

Какой вред могут нанести такие вирусы, показали исследователи в области цифровой безопасности на примере телевизоров Samsung и Sony Bravia. Работу данных устройств можно изменить с компьютера таким образом, что они станут бесполезными из-за постоянных перезапусков. В случае с Samsung атака осуществлялась с помощью подмененного пакета данных через сетевой порт устройства. Для телевизора Sony Bravia злоумышленник заменил MAC-адрес аппарата длинной цепочкой символов, вызвавшей переполнение буфера в памяти.  Эксперт Габриэль Менезес Нуньес считает, что в такой цепочке можно спрятать даже вредоносный код для выполнения его устройством. Еще одну уязвимость в телевизорах Samsung Smart TV в декабре прошлого года обнаружили сотрудники компании ReVuIn, специализирующейся на безопасности. Благодаря найденной лазейке мо-шенник может считать историю показанных телепередач и данные с подключенных USB-накопителей.

РАЗВИТИЕ SMART TV В МИРЕ Рост числа телевизоров, способных подключаться к Сети, делает их все более привлекательной целью для атак преступников.

  Промышленность: цифровая война

Разработанное профессионалами вредоносное ПО проводит атаки в сфере экономики и политики, порой оставаясь незамеченным годами.

Самые опасные вирусы атакуют не персональные компьютеры, а системы энергоснабжения. Также они мешают банковским операциям и проникают в политические организации. Злоумышленники, частные хакерские группы и даже секретные службы скрупулезно планируют такие операции. Один из примеров — «Красный октябрь», шпионская акция, раскрытая в январе «Лабораторией Касперского». В ее рамках по всему миру собиралась геополитическая информация в дипломатических учреждениях, исследовательских институтах и правительственных организациях. Целенаправленные фишинговые письма — например, с предложением купить автомобиль для дипломатов — устанавливали вредоносное ПО через уязвимости в программах Word и Excel. «Ничего оригинального, кроме того, что это работало, а операция очень успешно проходила более пяти лет», — считает Магнус Калькуль, руководитель европейских групп Global Research & Analysis Teams компании Kaspersky. Около 30 видов модулей вредоносного ПО могли считывать пароли, копировать электронные письма с серверов, регистрировать нажатия на клавиатуру и заражать подключенные к компьютеру мобильные телефоны и USB-накопители. При этом криптографический модуль считывал зашифрованные документы, закодированные программой Acid Cryptofiler, которая используется НАТО и Европейской комиссией для защиты секретных данных. Через пять дней после разоблачения этой операции организаторы отключили все серверы, через которые осуществлялась акция.

«Красный октябрь»
Как нападал на компьютеры Как шпионил
Зараженные фишинговые письма (слева) внедряли вредоносное ПО, которое после инсталляции блокировало установку патчей для Windows.

После того как вредоносное ПО загружало различные модули (например, кейлоггер), оно отправляло данные на свой управляющий сервер.

Контратаки на западные банки

Такие целенаправленные атаки со схожей комплексной инфраструктурой в последний раз наблюдались в случае с вирусом Flame. Предполагается, что с его помощью американские секретные службы следили в прошлом году за организациями на Ближнем Востоке. Контратака, начавшаяся в сентябре, затронула в первую очередь банки США. Группа иранских хакеров (по непроверенным данным, это была Qassam Cyber Fighter, действовавшая по поручению иранского правительства) пыталась парализовать онлайновый денежный оборот банков. Цель была достигнута с помощью атак Distributed Denial of Service (DDoS). Для этого сайты перегружались огромным числом веб-доступов, пока серверы не обрушились. В начале этого года атаки были настолько массированными, что банки обратились за помощью к американской секретной службе — Агентству национальной безопасности. При таких нападениях в конце концов пострадавшими могли стать обычные пользователи. Сегодня, возможно, происходит лишь запаздывание в работе онлайн-банкинга, но завтра это может коснуться связи, если парализованы будут почтовые серверы или социальные сети.

КИБЕРАТАКИ ПОСЛЕДНИХ ЛЕТ. Неясно, растет ли число кибератак, или их просто чаще раскрывают, но однозначно они усложняются.