Среднестатистический российский пользователь Интернета раз в неделю подвергается сетевой атаке. Каждые 10 дней антивирус на его ПК «отлавливает» вирус. На конференции «Вирусные итоги года» эксперты ведущей антивирусной компании «Лаборатория Касперского» успокаивают: конца света в 2012-м не будет. Но мир стоит на пороге кибервойны. С каждым днем DDoS-атаки будут только мощнее. А владельцев телефонов на базе Android ждет вирусная эпидемия.
Среднестатистический российский пользователь Интернета раз в неделю подвергается сетевой атаке. Каждые 10 дней антивирус на его ПК «отлавливает» вирус. Сегодня группы риска значительно расширились, и теперь это не только любители «клубнички», но и посетители развлекательных сайтов и социальных сетей. На конференции «Вирусные итоги года» эксперты ведущей антивирусной компании «Лаборатория Касперского» успокаивают: конца света в 2012-м не будет. Но мир стоит на пороге кибервойны. С каждым днем DDoS-атаки будут только мощнее. А владельцев телефонов на базе Android ждет вирусная эпидемия.
Предварительные итоги вирусной активности за 2011 год и киберпрогноз на следующий эксперты «Лаборатории Касперского» озвучили в рамках ежегодной встречи «Вирусные итоги и прогнозы». О том, что к их предсказаниям можно и нужно прислушиваться, говорит тот факт, что большая часть из того, о чем они предупреждали год назад, сбылась. В частности, на поле кибератак появились новые игроки, главной целью которых стала кража информации. Согласно данным «Лаборатории Касперского», 2011 год был отмечен не только количественным, но и качественным ростом киберугроз. Жертвами становились не только отдельные пользователи, но и целые корпорации. Причем по другую сторону добра теперь оказываются замеченными не только так называемые хактивисты, но и госструктуры некоторых стран и представители бизнеса, решившие использовать новые методы в конкурентной борьбе. 2011 год стал самым насыщенным по количеству атак на корпорации, которые, как ни парадоксально, гораздо слабее защищены по сравнению с персональными юзерами.
Наиболее громкими стали взломы компаний HBGary и RSA. Кроме этого жертвами различных инцидентов оказались BMI, Lush, сайты Play.com, wiki.php.net. В результате успешных атак в руки злоумышленников попала различная информация (в том числе персональные данные пользователей), которая хотя и не дает возможности быстрого обогащения, но представляет интерес для киберпреступников. Забавно, но ставшие объектами атак HBGary и RSA сами специализируются на IT-безопасности. Обе атаки были осуществлены двумя разными «источниками»: в первом случае ответственность взяли на себя представители движения Anonymous, во втором случае эксперты, расследовавшие инцидент, склоняются к «китайскому» следу. После атаки на HBGary огромное количество конфиденциальной информации было выложено в открытый доступ. Именно удар по репутации компании, которым стала огласка взлома, и был основной целью злоумышленников.
Атака на RSA происходила по классической схеме – сотрудникам компании по электронной почте был разослан xls-файл c названием «2011 Recruitment Plan.xls» в надежде, что хоть один человек откроет файл. Их расчет оказался верен: в любой самой мощной организации всегда найдется слабое место. Взлом RSA впоследствии оказался только первым звеном длинной цепи запланированных атак. Главной целью была компания Lockheed Martin, один из крупнейших производителей военной техники и подрядчик министерства обороны США.
Второй квартал 2011 года оказался еще более насыщенным инцидентами, связанными со взломом крупных компаний, чем первый. В список пострадавших вошли такие компании, как Sony, Honda, Fox News, Epsilon, Citibank. В большинстве случаев были украдены данные клиентов компаний.
Одна из самых крупных утечек персональных данных произошла в результате взлома сервисов, принадлежащих компании Sony: PlayStation Network, Qriocity и Sony Online Entertainment. По оценкам самой Sony, в руках злоумышленников могли оказаться данные 77 миллионов пользователей сервисов PSN и Qriocity. Несколько недель, пока велось расследование инцидентов и шло обновление системы безопасности, сервисы Sony были недоступны по всему миру, что, естественно, вызвало негодование клиентов компании. Помимо личных данных пользователей подобные сервисы хранят данные кредитных карт клиентов, которые пользовались их платными услугами. Хотя компания заявила, что в руках хакеров может быть только часть информации о кредитных картах, без кодов cvv2 и сvc2, а именно номер карты и срок ее действия, данной информации злоумышленникам вполне достаточно, чтобы завладеть средствами клиента.
По данным экспертов, традиционная киберпреступность все еще сохраняет свои лидерские позиции. Их способы заработка не изменились: кража учетных записей онлайн-банкинга, рассылка спама, DDoS-атаки, вымогательство и мошенничество. Для России в этом плане все только начинается, страну захлестывает настоящий вал угроз в социальных сетях, «банковских» троянских систем и бесчисленных «блокировщиков Windows».
Серьезная угроза нависла над владельцами мобильных телефонов на базе платформы Android. «Впервые появившись чуть более года назад (в августе 2010 года), троянские программы, функционирующие на Android, уже обошли по своему количеству развивавшиеся несколько лет угрозы для Symbian и уже насчитывают несколько сотен различных вариантов. Вне всякого сомнения, мы стоим на пороге значительных вирусных эпидемий на мобильных Android-устройствах”, - отмечают специалисты «Лаборатории Касперского».
Все вредоносные программы для Android эксперты предлагают разделить на две большие группы: "зловреды", у которых есть цель украсть деньги или информацию, и «зловреды", у которых есть цель контролировать устройство. Уже по состоянию на октябрь порядка 34% всех вредоносных программ для Android так или иначе были нацелены на кражу персональной информации: контакты, логи звонков, SMS-сообщения, GPS-координаты, фотографии. Причем в основном на краже информации специализируются китайские киберпреступники. Что касается кражи денег, то здесь по-прежнему в авангарде российские вирусописатели, которые начали массово создавать SMS-троянцев для Android. В 2011 году широкое распространение получили "зловреды", преследующие своей целью контроль устройства. То есть злоумышленник получает возможность удаленно осуществлять практически любые действия со смартфонов. Вредоносные программы можно отловить даже в официальном магазине приложений Android. Первый такой случай был зафиксирован в начале марта 2011 года. “Популярность Android и простота разработки программного обеспечения и его распространения через официальный источник, а также недостаточный анализ новых приложений на предмет вредоносности сыграли злую шутку с Google, - поясняют в «ЛК». - Злоумышленники не преминули воспользоваться всеми этими факторами, и в результате мы сталкиваемся с ситуациями, когда зловреды распространяются через Android Market не то что в течение часов или дней, а в течение недель и даже месяцев, что приводит к большому числу заражений".
2011 год ознаменован еще и тем, что на киберарену выходят корпоративный шпионаж и разведывательная деятельность. Объектами целевых атак в основном были американские компании и ведомства, однако и другие страны мира также пострадали от крайне серьезных инцидентов. Например, японская корпорация Mitsubishi Heavy Industries, которая помимо всего прочего является производителем военной техники. По данным, обнародованным в японской прессе, было заражено около 80 компьютеров и серверов заводов, которые занимаются производством оборудования для подводных лодок, ракет и атомной промышленности.
Например, вредоносные программы обнаружили на судостроительном заводе в Кобе, специализирующемся на производстве подводных лодок и компонентов для атомных станций. Атаке хакеров подверглись заводы в Нагое, где делают ракеты и ракетные двигатели, а также завод в Нагасаки, производящий сторожевые корабли. Первоначально было заявлено, что конфиденциальная информация не была похищена. Но затем в ходе расследования, которое длилось почти месяц после инцидента, в прессу попала информация о том, что хакерам все-таки удалось украсть данные о разработках реактивных истребителей, а также чертежи ядерных электростанций.
Кроме атаки на Mitsubishi Heavy Industries в Японии широкую известность получила целевая атака против членов нижней палаты японского парламента и ряда дипломатических миссий страны Восходящего Солнца по всему миру. В парламенте оказались заражены 32 компьютера. Вирусы также были обнаружены на компьютерах в посольствах Японии во Франции, Нидерландах, Мьянме, США, Канаде, Китае и Южной Корее. Вредоносные программы общались с двумя серверами, расположенными в Китае, которые злоумышленники ранее уже использовали в атаках против компании Google.
Сетевые атаки в 2011 году не обошли и российские компании и ведомства. За прошедший период в России подверглись атакам 7 НИИ, 7 авиакосмических и оборонных предприятий, 11 министерств и ведомств, 3 коммерческие структуры и 6 СМИ. Наиболее серьезным и массовым инцидентом стала атака Lurid. Инцидент был раскрыт в ходе расследования, проведенного специалистами компании TrendMicro. Им удалось перехватить обращения к нескольким серверам, которые использовались для управления сетью из полутора тысяч взломанных компьютеров, расположенных в основном в России, странах бывшего Советского Союза, а также Восточной Европе.
В 2011 году DDoS-атаки также использовались многократно и с самыми разными целями. Наиболее громкие атаки в мировом масштабе были связаны с деятельностью групп Anonymous и LulzSec. В России же наиболее известными атаками стали инциденты с популярным сервисом блогов LiveJournal. Однако основное число атак пришлось на предприятия реального сектора услуг, интернет-магазины и игровые ресурсы.
Самая протяженная DDoS-атака, зафиксированная службой «ЛК» в России, продолжалась 80 дней 19 часов 13 минут 05 секунд и была нацелена на туристический сайт. Средняя продолжительность DDoS-атаки в России составила 9 часов 29 минут. Летом и осенью 2011 года были зафиксированы две крупные волны DDoS-атак на сайты турфирм. Первая волна атак была приурочена к летним отпускам, вторая была связана с периодом новогодних праздников. В «Лаборатории Касперского» уверенно говорят, что в оба сезона DDoS-атаки были заказными: фактически это тихие войны турфирм в киберпространстве.
Одной из поучительных историй про нечестную конкурентную борьбу является DDoS-атака на платежный сервис Assist. В октябре этого года владелец компании ChronoPay Павел Врублевский сознался в совершении DDoS-атак, в результате которых в 2010 году была приостановлена продажа электронных билетов через сайт крупнейшей авиакомпании России – Аэрофлота. Мотивом к совершению этого преступления мог служить тот факт, что Assist являлся конкурентом Chronopay. С помощью DDoS-атаки владелец Chronopay, по всей видимости, хотел дискредитировать сервис конкурента и переманить крупного клиента, тем самым увеличив свою и прибыль. В настоящее время Павлу Врублевскому инкриминируются две статьи Уголовного кодекса (272 и 273), санкции которых предусматривают до 7 лет лишения свободы.
Как отмечают эксперты «Лаборатории Касперского», на протяжении всего этого года можно было наблюдать небывалый всплеск активности компьютерных злоумышленников, движимых не просто жаждой наживы, а жаждой мести к политикам, госорганам, большим корпорациям и государствам. Политически мотивированные хакеры проникали в самые охраняемые системы, публиковали данные о сотнях тысяч людей по всему миру, а самые технологически развитые системы находились под постоянным DDoS’ом со стороны крупных ботнетов. Государственные ресурсы Канады, Франции и Южной Кореи подверглись атакам хакеров в первом квартале. В Канаде и во Франции целью злоумышленников были засекреченные документы. В Южной Корее атаке подверглись принадлежащие правительству аккаунты в Twitter и YouTube. Мотивацией для совершения атаки послужила не жажда наживы, а протест против решений организаций и органов госвласти.
Волна «хактивизма» — взлома или вывода из строя каких-либо систем в знак протеста — была особенно сильна в середине 2011 года. Во втором квартале появилась новая группировка LulzSec, за 50 дней своего существования успевшая взломать множество систем и опубликовать личную информацию десятков тысяч пользователей. Как и в случае с группой Anonymous, действия LulzSec не были финансово мотивированными. Сами представители группировки утверждают, что они взламывали серверы компаний просто «по приколу». Под удар LulzSec попали и крупные корпорации, такие как Sony, EA, AOL, и государственные органы: сенат США, ЦРУ, SOCA UK. Информация, которая попадала в руки LulzSec в результате атак, публиковалась на их сайте, а затем выкладывалась в torrent-сети. Чаще всего это были персональные данные пользователей. Со временем атаки LulzSec получили политическую окраску. Они объединили усилия с группировкой Anonymous для организации ряда атак на государственные органы и крупные корпорации с целью публикации закрытых данных. В результате серии атак под общим названием AntiSec хакеры смогли получить доступ, в том числе, к данным полиции Аризоны. В открытом доступе были размещены переписка сотрудников, засекреченные документы, а также персональная информация и пароли некоторых сотрудников полиции.
Естественно, все эти атаки не могли не привлечь внимания со стороны правоохранительных органов. В Испании были арестованы 3, а в Турции 32 человека по подозрению в причастности к атакам, организованным группой Anonymous. В конце июня LulzSec объявила о своем роспуске. Эксперты полагают, что одной из причин этого роспуска стало расследование, которое активно ведется сразу в нескольких странах мира с целью выявления и поимки членов группировки. Наиболее активно группа хактивистов Anonymous вела себя в июле и августе после ареста нескольких членов этой организации. Атакам подверглись: итальянская киберполиция; ряд полицейских подразделений в США; Booz Allen Hamilton ― компания, работающая, в том числе, на правительство США; а также компании-подрядчики ФБР: ManTech International и IRC Federal. Также в списке жертв хактивистов значится и компания Vanguard Defense, занимающаяся разработкой военной техники. Позднее в США хакеры атаковали серверы транспортной системы Сан-Франциско и украли персональные данные 2 тысяч пассажиров, которые затем были опубликованы.
После серии расследований атак на Sony, PayPal, Visa и MasterCard правоохранительными органами из Германии, США, Испании, Британии, Австралии и Турции было арестовано свыше 100 человек. Аналитики отмечают, что после этих арестов количество акций группы только увеличилось, а присоединение Anonymous к движению Occupy Wall Street способствовало только увеличению количества членов этой группы и её популяризации в глазах общественности. Основная причина, по которой хактивисты совершают противоправные действия, - это «по приколу». Каждый десятый взлом происходит по политическим и патриотическим мотивам. Эксперты посчитали, что за 2011 год было совершено более 100 тысяч взломов.
Озвучивая прогнозы на следующий год, эксперты «Лаборатории Касперского» особо подчеркнули, что «конца света» ждать не нужно. Напротив, в киберпространстве все только начинается. По мнению главного антивирусного эксперта Александра Гостева, пользователи отечественных социальных сетей мигрируют в зарубежные аналоги, а вместе с ними из «Вконтакте» и «Одноклассников» в Facebook и Google+ потянутся киберпреступники. Атаки на системы онлайн-банкинга будут одним из главных способов, при котором российские пользователи рискуют потерять свои деньги. Мобильные SMS-троянцы также никуда не денутся. Равно как и DDoS-атаки. Их станет больше, а мощность только возрастет. По прогнозам экспертов «Лаборатории Касперского», в 2012 году нас ждут новые происшествия, в основном связанные с утечками данных из государственных ведомств. Целевые атаки на крупные корпорации и правительственные структуры, а также научно-исследовательские институты дойдут до России в полной мере. Основную группу риска в нашей стране составят компании нефтегазовой отрасли, энергетики, а также сектора тяжелого машиностроения, инжиниринга и добывающей промышленности.
Юлия Никитина, «Фонтанка.ру»