Современные информационные угрозы, II квартал 2007 г.

В этом отчете практически не рассматриваются вредоносные программы. В нем анализируются некоторые проблемы Интернета, новые технологии и уязвимости. Именно в этой области лежат основные задачи, которые должны решать современные антивирусные компании.

Вероятно, одной из самых обсуждаемых тем всего 2007 года останутся события в Эстонии конца апреля – начала мая. Десятки серверов в эстонской зоне Интернета подверглись DDoS-атакам после того, как эстонская полиция разогнала митинг в Таллине, на котором собравшиеся протестовали против принятого эстонским правительством решения убрать с одной из центральных площадей города памятник советским солдатам, погибшим во время Второй мировой войны при освобождении Эстонии. Веб-сайты президента, премьер-министра, парламента, полиции и ряда министерств оказались перегружены гигантским количеством запросов от тысяч компьютеров, расположенных по всему миру. Помимо DoS-атак, нацеленных на основные государственные сайты, осуществлялся также массовый взлом десятков других эстонских сайтов.

Эстонские политики обвинили во всем происходящем российские спецслужбы. Впервые на высоком уровне прозвучало слово «кибервойна». Эстония предложила НАТО признать кибератаки военными акциями и фактически возжелала военной защиты от угрозы из Интернета.

Что же происходило в российском сегменте Интернета в те дни? Как только в Таллине начались столкновения демонстрантов с полицией, многие российские пользователи Интернета использовали единственную доступную им возможность выразить свой протест против действий эстонского правительства – протест сетевой. В виде участия в DoS-атаках. На некоторых форумах и сайтах во множестве появились разнообразные программы, которые посылали бесчисленные запросы на эстонские сайты. Любой человек мог скачать себе такую программу и запустить на своем компьютере. С точки зрения технологии – это ботнет. Но ботнет, созданный с согласия владельцев компьютеров, знающих, что они делают. Конечно, часть атак производилась с «настоящих» ботнетов с зараженных ранее машин, но не стоит недооценивать мощность «ручной» атаки. Если это и называть «кибервойной», то скорее уж партизанской.

Никаких реальных доказательств причастности российских правительственных структур к атакам представлено не было. Однако теперь проблема «кибервойны» и «кибертерроризма» обсуждается по всему миру не только компьютерными экспертами, но и политиками, и военными. А специалисты озвучивают сценарии настоящих компьютерных войн. Вопросы кибертерроризма обсуждаются явно неадекватно реальному положению вещей: в запале публикуется слишком много опасной информации, и вниманию читателя предлагаются готовые сценарии кибертерроризма. "Лаборатория Касперского" всегда придерживалась мнения, что публикация и обсуждение способов выведения из строя объектов жизнедеятельности является недопустимой практикой. Не подлежит сомнению, что любая такая информация может подтолкнуть различные экстремистские группы к попыткам осуществления подобного сценария. Теперь же Ящик Пандоры открыт.

Самым заметным событием в мире мобильных устройств во втором квартале 2007 года, а скорее, и всего года в целом, стал выход на рынок мобильного телефона от компании Apple – iPhone. Аналитики прогнозируют, что продажи iPhone за полтора года могут составить 13,5 миллионов устройств. Станет ли очевидная популярность iPhone тем самым фактором, который прекратит наблюдающуюся стагнацию в мире мобильных вирусов? По нашим оценкам, в 2008 году вирусные проблемы для iPhone могут стать реальностью. Вряд ли вредоносные программы для iPhone будут червями - вероятней появление обычных файловых вирусов, а также разнообразных троянских программ. Но самой большой угрозой для пользователей iPhone будут различные уязвимости, которые могут быть использованы злоумышленниками для доступа к информации на телефоне.

Mpack. При написании вредоносных программ авторы все большее предпочтение отдают использованию различных уязвимостей для проникновения в систему. В середине июня несколько тысяч итальянских сайтов оказались источниками распространения вредоносных программ. В течение нескольких дней было обнаружено более шести тысяч итальянских серверов, страницы которых содержали несколько строк добавленного злоумышленниками html-кода, который выглядел примерно так:

<iframe src='адрес' width=5 height=5> </iframe>

Это типичная конструкция при использовании различных эксплойтов уязвимостей в браузерах, знакомая специалистам «Лаборатории Касперского» уже несколько лет. Что же и как происходит? Есть некий набор эксплойтов, использующих уязвимости в популярных браузерах и операционных системах. Злоумышленник помещает такой набор на собственный сайт. Для привлечение туда пользователей он получает доступ к чужим сайтам – как правило, используются аккаунты доступа, украденные ранее какой-либо троянской программой. Затем во все страницы данных сайтов добавляется тэг iframe, ведущий на зараженный сайт с эксплойтами. В конечном итоге в атакованную систему устанавливается, как правило, какой-нибудь Trojan-Downloader, что дает возможность в дальнейшем загружать вирусы, черви, бэкдоры, шпионы и т.д.

Сюрпризом для нас стало то, что Mpack вышел за пределы России и был использован в Италии. И вот почему. Mpack был создан в России и продавался русскими хакерами русским же хакерам. Его авторами являются люди, которые принимали самое активное участие в создании и поддержке распространенной троянской программы LdPinch. На черном рынке существует еще несколько похожих по функционалу наборов эксплойтов: Q406 Roll-up package, MDAC, WebAttacker и т.д. Все они превосходят Mpack по уровню «пробива».

Самой главной проблемой, на наш взгляд, является то, что авторов Mpack крайне трудно привлечь к уголовной ответственности. Формально они всего лишь берут из открытых источников эксплойты, которые опубликованы на сотнях сайтов по информационной безопасности, собирают эти эксплойты в единый набор и не несут ответственности за то, как он будет использован. Здесь мы сталкиваемся с давней проблемой – является ли благом публикация уязвимостей или несет вред. Мы обещаем в будущем вернуться к этой проблеме и выразить наше отношение ко всему тому, что происходит сейчас с понятиями «blackhat»\«whitehat».

В середине мая нами было обнаружено сразу три варианта новой троянской программы для мобильных телефонов Trojan-SMS.SymbOS.Viver, которая отсылает платные SMS-сообщения на premium-номера. В результате со счета пострадавшего владельца телефона снимается определенная сумма денег, которая перечисляется на счет злоумышленника. В мае нами было зарегистрировано три подобных инцидента. Это очередной раз показывает, что современные мобильные технологии все чаще привлекают к себе внимание киберпреступников. К сожалению, у нас нет подобной статистики для большинства зарубежных стран, однако вряд ли это исключительно российская проблема.

Основные события второго квартала, отраженные в этом отчете, дают достаточно пищи для размышлений, но все еще не дают ответа на вопрос, куда движутся вирусные и информационные угрозы. Несмотря на появление все новых ОС (Vista), сервисов (мобильный контент) и устройств (IPhone), мир киберзлоумышленников продолжает использовать проверенные годами способы нанесения ущерба пользователям. Более того, намечается еще более значительный возврат к «истокам»: на новый виток выходит использование DDoS-атак, использование уязвимостей в браузерах для проникновения в системы. Единственное отличие второго квартала 2007 года от такого же периода трехлетней давности - это то, что электронная почта в распространении вирусов все больше отступает на второй план, уступая место системам мгновенного обмена сообщениями, да взрывной рост троянцев, ориентированных на пользователей онлайн-игр. Угрозы не становятся «умнее». Развитие пошло по экстенсивному пути - и нам все еще не ясно, что может стать катализатором для глобального изменения лица вирусных угроз в ближайшем будущем.

Антивирусные компании значительно улучшили свои технологии и внедрили несколько новых. В настоящее время клиенты антивирусных компаний защищены на порядок лучше, чем еще пару лет назад. Среднее время жизни «в дикой природе» большинства новых вредоносных программ исчисляется часами, редко - днями.

Попробуем сделать небольшой прогноз на ближайшее время. Злоумышленники пытаются выйти из «поля защиты» антивирусных решений: задача смещается от «обойти антивирус» в сторону активности в тех областях, где пока нет качественной антивирусной защиты или такая защита невозможна по ряду причин. Скорее всего, именно здесь и будет проходить основная линия фронта информационной войны: в сервисах онлайн-игр, блогов, системах мгновенного обмена сообщениями и файлообменных сетях.