2015
2015 год подходит к концу, и до Нового Года осталось всего ничего. Securelist выпустил на прошлой неделе свои итоговые материалы (Kaspersky Security Bulletin 2015), а мы хотим поделиться с вами собственным списком событий, которые определили облик этого года. Вместо того чтобы отбирать несколько лучших историй, мы рассмотрели кибербезопасность в 2015 году в целом.
Итак, 2015-й стал тем годом, когда…
…APT выбросили пиратский флаг
В начале года было объявлено о Carbanak, первой в истории чисто криминальной APT-кампании, которая, по предварительным оценкам, обошлась банкам по всему миру в нехилую сумму около $1 млрд.
Полностью читайте здесь.
Это была довольно сложная кампания, направленная против банков. Злоумышленники использовали целый набор инструментов, включая разведку вручную. Спиэрфишинговые письма задействовали для установки бэкдоров на базе Carberp в системах жертв, после чего злоумышленники начинали поиск соответствующих ПК, которые можно использовать, для того чтобы добраться до тех мест, откуда на самом деле получится выкачать деньги. Затем банкоматы получали дистанционные команды выдать наличные безо всякого взаимодействия с самим банкоматом, а деньги собирали «мулы». В противном случае использовали сеть SWIFT для перевода денег из организации на счета преступников.
Кампания, по-видимому, всё ещё активна по состоянию на конец 2015 года: новые версии ассоциированного с Carbanak программного обеспечения были выявлены в сентябре.
Прежде APT, главным образом, связывали с национальными государствами, так что сам журнал направленных кибератак Securelist изображает их в виде линкоров. После того как Carbanak оказался банальным воровством, кроме жадных до денег преступников за ним ничего не обнаружилось, это действительно похоже на корабль под чёрным флагом.
…Шпионы вышли на охоту за мелкими игроками
Grabit тоже привлёк к себе внимание в этом году: первая кибершпионская кампания, направленная против малого и среднего бизнеса. Ранее предсказывалось, что злоумышленники перейдут на «цели полегче». Очевидно же, что, если каждое крупное предприятие имеет целый ряд поставщиков поменьше и при этом, возможно, непроходимую киберзащиту, то как раз подрядчики необязательно все хорошо защищены. Таким образом, стратегически важные данные можно извлечь косвенно, возможно, даже с меньшими усилиями, чем в случае прямого нападения.
Более подробная информация доступна здесь.
…Две APT-группы занялись взаимным вампирствованием
Эта примечательная история получила огласку, в основном, благодаря Securelist. В ходе изучения Naikon, одной из самых активных APT-групп в Азии, исследователи «Лаборатории Касперского» наткнулись ещё на одну угрозу. Её кодовое название Hellsing происходит из известной японской манги об организации, борющейся с вампирами и для этого нанимающей исправившегося (в некотором роде) вампира.
Забавное было в том, что Hellsing атаковал Naikon. На этом, однако, веселье заканчивается, так как обе APT-кампании представляют серьёзную угрозу. Больше о них читайте здесь.
Русскоязычная APT-группа Turla, как выяснилось, скрывала свои контрольно-командные серверы в космическом пространстве или, если конкретнее, использовала спутниковую связь, чтобы замести следы и заразить своих жертв.
Они хорошо прятались, но недостаточно надёжно, чтобы их не нашли. Оригинальные рассказы доступны здесь и здесь, обе истории действительно стоит прочитать.
Несколько лет назад казалось, что Stuxnet был первым настоящем кибероружием, распечатавшим ящик Пандоры. Теперь стало ясно, что он не был первым.
В феврале «Лаборатория Касперского» объявила об открытии APT Equation, маштабной и многолетней кибершпионской сети. Некоторые из её командных серверов заработали ещё в 1996 году, хотя основной датирован августом 2001 года.
Её главное оружие — червь Fanny — впервые выявлен в 2008 году; он использовал те же эксплойты нулевого дня, что и Stuxnet двумя годами позже. Эксперты «Лаборатории Касперского» заявили, что Equation взаимодействовала с другими мощными группами, такими как Flame и Stuxnet. Возможно, что Equation — на самом деле «базовый носитель» нескольких APT, если не прямой их прародитель.
…Пришествие Windows 10
Всё ещё пытаясь избавиться от античной Windows XP, Microsoft выпустила новую ОС, раздав её бесплатно пользователям Windows 7 и 8.1.
Вышедшая в конце июля Windows 10 привнесла ряд улучшений безопасности, а также (вполне обычно) породила много споров, особенно по поводу пользовательских данных и контроля над ними. Кое о чём стоит беспокоиться: Windows 10 действительно требует вдумчивого подхода, если хотите сохранить контроль над конфиденциальными данными.
Из позитивного (возможно) — Microsoft избрала наиболее строгий, чем когда-либо, подход к доставке обновлений. Версии Home и Pro автоматически получают все некритичные обновления по мере их выпуска и без возможности от них отказаться, в дополнение к автоматическим обновлениям драйверов. В версии Pro можно отложить установку обновлений на ограниченное время, но нельзя их игнорировать совсем.
Microsoft также поспешила выкатить исполинский патч для исправления недостатков, обнаруженных первыми пользователями системы. Патч вышел сразу на следующий день после официальной даты релиза Windows 10, что, безусловно, породило немало шума…, но разве без этого обновления было бы лучше?
…Автомобили, наконец, взломали дистанционно
То, чего так боялись прежде, наконец, стало суровой действительностью: бортовые системы автомобиля были взломаны, причём тормоза, трансмиссию, функции рулевого управления и приборной панели получилось «редактировать» c другого конца страны — через WiFi.
Как продемонстрировали два матёрых автомобильных хакера Чарли Миллер и Крис Валясек, бортовая информационно-развлекательная система Jeep Cherokee концерна Chrysler не изолирована от критических функций приборной панели, благодаря чему злоумышленники могут получить над ними контроль. Это своего рода элементарная ошибка, которая показывает, как почтенный автопроизводитель, по-видимому, хорошо сэкономил на самых азах информационной безопасности.
…Ликвидировано (в основном) ещё больше крупных вымогательских кампаний и ботнетов
При всём том, что постоянно обнаруживаются новые угрозы, правоохранительные органы совместно с частными компаниями кибербезопасности отслеживают нарушителей и время от времени отключают ботнеты и сажают жуликов в тюрьму.
В первой половине 2015 года был отправлен в небытие ботнет Simda с одновременным отключением 14 контрольных серверов в Нидерландах, США, Люксембурге, Польше и России. Предварительный анализ некоторых скачанных серверных логов дал список из 190 стран, пострадавших от ботнета Simda.
Simda оставался незамеченным до неприятного долго, в течение слишком продолжительного для большого ботнета периода — эдакий невидимый слон.
Он также выступал в роли «дитрибуционной платформы» для прочих вредоносных программ, которые сделали его ещё опаснее.
В сентябре двух молодых голландцев арестовали по подозрению в причастности к вымогательствам с помощью CoinVault. Те же лица уличены в разработке ещё одной программы-вымогателя — BitCryptor. Обе вымогательских кампании теперь, по сути, остановлены.
Осенью ботнет, отвечавший за Dridex — сложную банковскую вредоносную программу, похищавшую учётные данные онлайновых банковских счетов по всему миру, — был, в целом, отключен, после того как полиция Кипра задержала подозреваемого в создании этого ботнета гражданина Молдавии.
Полная история доступна здесь.
Крупная вымогательская кампания, связанная с пресловутым набором эксплойтов Angler, были деактивирована, в результате чего активность всего комплекта упала на 50%. К сожалению, победа не была окончательной, так как сейчас он ещё живёхонек и скармаливает своим жертвам CryptoWall.
Преступники идут на всё, чтобы сохранить работоспособность своего инструментария, так что полностью уничтожить Angler быстро не получится.
…ФБР посоветовало платить выкуп
Неслабый скандал разгорелся, когда высокопоставленный представитель ФБР признал, что его ведомство часто рекомендует жертвам программ-вымогателей заплатить выкуп, если данные критически важны, а резервное копирование отсутствует.
Сколь бы «тревожным» ни было это сообщение, данное заявление на самом деле очень справедливо: некоторые штаммы вымогателей являются в данный момент невзламываемыми, так как используют сильные алгоритмы шифрования. Так что, если ФБР или другие органы правопорядка не задержат авторов очередного крипто-нечто и не выбьют из них ключи шифрования, не существует никакого способа расшифровать пострадавшие файлы. Даже суперкомпьютер протратит вечность на взлом 2048-битного RSA-ключа CryptoWall 3, например.
Единственный рецепт заключается в том, чтобы принять все необходимые меры предосторожности, — главным образом, обеспечить регулярное резервное копирование файлов в неподключенное хранилище данных.
Полная история доступна здесь.
…Сбылись многие прогнозы
В конце 2014 года Securelist опубликовал прогнозы о том, как мир киберугроз может развиваться в 2015 году. Четыре из девяти наших предсказаний были напрямую связаны с угрозами для бизнеса, и большинство этих прогнозов — три из четырёх — уже сбылись.
Киберпреступники переняли тактику APT для направленных атак; APT-группы фрагментировали и диверсифицировали нападения; атаки на банкоматы и платёжные терминалы в самом деле усилились. Единственный промах был с «нападениями на виртуальные платёжные системы», да и хорошо, что плохие прогнозы не сбываются. Но большинство, опять же, сбылись.
Улучшится ли ситуация с кибербезопасностью в мире в следующем году, при всей этой непрекращающейся сумятице? Трудно сказать, зато 2015 год, безусловно, доказал, что кибербезопасность касается всех и каждого, от домохозяек и индивидуальных предпринимателей до крупных предприятий и правительств. Сделать кибермир лучше можно только сообща.
Ну, а «Лаборатория Касперского» всегда готова в этом помочь.
