31 января 2014

Криминальная киберэкзотика: «выдающиеся» инциденты и просматривающиеся за ними тенденции

Бизнес

Те из читателей, кто следит за нашими дайджестами инцидентов в области информационной безопасности, вероятно, уже обратили внимание на несколько «экзотических» инцидентов и зловредов, попортивших немало крови своим жертвам в течение последних трёх месяцев. Некоторым из них стоит уделить особое внимание, поскольку за ними отчётливо просматриваются определённые тенденции близкого будущего.

Захватить беспилотник

Самым «роскошным» следует назвать, строго говоря, не подлинный инцидент, а смоделированную ситуацию: хакер (ну, или, говоря более вежливым языком, специалист по вопросам информационной безопасности) по имени Сэми Камкар создал устройство, позволяющее перехватывать контроль над автономными беспилотными летательными аппаратами — «зомбировать» их, по сути дела. Для этого ему понадобился набор общедоступного оборудования. Самым дорогим компонентом является БПЛА Parrot AR.Drone 2 (300 долларов); на него устанавливается «копеечный» WiFi-передатчик Alfa AWUS036H (стоит около 30 долларов), компьютер Raspberry Pi (35 долларов) с набором программного обеспечения, включающим набор ПО Aircrack-ng, библиотека node-ar-drone, платформа node.js и собственная программная разработка Камкара — SkyJack (приложение, написанное на Perl). Общая сумма расходов — около 400 долларов.

drone

Ссылка с изображения ведёт на видеодемонстрацию SkyJack

Подлетая к другому аналогичному аппарату на расстояние, достаточное для установления WiFi-соединения, БПЛА cо SkyJack способен перехватывать над ним управление и выдавать себя за его хозяина. И уводить за собой. Захватывать можно не один БПЛА, а сразу множество. Делать это вполне реально и с земли, используя любой ноутбук с установленными на него нужными программами.

Всё это было бы забавно, однако как раз недавно Amazon объявил, что собирается использовать БПЛА для доставки покупок конечным потребителям. Нетрудно представить, что произойдёт, если их окажется так же легко перехватывать с помощью «подручных средств». А они действительно подручные: всё ПО, включая SkyJack самого Камкара, находится в открытом доступе, вышеупомянутые БПЛА, компьютер Raspberry PI и WiFi-передатчик свободно продаются.

Можно также немного пофантазировать и прикинуть, что случится, если, например, найдётся способ «серийного» перехвата беспилотников, используемых полицией, гражданскими службами и т.п.

Конечно, это, скорее всего, так и останется фантазией, но только при условии, если производители БПЛА предпримут все необходимые меры для повышения защиты программных прошивок.

В целом же, история с возможным серийным перехватом БПЛА является прямой и весьма удачной иллюстрацией тезиса, высказанного ещё в прошлом году в Harvard Business Review: по мере тотального наступления «интернета вещей» на нашу жизнь хакерские атаки будут иметь всё более «физическую» природу. Как программные пакеты и операционные системы вчера и сегодня, завтрашние «умные» устройства станут мишенями для хакеров, если производители не приучатся отталкиваться от соображений безопасности и применять соответствующие технологии, начиная с этапа инженерной разработки.

Вообще, тенденция просматривается интересная: речь идёт об автоматизации и «постановке на поток» целенаправленного поиска и эксплуатации конкретных уязвимостей в программных продуктах.

Браузерный ботнет и SQL-инъекции с помощью Google

Браузеры всегда были источником проблем безопасности и по сей день, несмотря на многочисленные усилия разработчиков по повышению их защищённости, остаются главным «порталом» для проникновения вредоносного ПО в пользовательские компьютеры. Иногда это происходит совсем уж «изысканным» образом: за последние несколько месяцев наблюдались однозначно экзотические инциденты, связанные с тем, как злоумышленники использовали чужие браузеры для проведения атак.

Так, например, недавно специалисты объявили об обнаружении ботнета, построенного на… браузерных аддонах: боты выдавали себя за аддон к Mozilla Firefox под названием Microsoft .NET Framework Assistant. Выдавали, судя по всему, весьма успешно, хотя пока остаётся загадкой, каким именно образом происходило заражение.

Как бы там ни было, успешно «присосавшиеся» вредоносные аддоны использовали заражённые ПК как распределенную платформу для сканирования сайтов на предмет SQL-уязвимостей. Естественно, в первую очередь, это были сайты, которые посещали люди с заражёнными браузерами: пока жертва заражения занимается серфингом, аддон в фоновом режиме проводит проверку посещаемых сайтов на наличие эксплуатируемых уязвимостей.

Сканирование на предмет SQL-уязвимостей вручную отнимает довольно много времени, а ботнет позволил его автоматизировать.

botnetВ состав ботнета, получившего символическое название Advanced Power, входили примерно 12 500 машин. «Входили», поскольку разработчики Firefox уже заблокировали вредоносные аддоны, да и антивирусы их теперь обнаруживают без проблем.

Но тут особый интерес вызывает сам подход. Главная задача этой «атипичной» по своему устройству вредоносной сети состояла в том, чтобы искать уязвимые сайты в автоматическом режиме. Злоумышленники нашли, по крайней мере, 1800 таких сайтов, так что к моменту закрытия ботнет свою задачу некоторым образом уже выполнил.

В свою очередь, нельзя не вспомнить более чем экзотический способ эксплуатации SQL-уязвимостей, придуманный некими затейниками: про SQL-инъекции с помощью поискового робота Google мы упоминали ещё прошлой осенью.

Процесс в описании выглядит относительно просто: злоумышленник создаёт сайт А, который выглядит вполне легитимно; но в нём есть несколько ссылок, содержащих вредоносные SQLI-запросы к целевому сайту (сайту Б). Робот Google обходит сайт А и переходит, как и полагается, по этим ссылкам на сайт Б, заодно невольно атакуя его.

Доступ поисковым роботам закрывают крайне редко, так что подобные атаки очень опасны, особенно если самостоятельно не проверять свои сайты на уязвимости.

В этом же ряду инцидентов стоит, пожалуй, упомянуть и две кампании, направленные против сайтов, на которых используется популярнейшая система управления контентом WordPress. Первая началась в апреле, вторая была отмечена в августе. В обоих случаях крупный ботнет пытался посредством брутфорса получить логины и пароли к администраторским панелям WordPress. Выдвигались предположения о том, что это делалось для того, чтобы потом из скомпрометированных серверов под управлением этой самой CMS создать ещё более крупный ботнет. Похоже, не получилось, но это не значит, что не получится в будущем.

Вообще, тенденция просматривается интересная: речь идёт об автоматизации и «постановке на поток» целенаправленного поиска и эксплуатации конкретных уязвимостей в программных продуктах. Подобное развитие событий выглядит вполне естественным, если рассматривать его с коммерческой точки зрения. Любой бизнес (и криминальный в особенности) заинтересован в минимизации издержек и трудозатрат и максимальной результативности и прибыльности. Чем шире охват и чем больше автоматизация, тем выгоднее.

Ещё одна уместная иллюстрация — инцидент с одним из крупнейших в США ритейлеров Target, у которого увели прямо с платёжных терминалов, судя по всему, кредитные и дебетовые данные 40 млн человек. Но об этом мы поговорим уже отдельно.