27 января 2014

Вайперы: уничтожить все!

Новости Угрозы

Согласно мнению Костина Райю, директора по исследованиям «Лаборатории Касперского», все зловредное программное обеспечение можно условно поделить на три категории. Первая из них включает в себя подавляющее большинство зловредов — это так называемое мошенническое ПО (crimeware), предназначенное для непосредственной кражи логинов-паролей, персональных данных, ресурсов или даже денег. Вторая категория состоит из специализированных программ, используемых продвинутыми специалистами исключительно для кибершпионажа, направленного на корпоративный и государственный сектор. И, наконец, третья категория, самая малочисленная, но состоящая из по-настоящему редких, но деструктивных зловредов — вайперов, то есть «стирателей».

Вайперы

В конце 90-х Интернет еще не был носителем столь огромного количества ценных данных, кои он хранит в наши дни, и организованной преступности только предстояло разглядеть финансовую ценность в относительно легко доступной информации. Поэтому ранние образцы зловредного ПО имели в первую очередь деструктивную природу, а тогдашние хакеры занимались преимущественно дуракавалянием и хулиганством, а не кражами и шпионажем: выпускаемые тогда программы шифровали содержимое жесткого диска (аналогично современным шифровальщикам) или портили данные каким-нибудь образом, просто так. В общем, среди вирусописателей того времени главной целью были не деньги.

С тех пор многое изменилось, однако зловреды-«стиратели» никуда не делись и в наше неспокойное время межнациональных и межкорпоративных кибератак лишь обрели новую жизнь. Например, за последние три года эксперты «Лаборатории Касперского» исследовали пять разных крупных вайпер-атак.

«Возможность удалить данные с десятков тысяч компьютеров нажатием кнопки или одним кликом мыши — мощное оружие для любой киберармии».

Первая из них, носившая название Wiper, оказалась столь эффективна, что затерла даже следы своего пребывания с тысяч предположительно инфицированных иранских компьютеров, что исключило всякую возможность как следует изучить заразу. Тем не менее эта атака оказала столь значительное влияние, что вполне могла вдохновить многие другие подобные инициативы.

Одной из них предположительно является создание и распространение Shamoon. Этот зловред поразил одну из крупнейших и богатейших компаний в мире — нефтедобывающую корпорацию Saudi Aramco. Проникший в августе 2012 года во внутреннюю сеть компании вирус умудрился уничтожить содержимое более 30 тысяч рабочих станций. Впрочем, в отличие от Wiper, это ПО не смогло избавиться от следов своего присутствия. Это позволило установить, что для атаки в зловреде были реализованы не самые изящные, но очень эффективные методы.

За Shamoon последовал Narilam — весьма сложный червь, нацеленный на базы данных некоторых финансовых организаций, использовался в основном в том же Иране. Narilam заметно отличался от своих аналогов тем, что действовал не спеша и был рассчитан на долгую деструктивную работу в рамках одной инфраструктуры. Эксперты «Лаборатории Касперского» обнаружили сразу несколько разных версий Narilam, некоторые из которых были активны еще с 2008 года.

После был Groovemonitor — зловред, также известный под именем Maya. Впервые о нем сообщили в 2012 году иранские специалисты. Используемые в нем методы тоже не отличались изысканностью, так что программа действовала с изяществом дубины. В определенный период (конкретный диапазон дат присутствует в коде в явном виде) Groovemaker просто удаляет все файлы с дисков с «d»: по «i»: включительно.

И, наконец, Dark Seoul — угроза, появившаяся совсем недавно, буквально в мае 2013 года. В соответствии со своим названием программа была нацелена на несколько финансовых учреждений и телерадиовещательных компаний южнокорейского Сеула. Эта атака отличалась от вышеописанных не только непричастностью Саудовской Аравии или Ирана, но и тем, что была слишком заметна. Так что, скорее всего, организаторы хотели просто привлечь к себе внимание и искупаться в лучах хоть и сомнительной, но все же славы.

«Возможность удалить данные с десятков тысяч компьютеров нажатием кнопки или одним кликом мыши — мощное оружие для любой киберармии, — заметил Костин Райю в своем посте на Securelist. — Его можно сделать еще более разрушительным, если совместить его применение с атакой вооруженных сил в реальном мире с целью парализовать инфраструктуру страны». Тем не менее нам с вами, рядовым пользователям, едва ли стоит беспокоиться насчет вайпер-угроз. В конце концов, мы ведь ничего не можем сделать для защиты важных инфраструктурных объектов, отвечающих за водообеспечение или поставку электричества, от всякого рода заразы, способной стереть данные с управляющих всем этим добром компьютеров. Это те угрозы, о которых должны думать специализированные компании, владельцы самих объектов и, в наибольшей степени, само государство.

В этом смысле США повезло несколько больше других. Вскоре Конгресс Соединенных Штатов проголосует по так называемому Акту защиты национальной кибербезопасности и критической инфраструктуры 2013 года. Этот билль призван наладить взаимосвязь государства и управляющих критической инфраструктурой компаний, в рамках которой стороны должны будут обмениваться касающейся тех или иных угроз информацией. Подобные инициативы, впрочем, готовятся и в других странах. И это правильно.