nestormedia.com nestorexpo.com nestormarket.com nestorclub.com
на главнуюновостио проекте, реклама получить rss-ленту

Киберцунами


Киберцунами
Сообщения о событиях в сфере информационной безопасности в мае начали напоминать сводки с фронта. Первые две недели мая отметились просто-таки небывалым количеством сообщений о взломах, о кражах данных и фишинговых атаках. Но главное – о своем включении в боевые действия на «киберфронтах» заговорили целые государства.

Государства в роли хакеров

13 мая стало известно, что в Вооруженных силах России формируются самостоятельные Войска информационных операций (ВИО). «Предложение о создании такой структуры, предназначенной для кибернетического и информационного противоборства с вероятным противником, находилось в проработке не один год. Прошлогодние разоблачения экс-сотрудником ЦРУ Эдвардом Сноуденом глобальной электронной слежки со стороны АНБ США ускорили процесс принятия решения», – сообщил журналистам источник в Минобороны РФ.

По его данным, их главное предназначение – защита российских военных систем управления и связи от кибертерроризма и надежное закрытие проходящей в них информации от вероятного противника. В состав Войск информационных операций войдут подразделения в военных округах и на флотах, укомплектованные высококвалифицированными математиками, программистами, инженерами, криптографами, связистами, офицерами радиоэлектронной борьбы, переводчиками.

Впрочем, по мнению журналистов «Известий», в Москве о деятельности Агентства национальной безопасности США знали и до откровений Сноудена. А настоящей причиной появления ВИО стало создание Пентагоном в начале 2000-х годов полноценного киберкомандования.

«Известия» напоминают, что еще в 1990-е годы США начали претворять в жизнь новую военную доктрину сетецентрических войн. По их мнению, в ХХI веке классические боестолкновения прошлых тысячелетий человеческой истории сменят совершенно новые виды военных операций. Основную роль в них будет играть компьютерное обеспечение, тесно связанное с глобальной информационной сетью, основу которой составят телекоммуникационные спутники.

Каждый боец, каждая единица военной техники будет включена в единую информационно-командную сеть. Киберкомандование США занимается отлаживанием системы виртуального управления, а также обеспечением защиты своих войск от кибератак противника.

В ответ в структурах минобороны России были созданы экспериментальные подразделения, задача которых – создание защиты от кибератак любого уровня: от хакерских взломов до настоящей массированной агрессии военного характера с привлечением самых мощных компьютеров. По словам экспертов, системы управления Вооруженными силами РФ защищаются за счет создания закольцованных структур, никак не связанных с Интернетом, и создания собственно военной киберсети, которая имеет многоуровневую систему защиты, исключающую проникновение извне. При этом используется исключительно компьютерная техника российского производства.

Похоже, россиянам действительно есть чего бояться. На минувшей неделе стало известно, что Агентство нацбезопасности США тайно устанавливает устройства для перехвата данных в маршрутизаторы и серверы американского производства. Такие устройства позволяют американской разведке контролировать содержимое переписки на компьютерах, к которым подключено оборудование. Об этом пишет британская газета The Guardian со ссылкой на своего бывшего сотрудника Гленна Гринвальда.

В новой книге журналиста «Скрыться негде» («No place to hide»), посвященной экс-сотруднику АНБ Эдварду Сноудену, отмечается, что в течение многих лет правительство США активно предупреждало другие страны об опасностях китайских маршрутизаторов и других интернет-устройств, поскольку с помощью этих девайсов Пекин якобы может следить за пользователями.

«Согласно документам АНБ, американцы занимались точно такой же деятельностью», – утверждает Гринвальд. Он добавляет, что маршрутизаторы и серверы китайского производства конкурируют с американскими не только в экономическом плане, но и в области слежки.

Как утверждает Гринвальд, перед отправкой техники на импорт представители агентства перехватывают технику, вскрывают ее, встраивают внутрь роутеров устройства слежения, после чего запечатывают обратно. В дальнейшем, когда устройство становится рабочим, жучок внутри связывается с агентством, передавая считываемую информацию.

По мнению Гринвальда, такая практика ведется АНБ еще с 2010 года. Подобное вмешательство электронной разведки, по мнению автора, позволяет Агентству национальной безопасности США вести слежку за целыми сегментами Интернета.

Любопытно, что американское правительство многократно заявляло, что ту же самую угрозу содержит китайское «железо», открывающее правительству КНР возможность следить за дальнейшей судьбой производимых роутеров и серверов. Так, например, в 2012 году под подозрение спецслужб попали китайские производители Huawei и ZTE. Глава Комитета по разведке палаты представителей конгресса США Майк Роджерс тогда посоветовал американским потребителям по возможности не использовать технику этих производителей. В итоге компании Huawei пришлось покинуть весной 2013 года американский рынок, «чтобы не обострять американо-китайские отношения», как заявил ее основатель Рен Женгфей.

Корпорации под ударом

Еще не так давно хакеры приоритетно атаковали частные ПК, «зомбируя» их для последующей рассылки спама, организации DdoS-атак, майнинга криптовалют и прочих действий. Однако сегодня киберзлоумышленники по большей части переключились на корпоративные IT-системы.

58% компаний скачивают как минимум одну вредоносную программу каждые два часа. К такому выводу пришла компания Check Point, которая опубликовала ежегодный доклад о состоянии корпоративной кибербезопасности. Эксперты Check Point проанализировали около 200 тыс. часов работы корпоративных систем безопасности в 122 странах. Авторы доклада пришли к выводу, что с каждым годом число киберугроз стремительно растет. В 2012 году только 14% организаций загружали один вирус каждые два часа, а к 2013 этого показателя достигло уже втрое больше компаний. Как минимум одна вредоносная программа была обнаружена у 84% компаний, принявших участие в исследовании. Экспертам удалось подсчитать, что в 2013-м многие компании загружали одну вредоносную программу каждые 10 минут.

Вредоносы в 2013 г. стали значительно «умнее», благодаря чему теперь умеют «проходить под радарами» многих систем безопасности. Так, 33% компаний в период с июня по декабрь 2013-го скачали как минимум один файл, который содержал неизвестный системам безопасности вирус. Чаще всего (35% случаев) подобные вирусы встречались в файлах формата PDF.

Серьезную угрозу в 2014 году по-прежнему представляют боты. Экспертам Check Point удалось обнаружить ботов у 73% компаний, а это на 10% больше, чем в 2012-м. Большинству ботов удавалось оставаться незамеченными в течение месяца и выходить на связь со своим центром управления каждые три минуты.

Одной из ключевых проблем информационной безопасности в 2013 году, по мнению экспертов Check Point, стала кража данных. В минувшем году свои данные хотя бы однажды теряли 88% компаний, что на 34% больше, чем в 2012 году. 33% финансовых компаний отправляли данные о кредитных картах клиентов за пределы корпоративной сети, точно также поступали с медицинскими данными 25% здравоохранительных организаций.

Несмотря на предупреждения экспертов, многие компании продолжают использовать технологии с высоким риском заражения, например, торренты, анонимайзеры и P2P-сервисы, использование которых выросло по сравнению с 2012 годом с 61% до 75%. Прокси-серверами сегодня пользуется около 56% компаний.

Проблема проникновения вредоносного ПО в компанию не может быть полностью решена на технологическом уровне, считают эксперты. Часто речь идет о человеческом факторе. «Если вы сделали все, что смогли, на технологическом уровне, а проблемы с безопасностью все равно возникают, значит, дело в человеческом факторе. Даже если мы полностью закроем доступ к «внешнему миру», проблема не будет решена, ведь сотрудник может принести вирус на внешнем подключаемом носителе», – поясняет Егор Деров, заместитель руководителя практики аналитических систем ИБ компании Астерос Информационная безопасность».

На минувшей неделе пользователи Gmail – как частные, так и корпоративные, – стали жертвами фишинговой атаки, которая преследовала цель кражи аккаунтов, сообщает румынская антивирусная компания Bitdefender, зафиксировавшая атаку. Злоумышленники произвели рассылку электронных сообщений со следующим содержанием: «Уведомляем вас, что ваша учетная запись электронной почты будет заблокирована через 24 часа в связи с тем, что отведенное вам дисковое пространство было исчерпано. Пройдите по ссылке мгновенного увеличения для того, чтобы автоматически увеличить дисковое пространство».

Если жертва нажимала на указанную ссылку, она попадала на поддельный сайт Gmail с формами для ввода логина и пароля. Этот сайт выглядел точно так же, как выглядит официальный сайт Gmail, поэтому пользователь не мог догадаться о том, что перед ним сфабрикованный ресурс.

Для доступа к различным сервисам Google, как и у других провайдеров, используются единые логин и пароль. То есть, завладев учетными данными от Gmail, злоумышленник получает доступ к Google+, Google Play, YouTube, Blogger и другим службам. «Угоняя аккаунты Google, хакеры получают возможность тратить деньги пользователя на покупки в Google Play, взламывать страницы в Google+ и красть конфиденциальные документы, сохраненные в облачное хранилище Google Drive», – рассказал Каталин Козои, главный стратег по безопасности в Bitdefender.

Подобные атаки совершались в отношении пользователей Gmail и ранее. Всего месяц назад антивирусная компания Symantec сообщила об обнаружении фишинг-атаки на пользователей Google Drive. Они получали письма со ссылками на якобы присланные им важные документы. Ссылка вела на аналогичную поддельную страницу с полями для ввода логина и пароля.

А «Лаборатория Касперского» обнаружила особенного мобильного червя, основной целью которого является сервис интернет-телефонии сети Sipnet – его активно применяют для работы корпоративные пользователи. Можно сказать, что в Европе и на территории СНГ Skype применяется преимущественно для личного общения, тогда как Sipnet – для корпоративного.

В отличие от многого другого подобного вредоносного ПО, червь Worm.AndroidOS.Posms.a начинает рассылать SMS-спам сразу после запуска, не дожидаясь команды с сервера злоумышленников. «Деятельность» червя в зараженном телефоне в основном сводится к созданию аккаунта в сети Sipnet без ведома владельца устройства. Функционала зловреда достаточно для того, чтобы самостоятельно управлять учетной записью и, прежде всего, скрытно пополнять ее счет, переводя деньги со счета мобильного телефона жертвы. Далее Worm.AndroidOS.Posms.a может настроить переадресацию звонков на другой номер и заказать звонок за счет владельца устройства.

Обладая возможностью рассылать SMS-спам сразу после запуска, новый червь поначалу распространялся очень активно: менее чем за сутки защитный продукт Kaspersky Internet Security для Android предотвратил более 400 установок этого зловреда. После того, как число заблокированных установок достигло пика, сервер злоумышленников, с которого загружалась вредоносная программа, стал недоступен – и количество заражений сразу резко пошло на спад. Через неделю появилась новая версия червя, но сервер распространения вновь очень быстро стал недоступен.

«Червь Posms имеет достаточно мощный функционал, поэтому очень странно, что его распространение раз за разом быстро заканчивается. Возможно, злоумышленники оттачивают его функциональность и в дальнейшем планируют массированную атаку», – предположил Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

Android как главная жертва

Антивирусная компания ESET сообщила о новой вредоносной программе для Android, нацеленной на российских пользователей. Угроза добавлена в базу сигнатур вирусов ESET как Android/Samsapo.A. Samsapo обладает функционалом «червя» – он способен к полностью или частично автоматизированному распространению с зараженного Android-устройства. Червь маскируется под системную утилиту com.android.tools.system v1.0. Он не имеет GUI и не регистрирует значок в списке приложений. В качестве сервера установки вредоносного кода используется домен, зарегистрированный 24 апреля 2014 года.

Поиск новых жертв осуществляется с помощью методов социальной инженерии. Устройство, инфицированное Samsapo, рассылает по всей адресной книге пользователя SMS-сообщение с текстом на русском языке «Это твои фото?» и прилагает ссылку на вредоносный АРК-файл. Помимо способностей к самораспространению, Samsapo подписывает пользователя на платные услуги (SMS-троян), передает персональные данные жертвы – номер телефона, SMS-сообщения и др. – на удаленный сервер, загружает на устройство вредоносные файлы с определенных URL-адресов.

Также одним из главных событий в сфере безопасности Android стало появление новой модификации буткита Android.Oldboot, который стал широко известен в январе этого года. По своему функционалу обновленная версия троянца практически ничем не отличается от своего предшественника и предназначена, главным образом, для незаметной загрузки и установки различных приложений. При этом у нее появился и ряд новых особенностей. В частности, некоторые компоненты буткита после своего запуска удаляют исходные файлы и продолжают работать только в оперативной памяти смартфона, что значительно затрудняет обнаружение и удаление данной угрозы. Кроме того, для усложнения борьбы с обновленным Android.Oldboot злоумышленники применили обфускацию некоторых его модулей, а также добавили троянцу возможность удаления ряда антивирусных приложений.

Не остался без внимания злоумышленников и официальный каталог Android-программ Google Play: в нем зафиксировано появление нескольких троянских приложений, которые специализируются на скрытой добыче (майнинге) электронной криптовалюты Bitcoin. Обнаруженные троянцы, добавленные в вирусную базу Dr.Web под именем Android.CoinMine.1, скрывались в безобидных «живых обоях» и начинали работать, если зараженное мобильное устройство не использовалось в течение определенного времени.


авторы
Антон Платов
номер
2014/18

Еще из раздела безопасность
Хакерские войны: сводки с фронтов Хакеры считывают данные кредиток на расстоянии В России резко возросла мощность DDoS-атак Вирусы шифровальщики: как с ними бороться
© 2016 PressEnter