Главная->->Развитие угроз в 2008 году: борьба за выживание

Развитие угроз в 2008 году: борьба за выживание

07 Фев в 01:31


Отчет предназначен как для профессионалов в области компьютерной безопасности, так и для всех пользователей, которые интересуются проблемами компьютерной вирусологии. Для подготовки отчета впервые была использована информация, полученная и обработанная при помощи Kaspersky Security Network (KSN). Новая технология не только позволяет «Лаборатории Касперского» получать информацию о вирусных угрозах и отслеживать их развитие в режиме реального времени, но и значительно ускоряет обнаружение новых неизвестных угроз, для которых еще не существует сигнатурного или эвристического детектирования. Если в 2007 году эксперты констатировали смерть «некоммерческого» вредоносного ПО, то в 2008 году произошла смерть «эксклюзивных» вредоносных программ, создававшихся и использовавшихся одним – максимум двумя людьми. Подавляющее большинство обнаруженных в 2008 троянцев и вирусов были разработаны для перепродажи их другим лицам. Активно использовались услуги по технической поддержке таких продаж, в том числе обходу антивирусных продуктов. Киберпреступность начала приобретать четко выраженное «разделение труда», когда разные этапы создания, распространения и использования вредоносных программ осуществляются разными группами людей. На международной сцене роль единоличного лидера в создании вредоносного ПО окончательно занял Китай. Не ограничиваясь созданием собственных вариантов троянских программ, китайские хакеры приступили к локализации иностранных вирусных решений. C апреля по октябрь 2008 года китайскими хакерами были инициированы две масштабные атаки, нацеленные на взлом веб-сайтов. В ходе первой из них, прошедшей в апреле-июне 2008 года, было взломано более двух миллионов интернет-ресурсов по всему миру. «Законодателями мод» на вирусной сцене остаются русскоязычные вирусописатели. Они продолжали активно реализовывать модель Malware 2.0. Наиболее четко это проявилось в историях с двумя опаснейшими руткитами, обнаруженными в 2008 году, – Rustock.C и SInowal. В них были реализованы инновационные технологии, равных которым антивирусная индустрия еще не встречала, по своей масштабности и сложности превосходящие продемонстрированные червями Zhelatin и Warezov. В полном соответствии с предыдущим прогнозом 2008 год оказался годом ренессанса файловых вирусов. Добавив к своему традиционному функционалу – заражению файлов – функции кражи информации и, что наиболее важно, распространение на сменных накопителях, подобные вредоносные творения смогли за короткое время поразить компьютеры пользователей в большинстве стран мира. Черви на «флешках» оказались способны обойти традиционные средства защиты корпоративных сетей, основными элементами которых являются почтовый антивирус, межсетевой экран и антивирус на файл-сервере. Проникая на локальную станцию в обход средств контроля, такие черви стремительно распространялись по всей сети, копируя себя на все доступные сетевые ресурсы. В 2008 году прекратилось распространение множества вариантов червя Zhelatin (Storm Worm). Почти двухлетняя история (первые варианты червя появились в январе 2007 года) оставила больше вопросов, чем ответов. Почти мифический «Штормовой ботнет», по некоторым оценкам достигавший двух миллионов машин, не показал всей своей потенциальной мощности, а ожидавшиеся гигантские спам-рассылки и DDoS-атаки не произошли. Возможно, одной из причин этого стало фактическое закрытие печально известного киберкриминального хостинга RBN (Russian Business Network). Активное обсуждение его возможной причастности едва ли не ко всем происходящим в интернете криминальным инцидентам привело к тому, что неизвестные владельцы RBN предпочли «раздробить» бизнес на десяток разных площадок, размещенных по всему миру, и осуществлять свою деятельность более скрытно. Осенью прошлого года по киберпреступности было нанесено несколько серьезных ударов. Благодаря скоординированным действиям интернет-компаний, правительств и антивирусных компаний последовательно были закрыты компании Atrivo\Intercage, EstDomains и McColo. Закрытие последней привело к тому, что количество спама в интернете резко сократилось – более чем на 50%. Прекратили свою работу множество ботнетов, управлявшихся с закрытых ресурсов. Несмотря на то, что спустя несколько недель объемы спама начали восстанавливаться, данное событие стоит рассматривать как одну из самых значительных побед последних лет. К сожалению, прогноз, данный экспертами на 2008 год, полностью оправдался. Из всех проблем 2008 года наиболее значительными – затронувшими всю антивирусную индустрию и формировавшим общую ситуацию в сфере информационной безопасности, – стали проблемы распространения руткитов, атаки на социальные сети, игровые вредоносные программы и ботнеты. Проблема распространенности руткитов стала более серьезной, чем в предыдущем году. «Лабораторией Касперского» было подготовлено три масштабных исследования, посвященных данному вопросу, – «Rustock и все, все, все», «Эволюция руткитов», «Буткит: вызов 2008». Они показали, что в данной области остается значительное число возможностей для организации комплексных атак. Однако большинство антивирусных компаний до сих пор не уделяют должного внимания проблеме обнаружения и лечения активных руткитов. Продолжающийся бум популярности социальных сетей и их активное использование в странах с большим количеством новых интернет-пользователей (Юго-Восточная Азия, Индия, Китай, Южная Америка, Турция, Северная Африка, бывший СССР) привели к тому, что атаки «на и через» социальные сети из единичных инцидентов стали обыденным и крайне опасным фактом. По оценкам экспертов, эффективность распространения вредоносного кода в социальных сетях составляет около 10%, что значительно превышает эффективность классического метода распространения вредоносных программ по электронной почте (менее 1%). Социальные сети использовались не только для распространения новых вредоносных программ, но и для сбора информации, а также для реализации множества мошеннических схем, в том числе фишинга. Наиболее значительной стала эпидемия червя Koobface, первые варианты которого были обнаружены «Лабораторией Касперского» в июле 2008 года. Червь, нацеленный на пользователей социальных сетей Facebook и MySpace, к декабрю стал способен атаковать пользователей еще одной популярной социальной сети – Bebo. В 2008 году аналитики констатировали стремительный рост числа вредоносных программ, нацеленных на кражу паролей к онлайн-играм: за год было обнаружено 100 397 новых «игровых» троянцев, в три раза больше, чем в 2007 году (32 374). Несмотря на то, что в большинстве игровых миров запрещена продажа за реальные деньги виртуальных игровых ценностей, желающих их купить становится все больше. Как правило, покупателям все равно, выиграны ли игровые ценности другим игроком или были украдены с использованием вредоносного кода. Это, безусловно, на руку вирусописателям, поскольку приводит к росту цен на виртуальную собственность и способствует криминализации рынка продаж виртуальных ценностей. Слово «ботнеты», еще несколько лет назад использовавшееся исключительно сотрудниками антивирусных компаний, в последний год стало известно практически всем. Ботнеты стали основным источником распространения спама, DDoS-атак, рассылки новых вредоносных программ. Можно отметить, что ботнеты имеют прямое отношение ко всем темам, которые аналитики рассматривают в годовом отчете – руткитам, атакам на пользователей социальных сетей и игроков в онлайн-игры и т.д. То, что именно эти области и технологии окажутся в центре всеобщего внимания, было ожидаемо. Еще более важно то, что события в этих областях в 2008 году четко показывают громадный потенциал данных проблем и несомненность их развития и усложнения в ближайшем будущем. Подробная информация по каждой из обозначенных тем содержится в полной версии годового отчета. Прогнозы Очевидно, что существующие угрозы в 2009 году никуда не исчезнут: продолжатся атаки на игроков в онлайн-игры, пользователей социальных сетей; ожидается усложнение вирусных технологий и рост числа ботнетов, а также развитие киберпреступности как бизнеса и сервисов. Прогнозы экспертов «Лаборатории Касперского» касаются тенденций, которые пока еще не стали очевидными, но могут оказать значительное влияние на развитие киберугроз в 2009 году. Глобальные эпидемии Эксперты констатировали окончание в 2008 году длительной эпохи глобальных эпидемий. Этот период, начавшийся в 2000 году и переживший максимальный подъем в 2003-2005 годах, характеризовался большим количеством червей, вызывавших глобальные эпидемии и использовавших для своего распространения сначала электронную почту, а ближе к концу периода – сетевые атаки. 2007-2008 годы стали временем стремительного роста количества троянских программ, ориентированных на кражу информации, в большинстве случаев относящейся к банковским аккаунтам и онлайн-играм. Однако уже нынешний год может стать началом обратной тенденции. Эксперты не исключают ряд серьезных инцидентов, которые по своим масштабам могут превзойти ситуацию прошлых лет. Распространение сетевого червя Kido – первый пример подобных эпидемий. Эксперты констатировали окончание в 2008 году длительной эпохи глобальных эпидемий и отказ вирусописателей от практики создания червей, поражающих миллионы компьютеров по всему миру. Однако в 2009 ситуация может кардинально измениться – ряд серьезных инцидентов может превзойти по своим масштабам ситуацию 2006-2009 годов. Современный мир киберпреступности вступил в период насыщения рынка: количество людей и группировок на этом рынке стало слишком велико, и между ними начинается серьезная конкуренция. Одновременно с этим в 2009 году ожидается увеличение числа киберпреступников. Главной причиной этого станет мировой экономический кризис: сокращение рабочих мест и закрытие IT-проектов приведет к тому, что множество высококвалифицированных программистов либо останутся без работы, либо будут нуждаться в деньгах, поскольку их доходы существенно снизятся. Таких людей будут вовлекать в киберкриминальный бизнес, а некоторые из них сами обратят внимание на подобный способ заработка. Учитывая, что технический уровень подобных «новобранцев» значительно превышает уровень большинства современных киберпреступников, они составят им серьезную конкуренцию. Выжить на конкурентном рынке киберпреступности можно единственным способом: заразить как можно больше машин как можно быстрее. А для этого злоумышленникам необходимо осуществлять регулярные атаки на миллионы компьютеров пользователей. Снижение активности игровых троянцев Прогноз снижения активности игровых троянцев, очевидно, идет вразрез с мнением большинства других антивирусных компаний. В настоящее время количество игровых троянцев исчисляется сотнями тысяч. Легкость их создания, широкий круг потенциальных жертв и прочие факторы, которые в экономике называются «порогом вхождения в рынок», привели к тому, что и «игровой» киберпреступный рынок перенасыщен. Доход тех, кто наживается на краже виртуальных игровых ценностей, стал слишком мал, при этом конкуренция среди злоумышленников велика, антивирусные компании научились справляться с гигантскими объемами игровых вредоносных программ, пользователи увеличили свой образовательный уровень, игровые компании приняли ряд мер по пресечению незаконных операций с украденными аккаунтами и игровыми ценностями. Следствием этого может стать уменьшение количества новых игровых вредоносных программ и числа преступных группировок, специализирующихся на их создании. Malware 2.5 На смену концепции Malware 2.0 приходит новая. Концепция функционирования гигантских распределенных систем-ботнетов, придуманная русскоязычными хакерами и реализованная во вредоносных программах Rustock.C, Sinowal (буткит) и нескольких других, продемонстрировала свою высокую эффективность и надежность. Основные черты новой концепции: 1. отсутствие стационарного центра управления ботнетом – так называемый «мигрирующий ботнет»; 2. использование стойких криптографических алгоритмов при взаимодействии между центром управления и машинами в ботнете; 3. использование универсальных центров управления для разных ботнетов. Данные технологии тесно связаны с областью распределенных вычислений и созданием систем, работающих под значительной нагрузкой с громадными объемами данных (архитектура HighLoad). Именно в области создания высокоустойчивых распределенных систем и ожидается повышенная конкуренция между киберпреступными группами. Те злоумышленники, которые смогут создавать собственные системы, будут определять общий уровень угроз и связанных с ними проблем в будущем. На смену script-kiddies придут серьезные специалисты, способные создавать и поддерживать концепцию Malware 2.5. Фишинг/мошенничество Мошенничество в Сети и фишинг будут набирать обороты. При этом атаки злоумышленников станут более изощренными и интенсивными. Повлияют на рост числа мошеннических и фишинговых атак два фактора. Во-первых, в период кризиса, когда банки разоряются, меняют владельцев или испытывают проблемы с выплатами, у мошенников появляется много новых возможностей и поводов для привлечения к своим сообщениям внимания пользователей. Во-вторых, технологическая сложность разработки, реализации и распространения современных вредоносных программ заставляет множество киберпреступников искать более простые и дешевые способы наживы. Фишинг может стать для них одним из наиболее привлекательных решений. Дифференциация вредоносных программ по платформам Одним из наиболее очевидных итогов усиления конкуренции киберпреступников на технологическом уровне и их активной борьбы за увеличение числа зараженных компьютеров станет смещение киберугроз в ранее малоохваченные ими области. Дифференциация коснется всех без исключения платформ и операционных систем, отличных от Microsoft Windows, но в первую очередь Mac OS и мобильных платформ. Ранее эти платформы использовались в основном для экспериментов, однако сейчас их доля на рынке уже достаточно велика для того, чтобы они стали представлять интерес для более широкого круга злоумышленников. В то же время на данных платформах остается нерешенным множество проблем с безопасностью, а пользователи этих платформ не готовы к атакам вредоносных программ.



Оставить комментарий

Ваше имя::


Комментарий::




Ничего не найдено