Развитие информационных угроз в третьем квартале 2014 года

 PDF-версия отчета

Обзор ситуации Целевые атаки и вредоносные кампании По следу Йети В июле мы опубликовали подробный анализ кампании по проведению целевых атак, которой мы дали название Crouching Yeti («крадущийся йети»). Эта кампания известна также под названием Energetic Bear («энергичный медведь»).

Эта кампания, которая активно ведется с конца 2010 года, до сих пор была нацелена на следующие секторы: энергетика/машиностроение, промышленность, фармацевтический сектор, строительство, образование и информационные технологии. Число жертв атак по всему миру превышает 2800; нам удалось выявить 101 атакованную организацию, в основном в США, Испании, Японии, Германии, Франции, Италии, Турции, Ирландии, Польше и Китае.

По следу Йети

Если судить по списку жертв, злоумышленники, стоящие за Crouching Yeti, подбирают объекты для атаки, имеющие стратегическое значение. Однако выбор некоторых целей, атакованных группировкой, очевидным не назовешь.

В ходе атак группа Crouching Yeti применяет несколько видов вредоносных программ (все они предназначены для операционных систем семейства Windows), с помощью которых они проникают на компьютеры жертв, расширяют охват сети атакуемой организации, крадут конфиденциальные данные, в том числе интеллектуальную собственность и другую стратегически важную информацию. Зараженные компьютеры соединяются с большой сетью взломанных сайтов, используемой киберпреступниками для размещения вредоносных модулей, хранения информации о жертвах и отправки команд на зараженные системы.

Для заражения компьютеров жертв киберпреступники применяют три метода. Во-первых, они используют легитимные инсталляторы с внедренной в них вредоносной DLL-библиотекой. Такие модифицированные самораспаковывающиеся архивы могут загружаться непосредственно на взломанный сервер или отправляться одному из сотрудников атакуемой организации по электронной почте. Во-вторых, атакующие с помощью методов адресного фишинга доставляют на компьютеры жертв вредоносный файл XDP (XML Data Package), содержащий эксплойт для Flash (CVE-2011–0611). В-третьих, злоумышленники прибегают к атакам типа watering hole. На взломанных сайтах посетители с помощью нескольких эксплойтов (CVE-2013–2465, CVE-2013–1347 и CVE-2012–1723) перенаправляются на другие сайты, на которых киберпреступниками размещены вредоносные JAR или HTML-файлы. Термин watering hole (буквально — водопой) обозначает сайты, которые с высокой степенью вероятности посещают потенциальные жертвы. Злоумышленники заранее взламывают эти сайты, внедряя в них код, устанавливающий вредоносные программы на компьютеры всех посетителей взломанных ресурсов.

В состав троянца Havex — одной из вредоносных программ, применяемых киберпреступниками, — входят специальные модули для сбора данных в определенных промышленных IT-средах. Прежде всего это модуль OPC-сканера. Этот модуль предназначен для сбора чрезвычайно подробных данных об OPC-серверах, работающих в локальной сети. Серверы OPC (Object Linking and Embedding (OLE) for Process Control), как правило, используются там, где работают несколько автоматизированных систем управления. Вместе с данным модулем применяется сканер сети, который сканирует локальную сеть в поисках компьютеров с открытыми портами, связанными с работой систем АСУ/SCADA (Supervisory Control and Data Acquisition), и пытается соединиться с этими хостами, чтобы определить систему АСУ/SCADA, которая, возможно, на них работает. Затем он передает все найденные данные на командные серверы, с помощью которых злоумышленники управляют вредоносной кампанией.

В процессе анализа кода мы искали признаки, по которым можно было бы идентифицировать злоумышленников.

Анализ временных меток в 154 файлах показал, что большинство образцов было скомпилировано между 06:00 и 16:00 часами UTC. Это может означать, что злоумышленники находятся в одной из стран Европы. Мы также обращали внимание на используемый киберпреступниками язык. Вредоносная программа содержит строки на английском языке (написанные людьми, для которых этот язык неродной). Некоторые признаки указывают на то, что члены группы, возможно, говорят по-французски или по-шведски. Однако в отличие от некоторых других исследователей, изучавших Crouching Yeti, мы не нашли ничего, что позволило бы нам сделать однозначный вывод о российском происхождении злоумышленников. Контент, написанный кириллицей (или транслитом) не был обнаружен в 200 вредоносных исполняемых файлах и в связанном с атакой дополнительном контенте, — в отличие от того, что мы находили в предыдущих кампаниях по проведению целевых атак, в том числе Red October, MiniDuke, CosmicDuke, Snake и TeamSpy.

Epic Turla: сага о кибершпионаже Уже больше года «Лаборатория Касперского» изучает сложную кампанию по кибершпионажу, которой мы присвоили название Epic Turla. Эта кампания, продолжающаяся с 2012 года, нацелена на государственные учреждения, посольства, военных, исследовательские центры, образовательные учреждения и фармацевтические компании. Большинство жертв находятся на Ближнем Востоке и в Европе, однако мы находили жертв атак и в других местах, в том числе США. В целом мы обнаружили несколько сотен принадлежащих жертвам IP-адресов более чем в 45 странах.

Epic Turla: сага о кибершпионаже

На момент первой публикации материалов, связанных с нашим исследованием этой кампании, не было ясности относительно того, каким образом заражались компьютеры жертв атак. В нашем последнем исследовании, опубликованном в августе, мы описали механизмы заражения, примененные в Epic Turla, и их связь с общей структурой кампании.

Для заражения жертв киберпреступники используют приемы социальной инженерии — в частности, адресный фишинг и атаки типа watering hole.

В некоторые из электронных писем, отправляемых в рамках адресного фишинга, вложены эксплойты нулевого дня. Первый из них использует уязвимость в Adobe Acrobat Reader (CVE-2013–3346) и позволяет атакующим выполнять произвольный код на компьютере жертвы. Второй использует уязвимость в Windows XP и Windows Server 2003, связанную с возможностью повышения привилегий (CVE-2013–5065), и обеспечивает бэкдору Epic Turla получение прав администратора на компьютере жертвы. Кроме того, злоумышленники обманным путем добиваются запуска жертвами инсталляторов вредоносного ПО — файлов с расширением .SCR, которые иногда к тому же упакованы в RAR-архив. Когда ничего не подозревающие жертвы открывают зараженный файл, на их компьютерах устанавливается бэкдор, предоставляя атакующим полный контроль над этими машинами.

Организаторы кампании Epic Turla также используют атаки типа watering hole с применением Java-эксплойтов (CVE-2012–1723), эксплойтов для Adobe Flash и эксплойтов для Internet Explorer. Кроме того, применяются приемы социальной инженерии, с помощью которых жертв убеждают запустить вредоносные инсталляторы, выдаваемые за Flash Player. В зависимости от IP-адреса жертвы для заражения используются эксплойты для Java или браузера, подписанная фальшивая программа Adobe Flash Player или фальшивый вариант Microsoft Security Essentials. Нам удалось обнаружить более 100 сайтов с вредоносным кодом, внедренным киберпреступниками. Очевидно, что выбор сайтов отражает специфические интересы атакующих (и в той же степени интересы жертв). Например, многие из зараженных испанских сайтов принадлежат муниципальным властям.

Сразу же после заражения компьютера бэкдор Epic Turla (известный также под названиями WorldCupSec, TadjMakhal, Wipbot и Tadvig) устанавливает соединение с командным сервером и отправляет пакет данных о системе жертвы. Исходя из информации о системе, полученной командным сервером, злоумышленники отправляют на зараженную машину заранее подготовленный пакетный файл, содержащий набор команд, которые следует выполнить на данном компьютере. Атакующие также загружают на зараженный компьютер нестандартные инструменты для распространения по сети (в том числе специальный клавиатурный шпион и архиватор RAR), а также стандартные утилиты, такие как созданное Microsoft средство отправки запросов на DNS-серверы.

Наш анализ показал, что применение бэкдора Epic Turla — лишь первый этап многоступенчатого процесса заражения. С его помощью в систему устанавливается бэкдор с более сложным функционалом, известный как Cobra/Carbon system (в некоторых антивирусных продуктах он фигурирует под именем Pfinet). В какой-то момент злоумышленники сделали следующий шаг — использовали установленный в системе бэкдор Epic Turla для обновления конфигурационного файла Carbon, прописав в нем новый набор командных серверов. То, что для управления работой обоих бэкдоров необходимо обладать одной и той же уникальной информацией, свидетельствует о наличии прямой связи между ними. Первый из них применяется для закрепления в системе и верификации высокого статуса жертвы. Если жертва действительно представляет интерес для атакующих, на взломанный компьютер устанавливается полнофункциональная система Carbon.

Вот обзор кампании по кибершпионажу Epic Turla:

Вот обзор кампании по кибершпионажу Epic Turla

Атрибуция подобных атак всегда связана с большими сложностями. Однако некоторые особенности кода позволяют получить определенную информацию о злоумышленниках. Очевидно, что английский язык для них не родной. Они часто делают ошибки в словах и фразах, например:

'Password it’s wrong!''File is not exists''File is exists for edit'

Есть и другие признаки, по которым можно догадаться о происхождении киберпреступников. Например, некоторые из бэкдоров скомпилированы на компьютере, на котором русский язык был установлен в качестве языка системы. Кроме того, во внутреннем имени одного из бэкдоров Epic Turla — «Zagruzchik.dll» — использовано русское слово «загрузчик». И наконец, в панели управления серверов — «баз» Epic Turla установлена кодовая страница 1251, которая предназначена для отображения кириллических символов.

NetTraveler: новая версия ко дню рождения Об этой кампании целевых атак, которая идет вот уже 10 лет, мы писали несколько раз.

Ранее в этом году мы наблюдали рост числа атак на уйгурских и тибетских активистов с применением обновленной версии бэкдора NetTraveler. Злоумышленники использовали для привлечения жертв адресные фишинговые рассылки: в электронные письма вложен документ Microsoft Word, содержащий эксплойт для уязвимости CVE-2012–0158. Из документа распаковывается и устанавливается на компьютере главный модуль (net.exe), который, в свою очередь, устанавливает еще несколько файлов, в том числе главный командный модуль. Этот модуль с помощью пакетного файла dot.bat регистрируется в системе как служба (под именем Windowsupdata). Формат конфигурационного файла NetTraveler также обновлен: злоумышленники, очевидно, пытались скрыть конфигурацию вредоносной программы (однако примененный для этого шифр легко взломать).

Интересы киберпреступников постепенно менялись. На протяжении долгого времени в число основных целей NetTraveler входили дипломатические, правительственные и военные организации. Последнее время деятельность группы, связанная с кибершпионажем, нацелена прежде всего на космические исследования, нанотехнологии, производство энергии, ядерную энергетику, лазеры, медицину и связь.

NetTraveler: новая версия ко дню рождения

Атаки на уйгурских и тибетских активистов остаются неизменной составляющей деятельности группы.

Сирийское вредоносное ПО: «Карточный домик» Компьютерные технологии стали неотъемлемой частью нашей жизни, и нет ничего удивительного в том, что у вооруженных конфликтов по всему миру появилось «киберизмерение». Это особенно верно для Ближнего Востока, где геополитические конфликты стали в последние годы еще более напряженными. Глобальный центр исследований «Лаборатории Касперского» проанализировал недавнее усиление вредоносной активности в Сирии.

Организаторы этих атак прибегают к приемам социальной инженерии, чтобы убедить своих жертв открыть зараженные файлы. Распространение вредоносного кода осуществляется через электронные письма, сообщения в Skype, записи в Facebook и ролики на YouTube.

Злоумышленники пытаются «подцепить» пользователей на разнообразные «крючки», эксплуатируя доверие своих жертв к форумам в социальных сетях, их любопытство относительно новостей, связанных с сирийским конфликтом, их страх перед государственной машиной и невысокий уровень их технических знаний.

В качестве примера можно привести шокирующий ролик на YouTube, в котором показаны люди, раненные в недавних бомбежках. Зрителям ролика предлагается загрузить файл, размещенный на общедоступном файлообменном сайте (на деле этот файл является вредоносным). Кроме того, мы обнаружили набор сжатых файлов на сайте популярной социальной сети, который, как выяснилось после распаковки, содержал список активистов и разыскиваемых лиц в Сирии. Ссылка на загрузку этого приложения была размещена в информационном разделе видеоролика, опубликованного 9 ноября 2013 года. Киберпреступники используют для обмана своих жертв и фальшивые антивирусы — например, поддельную антивирусную программу под названием «Ammazon Internet Security», а также вариант легитимной утилиты для мониторинга сети Total Network Monitor с внедренной в нее троянской программой. Кроме фальшивых антивирусов, распространяются и фальшивые версии интернет-пейджеров Whatsapp и Viber.

При проведении кибератак применяются также несколько широко известных средств удаленного управления (RAT — Remote Administration Tools) — вредоносных программ, позволяющих удаленному «оператору» управлять работой взломанного компьютера так, как если бы у него был физический доступ к этому компьютеру. Эти инструменты широко применяются во всех видах кибератак — даже в некоторых атаках, поддерживаемых на государственном уровне. В число RAT, используемых в рамках этой компании, входят ShadowTech, Xtreme, NjRAT, Bitcoment, Dark Comet и Blackshades. Вредоносные программы ведут мониторинг активности жертв, собирают информацию и в некоторых случаях предпринимают попытки остановить их деятельность.

Жертвы таких атак находятся не только в Сирии. Атаки также зафиксированы в Турции, Саудовской Аравии, Ливане, Палестине, Объединенных Арабских Эмиратах, Израиле, Марокко, Франции и США.

Нам удалось определить адреса командных серверов киберпреступников, находящихся на территории Сирии, России, Ливана, США и Бразилии. В общей сложности мы обнаружили 110 файлов, 20 доменов и 47 IP-адресов, связанных с этими атаками.

За последний год число подобных атак заметно возросло. Очевидно, что осуществляющие их группы хорошо организованы. До сих пор атакующие применяли только существующее вредоносное ПО, а не создавали собственный вредоносный код (но при этом они используют различные приемы обфускации для обхода сигнатурных методов обнаружения). По нашему мнению, вероятен дальнейший рост как числа, так и сложности вредоносного ПО, применяемого в регионе.

Полный отчет об этом вредоносном ПО можно найти здесь.

Истории о зловредах Банковский троянец Shylock В этом году «Лаборатория Касперского» внесла свою лепту в работу объединения правоохранительных и отраслевых организаций, координируемого британским Национальным агентством по правонарушениям (National Crime Agency, NCA), поучаствовав в прекращении работы инфраструктуры троянца Shylock. Вот хороший пример того, как международное сотрудничество в борьбе с киберпреступностью может принести положительные результаты.

Банковский троянец Shylock был стал известен в 2011 г. и получил свое название из-за того, что в нем содержатся отрывки из «Венецианского купца» Шекспира. Как и другие известные банковские троянцы — Zeus, SpyEye и Carberp — Shylock представляет собой атаку типа man-in-the-browser, предназначенную для кражи логинов и паролей к учетным записям клиентов онлайн-банкинга. Троянец использует заранее определенный список банков-жертв, расположенных в разных странах по всему миру.

Троянец вставляет поддельные поля для ввода данных в веб-страницы, загружаемые браузером на зараженном компьютере. Обманом пользователей заставляют запустить зловред, нажав на вредоносные ссылки. Затем Shylock пытается получить доступ к денежным средствам, находящимся на корпоративных или личных банковских счетах, и переводит их на счета, принадлежащие злоумышленникам.

Со временем география жертв киберпреступников менялась. Когда Shylock только появился, он был нацелен в первую очередь на пользователей в Великобритании; в течение 2012 г. троянец перекинулся на пользователей других европейских стран и США. К концу 2013 г. интерес киберпреступников стал больше направлен на развивающиеся рынки, такие как Бразилия, Россия и Вьетнам. Дополнительная информация о географии жертв Shylock и о распространении троянце доступна здесь.

Все банковские троянцы, включая Shylock, нацелены на клиентов банков и созданы из расчета обмануть пользователя, который зачастую оказывается наименее защищенным звеном любой финансовой транзакции. Вот почему важно, чтобы безопасность начиналась дома: всем нам нужно эффективно защищать свои компьютеры.

Кошелек или файлы! Число программ-вымогателей в последние годы быстро росло; не все они были нацелены на компьютеры, работающие под Windows. Некоторые из них, в том числе направленные на Android-устройства, просто блокируют доступ к устройству и требуют выкуп за разблокирование устройства.

Однако многие программы-вымогатели идут дальше и шифруют данные на компьютере-жертве. Недавний пример — вымогатель ZeroLocker.

В отличие от большинства программ-вымогателей, которые шифруют типы файлов из заранее определенного списка, ZeroLocker шифрует почти все виды файлов на компьютере-жертве и добавляет к зашифрованным файлам расширение .encrypt. ZeroLocker не шифрует файлы, находящиеся в директориях, в названиях которых содержат слова Windows, WINDOWS, Program Files, ZeroLocker и Destroy, а также файлы размером более 20 Мб.

ZeroLocker генерирует 160-битный AES-ключ, которым и шифрует все файлы. Размер ключа несколько ограничен способом его генерации, но все же достаточен, чтобы подбор перебором оказался практически невозможным. После шифрования файлов зловред запускает утилиту cipher.exe, которая удаляет с диска все неиспользуемые данные, что значительно усложняет восстановление файла. Ключ шифрования вместе с CRC32-кодом MAC-адреса компьютера и номером связанного Bitcoin-кошелька отсылается на сервер, используемый злоумышленниками. Есть указания на то, что в конфигурации командного сервера есть кое-какие ошибки, из-за которых успешная расшифровка может оказаться невозможной — еще один аргумент против того, чтобы платить выкуп, требуемый вымогателем.

Ключ шифрования вместе с прочей информацией отсылается через GET-запрос, а не через POST. Это приводит к ошибке 404 на сервере. Это может означать, что сервер не хранит информацию, т.е. жертвы, вероятно, не получат назад свои файлы, даже если выплатят выкуп.

Несколько других URL-ссылок, к которым пытается обратиться зловред, также приводят к ошибке 404. Это может означать, что данная операция еще недоработана киберпреступниками. Когда (и если) эти ошибки будут исправлены, киберпреступники могут задействовать ZeroLocker более широко.

За расшифровку файла киберпреступники, стоящие за ZeroLocker, первоначально требуют сумму в биткойнах, эквивалентную $300.  Если жертва затягивает с платежом, сумма вырастает сначала до $500, а затем и до $1000.

В код зловреда жестко зашит номер кошелька Bitcoin, однако же зловред пытается загрузить с командного сервера новый адрес кошелька

В код зловреда жестко зашит номер кошелька Bitcoin, однако же зловред пытается загрузить с командного сервера новый адрес кошелька — вероятно, для того чтобы было сложнее отследить, насколько успешно проходит операция и куда уходят деньги. Из всех кошельков Bitcoin, адреса которых мы проверили, ни за одним не числилось никаких проведенных транзакций. Поскольку командный сервер предоставляет информацию о кошельке Bitcoin, возможно, злоумышленники используют уникальный кошелек для каждой жертвы.

Еще одна программа-вымогатель, недавно проанализированная нами — это Onion. Эта вредоносная программа использует проверенный на практике метод, используемый в последнее время и другими вымогателями — она шифрует данные пользователя и требует выкуп в биткойнах.

Еще одна программа-вымогатель, недавно проанализированная нами – это Onion.

При этом в Onion используются и новые технологии. Во-первых, Onion использует анонимную сеть Tor, чтобы скрыть свои командные серверы. Таким образом оказывается сложнее отследить киберпреступников, стоящих за зловредом. В прошлом были и другие вредоносные программы, использовавшие Tor, но этот троянец стоит особняком, поскольку взаимодействует с Tor без всякого участия пользователя. Другие программы этого типа взаимодействуют с сетью Tor, запуская легитимный файл tor.exe (иногда путем внедрения кода в другие процессы). У Onion, в отличие от них, весь код, необходимый для реализации общения с анонимной сетью, совмещен с вредоносным кодом.

Onion также использует необычный криптографический алгоритм, из-за которого расшифровка файла оказывается невозможной, даже если удается перехватить трафик между троянцем и командным сервером. Этот троянец не только использует асимметричное шифрование, но еще и использует криптографический протокол, известный как протокол Диффи-Хеллмана (Elliptic Curve Diffie-Hellman). Это делает расшифровку невозможной без личного мастер-ключа, который никогда не выходит за пределы сервера, контролируемого киберпреступниками. Подробности доступны в нашем отчете о троянце Onion.

Все перечисленные характеристики делают троянец Onion продвинутым с технической точки зрения, и очень опасным.

Киберпреступники рассчитывают на то, что жертвы выплатят требуемый выкуп. Не следует этого делать! Лучше регулярно создавайте резервные копии ваших данных. В этом случае, если однажды вы вдруг станете жертвой программы-вымогателя (или проблемы с «железом» лишат вас доступа к вашим данным), вы не потеряете ни байта из ваших данных.

Зачем один из наших специалистов взломал свой собственный дом Мы все теснее и теснее становимся связаны с интернетом– иногда в буквальном смысле: возможность присоединения к Сети внедрена в бытовые устройства. Это тенденция, известная под названием «интернет вещей», в последнее время привлекает все больше внимания по мере того, как хакеры и специалисты по IT-безопасности испытывают и ищут уязвимости в технологиях, встроенных в машины, внедренных в гостиницах, домашних системах тревожной сигнализации, холодильниках и т.п.

Иногда «интернет вещей» может показаться чем-то далеким, не имеющим отношения к реальной жизни. Однако он ближе, чем бы думаем. Очень вероятно, что в современном доме вы найдете несколько устройств, подсоединенных к локальной сети, и это будут не только традиционные компьютеры, планшеты и сотовые телефоны, но и такие устройства, как Smart TV, принтер, игровая консоль, сетевой накопитель данных, медиа-плеер или спутниковый ресивер.

Один из наших специалистов по IT-безопасности — Дэвид Якоби — исследовал свой собственный дом на предмет его кибербезопасности. Он исследовал несколько устройств: сетевые накопители, Smart TV, маршрутизатор и спутниковый ресивер — и проверил, насколько они уязвимы при атаке. Результаты оказались ошеломляющие. Дэвид нашел 14 уязвимостей в сетевых накопителях, подключенных к сети, одну уязвимость в Smart TV и несколько скрытых функций в маршрутизаторе, которые можно использовать для удаленного контроля над устройством.

Наиболее серьезные уязвимости обнаружились в сетевых накопителях. Эксплуатируя некоторые из них, злоумышленник мог бы удаленно выполнить системные команды с высшими административными правами. Также оказалось, что на протестированных устройствах слабые пароли, установленные по умолчанию; пароли хранились открытым текстом; в конфигурационных файлах на устройствах оказались неправильно выставлены права доступа. Пароль администратора к одному из этих устройств состоял всего из одного знака! А другое устройство охотно делилось своим конфигурационным файлом, в котором содержались пароли в зашифрованном виде, с любым пользователем в сети!

Дэвиду также удалось загрузить файл в в файловой системе за пределами совместно используемых папок, то есть в ту область сетевого накопителя, которая недоступна обычному пользователю. Если злоумышленник загрузит вредоносный файл в эту область, то взломанное устройство станет источником заражения для других устройств, подключенных к накопителю (например для домашнего компьютера) и даже сможет функционировать как бот в составе ботнета, через который проводятся DDoS-атаки. В довершение всего выяснилось, что стереть такой файл можно, только воспользовавшись все той же уязвимостью, -, а это непростая задача даже для технического специалиста.

Когда Дэвид исследовал свой Smart TV, он обнаружил, что он обменивается незашифрованными данными с серверами производителя, что потенциально открывает возможность для атаки типа man-in-the-middle (MITM); в результате может получится, что пользователь, сам того не подозревая, отправит деньги злоумышленникам, когда попытается купить контент, используя Smart TV.  Для подтверждения своей идеи Дэвид смог заменить одну из иконок в графическом интерфейсе телевизора на другую картинку. Обычно виджеты и пиктограммы скачиваются с серверов производителя ТВ, но поскольку данные при обмене не шифруются, в них может внести изменения третья сторона. Дэвид также обнаружил, что Smart TV может выполнять Java-код, что (учитывая возможность перехвата сетевого трафика) открывает возможность для проведения вредоносных атак с использованием эксплойтов.

Оказалось, что DSL-маршрутизатор, обеспечивающий беспроводное интернет-соединение для всех прочих домашних устройств, содержит несколько опасных функций, скрытых от владельца. Используя некоторые из этих функций, злоумышленник мог бы получить удаленный доступ к любому устройству, подключенному к частной домашней сети. Более того, разделы веб-интерфейса маршрутизатора под названиями Web Cameras (веб-камеры), Telephony Expert Configure (экспертная конфигурация телефонии), Access Control (управление доступом),   WAN-Sensing (сбор данных о территориально-распределенной сети) и Update (обновление) являются невидимыми, и владелец устройства не может внести в них изменения. Попасть в них можно только используя довольно типичную уязвимость, которая позволяет перемещаться между разделами интерфейса (которые в основном являются веб-страницами, каждая со своим текстовыми адресом, состоящим из букв и цифр), с помощью грубого подбора цифр в конце адреса. Изначально эти функции были включены в интерфейс для удобства владельца устройства: функция удаленного доступа позволяет интернет-провайдеру легко и быстро диагностировать и исправлять технические проблемы на устройстве. Однако эта удобная функция может обернуться угрозой безопасности, если контроль над устройством попадет в чужие руки.

«Лаборатория Касперского» придерживается политики ответственного раскрытия информации и потому не раскрывает производителей устройств, которые были протестированы в ходе этого исследования. Мы связались со всеми производителями и сообщили им о существовании уязвимостей, и специалисты «Лаборатории Касперского» тесно сотрудничают с представителями производителей устройств, помогая в устранении обнаруженных уязвимостей.

Всем нам важно понимать потенциальные риски, связанные с использованием сетевых устройств, — они актуальны и для частных пользователей, и для компаний. Нужно также понимать, что сильные пароли и ПО, защищающее от вредоносных программ, еще не гарантируют полной безопасности личной информации. Есть еще много вещей, которые мы не контролируем; в некотором смысле, мы находимся в руках производителей устройств и ПО. К примеру, не во всех устройствах есть автоматическая проверка на наличие обновлений, и пользователи сами должны скачивать новые версии прошивки и устанавливать их, и это не всегда просто. Еще хуже то, что не всегда возможно обновить устройство: во время исследования оказалось, что поддержка большей части исследованных устройств прекращена более года назад.

Некоторые советы о том, как снизить риски атаки, доступны в обзоре Дэвида Якоби.

Веб-безопасность и взлом данных: ShellShock В сентябре в сообществе IT-безопасности был объявлен высший уровень тревоги: была выявлена уязвимость Bash (также известная как ShellShock). Bash — это командная оболочка Unix, написанная в 1989 г.; в Linux и Mac OS X используется как командная оболочка «по умолчанию». Уязвимость (CVE-2014–6271) позволяет злоумышленнику удаленно прикрепить к переменной вредоносный файл, который выполняется при вызове командного интерпретатора Bash. Очень серьезный характер данной уязвимости в сочетании с тем, что ее исключительно легко эксплуатировать, делает ее очень опасной. Некоторые сравнивают ее с уязвимостью Heartbleed. Однако Bash по сравнению с Heartbleed эксплуатируется гораздо легче; еще одно отличие состоит в том, что Heartbleed позволял злоумышленникам только красть данные из памяти уязвимого компьютера, а ShellShock мог обеспечить полный контроль над системой.

Злоумышленники не долго думали, как использовать эту уязвимость — мы уже разбирали первые случаи ее эксплуатации вскоре после обнаружения. В большинстве случаев злоумышленники удаленно атаковали веб-сервисы на которых размещены CGI-скрипты, которые написанные в Bash или передают значения скриптам, написанным в Bash. Однако может оказаться, что уязвимость может влиять и на инфраструктуру на основе Windows.

Ни та, ни другая проблема не ограничиваются веб-серверами. Bash широко используется в прошивках популярных устройств, которые  мы используем каждый день: маршрутизаторов, домашних устройств, беспроводных точек доступа и т.д. Как уже было сказано, некоторые из них может быть сложно или даже невозможно перепрошить.

Инструкции о том, как обновить уязвимые системы, доступны здесь.

Статистика Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Цифры квартала По данным KSN, в третьем квартале 2014 года продукты «Лаборатории Касперского» заблокировали 1 325 106 041 вредоносную атаку на компьютерах и мобильных устройствах пользователей. Решения «Лаборатории Касперского» отразили 367 431 148  атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира. Нашим веб-антивирусом задетектировано 26 641 747 уникальных вредоносных объектов (скрипты, эксплойты, исполняемые файлы и т.д.). Зафиксировано 107 215 793 уникальных URL, на которых происходило срабатывание веб-антивируса. Треть (33%) всех  веб-атак, заблокированных нашими продуктами, проводились с использованием вредоносных веб-ресурсов, расположенных в США. Нашим файловым антивирусом зафиксировано 116 710 804 уникальных вредоносных и потенциально нежелательных объектов. Продуктами «Лаборатории Касперского» для защиты мобильных устройств было обнаружено: 461 757 установочных пакетов; 74 489 новых мобильных вредоносных программ; 7 010 мобильных банковских троянцев. Мобильные угрозы В третьем квартале 2014 года продуктами «Лаборатории Касперского» для защиты мобильных устройств было обнаружено 74 489 новых мобильных вредоносных программ — на 14,4% больше, чем во втором.

При этом уменьшилось количество обнаруженных вредоносных установочных пакетов.

Количество обнаруженных вредоносных установочных пакетов и новых мобильных вредоносных программ (Q1 – Q3 2014 года)

Количество обнаруженных вредоносных установочных пакетови новых мобильных вредоносных программ (Q1 — Q3 2014 года)

Если в первом полугодии 2014 года на каждую вредоносную программу в среднем приходилось чуть более 11-ти вредоносных установочных пакетов, то в третьем квартале — всего 6,2.

Использование множества установочных пакетов для одной мобильной вредоносной программы характерно для распространителей SMS-троянцев. Например, для одной версии Stealer.a злоумышленники могут использовать до 70 000 пакетов. Вероятно, уменьшение количества вредоносных установочных пакетов связано с тем, что доля таких зловредов в потоке новых мобильных вредоносных программ уменьшилась (см. ниже).

Распределение по типам мобильных зловредов Распределение по типам мобильных зловредов, второй и третий квартал 2014 года

Распределение по типам мобильных зловредов, второй и третий квартал 2014 года

В рейтинге обнаруженных в третьем квартале вредоносных объектов для мобильных устройств по итогам квартала лидируют Risktool, их показатель увеличился на 8,6 процентных пунктов (п.п.) и достиг 26,5%. Это легальные приложения, которые потенциально опасны для пользователей — их неаккуратное использование владельцем смартфона или злоумышленником может привести к финансовым потерям.

На втором месте — Adware, потенциально нежелательные рекламные приложения (19,4%). Доля таких программ уменьшилась — на 7,9 п.п.

SMS-троянцы оказались на третьем месте, их доля среди всех мобильных угроз по сравнению с предыдущим кварталом также уменьшилась — на 7,2 п.п.

Отметим, что в третьем квартале в потоке нового мобильного вредоносного ПО на фоне уменьшения процента рекламных программ и SMS-троянцев выросла доля мобильных банковских троянцев — с 2,2% до 9,2%. Эта категория зловредов оказалась на четвертом месте в рейтинге.

TOP 20 мобильных вредоносных программ   Название % атак* 1 Trojan-SMS.AndroidOS.Stealer.a 15,63% 2 RiskTool.AndroidOS.SMSreg.gc 14,17% 3 AdWare.AndroidOS.Viser.a 10,76% 4 Trojan-SMS.AndroidOS.FakeInst.fb 7,35% 5 RiskTool.AndroidOS.CallPay.a 4,9

Полный текст статьи читайте на Лаборатория Касперского