USD 74.43 ЕВРО 88.93

10 прорывов безопасности 2012 года

Аналитика

20.12.12

10 прорывов безопасности 2012 года

От вирусов для Mac OS X до спонсированных правительствами кибершпионских атак. Чем запомнится 2012 год с точки зрения компьютерной безопасности?

1.       Повторные атаки на
Mac OS X

Появившийся в конце 2011 года троян для Mac OS X Flashback/Flashfake
полностью набрал обороты только к апрелю 2012 года. На пике было инфицировано
более 700 000 маков. Несомненно, это была самая крупная из известных на
сегодняшний день атак на Mac OS X. Как это произошло? Роль сыграли два крупных
фактора: уязвимость
CVE-2012-0507
в языке Java и полная вера пользователей компьютеров от Apple в свою
безопасность и защищенность от вирусов.

Flashback по-прежнему остается актуален, так как именно он разрушил миф о
неуязвимости Mac OS X и подтвердил, что серьезные вспышки распространения
вредоносного ПО могут случаться не только на платформе Windows.

2.       Flame и
Gauss

В середине апреля 2012 года прошла серия кибератак, разрушивших компьютерные
системы на некоторых нефтедобывающих платформах на Ближнем Востоке. Вредоносное
ПО, применявшееся при этих атаках (Wiper), так и не было обнаружено. Кроме
того, некоторые улики указывают на то, что в атаках также были задействованы
черви Duqu и Stuxnet. В процессе расследования на поверхность выплыла огромная
кампания по кибер-шпионажу, известная как Flame.

Вполне возможно, Flame является одним из самых сложных и изощренных
экземпляров вредоносного ПО, за всю историю. Когда оно полностью внедряется в
систему, его модули занимают более 20 мегабайт дискового пространства и
предоставляют широкий массив функций, таких как, например перехват аудио,
сканирование Bluetooth-устройств, кража документов и сохранение скриншотов
зараженной машины. Наиболее впечатляющая часть заключалась в использовании
поддельных сертификатов Microsoft для проведения атак на службу Windows Update
с использованием «незаконного посредника», что позволяло инфицировать машины
даже с полностью обновленной Windows 7 в мгновение ока. Сложность данной
операции не оставляет никаких сомнений в том, что атаки производились на
государственном уровне и были запущены правительством какой-либо страны. Четкая
связь атак с червем Stuxnet была прослежена исследователями из «Лаборатории
Касперского». Наличие этой связи указывает на то, что создатели Flame тесно
взаимодействовали с разработчиками Stuxnet.

На примере Flame стало ясно, что столь сложное вредоносное ПО может
оставаться незамеченным многие годы. По расчетам проекту Flame не менее пяти
лет.

Естественно, когда стало известно о Flame, многие задались вопросом,
проводились ли уже подобные кампании, и сколько их было? Вскоре обнаружились и
другие проявления правительственных кибератак. Обнаружение еще одной сложной
троянской программы, получившей широкое распространение на Ближнем Востоке
вывела государственные вредоносные кибер-кампании на новый уровень. Gauss
примечателен многими вещами, при этом многое, связанное с ним до сих пор
остается загадкой. Он также является первым правительственным банковским
трояном, способным угонять онлайн-аккаунты клиентов банка, преимущественно это
происходило в Ливане.

Появление Flame и Gauss напрямую свидетельствуют о том, что между
государствами сейчас ведутся самые настоящие кибервойны.

3.       Распространение угроз
для
Android

В 2011 году наблюдался бурный рост количества угроз, направленных на
платформу Android. В 2012 году, как и предполагалось, рост только ускорился.
Это продемонстрировано на графике ниже.

Уже к июню 2012 года было зафиксировано около 7000 вредоносных программ под
Android. Всего же за 2012 год было выпущено более 35 000 вредоносных
программ под эту мобильную ОС: в одиннадцать больше, чем в 2011 году и в пять
раз больше, чем в общей сложности с 2005 года.

Объяснить это можно двумя факторами: экономическим и платформозависимым. В
первую очередь, сама платформа Android набрала невероятную популярность, став
самой распространенной ОС для смартфонов с долей рынка в 70 процентов.
Во-вторых, открытость системы и простота установки неофициальных программ
слоились в крайне негативную для безопасности платформы картину.

Заглядывая вперед можно сказать, что эта тенденция будет продолжаться, как
когда-то происходило с ОС Windows.

4.       Утечки паролей
LinkedIn, Last.fm, Dropbox и Gamigo

В июле 2012 года одна из крупнейших в мире социальных сетей для
бизнес-пользователей LinkedIn пережила хакерскую атаку. Нападавшие остались
неизвестными, а в интернет были выложены контрольные суммы паролей более 6,4
миллиона пользователей. При помощи мощных видеокарт специалисты по безопасности
сумели восстановить из контрольных сумм более 85 процентов паролей – просто
невероятный показатель. Роль сыграли различные факторы. В первую очередь то,
что в LinkedIn контрольные суммы хранились в формате SHA1. Современные
видеокарты взламывают такие контрольные суммы с невероятной скоростью. К
примеру, Radeon 7970 (стоит около 400 долларов) может взламывать из SHA1-хешей
до 2 миллиардов  паролей в секунду. Это в купе с современными
криптографическими приемами (например, цепями Маркова), применяемыми для
оптимизации перебора паролей (брутфорс) или маскировки атак, преподало
веб-разработчикам хороший урок о том, как следует хранить зашифрованные
пароли.

Когда появились данные о том, что украдена личная информация из аккаунтов
пользователей DropBox, стало ясно, что хакеры охотятся за ценными данными
(особенно учетными) пользователей наиболее популярных веб-сервисов. В 2012 году
наблюдались подобные атаки на Last.fm и Gamigo, в результате чего было похищено
и выложено в публичный доступ более 8 миллионов паролей.

5.       Кража сертификатов
Adobe

В 2011 наблюдались широкомасштабные атаки на органы сертификации. В июне
Датская компания DigiNotar подверглась хакерской атаке, в итоге разорившей ее.
Выявление червя Duqu в сентябре 2011 года также связвно с атаками на органы
сертификации.

27 сентября 2012 года компания Adobe сообщила об обнаружении двух
вредоносных программ, которые были подписаны действительными сертификатами
Adobe. Сертификаты Adobe хранились в защищенном виде в HSM – специальном
криптографическом устройстве, которое сильно затрудняет проведение атак. Тем не
менее, нападающим удалось взломать сервер, способный выполнять запросы на
подпись программного кода.

Тот факт, что компания столь высокого класса, как Adobe, была атакована
таким образом, свидетельствует о том, какими возможностями становятся доступны
действительно серьезным компьютерным злоумышленникам.

6.       Остановка
DNSChanger

Когда в ноябре 2011 года в ходе операции Ghost Click были арестованы
злоумышленники стящие за вредносным ПО DNSChanger, инфраструктура, созданная
для проведения краж персональных данных попала в руки ФБР.

Представители ФБР приняли решение не останавливать сервера до июля 2012
года, чтобы все жертвы DNSChanger успели дезинфицировать свои системы. В итоге
все прошло по плану. Однако это было бы возможно без крупных инвестиций со
стороны ФБР и других правоохранительных органов, частных компаний со всего мира
и правительственной поддержки. Эта широкомасштабная акция показала, что успех в
борьбе с киберпреступностью достижим через кооперацию и обмен информацией.

7.       Инцидент
Madi

В конце 2011 года и первой половине 2012 продолжительная кампания по
проникновению в компьютеры, разворачивавшаяся на Ближнем Востоке и Направленная
на частных лиц в Иране, Израиле, Афганистане и некоторых других странах,
распространилась по всему миру. Расследовала эту операцию «Лаборатория
Касперского» при участии Seculet. На основе использованных злоумышленниками
средств, кампания была названа Madi.

Несмотря на то, что Madi была достаточно проста и незатейлива, ей таки
удалось добиться некоторого успеха при помощи применения оциальной инженерии и
тактики замещения справа налево. Кампания Madi продемонстрировала крайне важную
вещь: даже при условии низкого финансирования кибершпионские операции могут
быть вполне успешными.

8.       Угрозы нулевого дня
языка
Java

Последствием вышеупомянутой атаки на пользователей Mac OS X (Flashback)
стало удаление Java из этой ОС, предпринятое Apple. Стоит отметить, что патч,
закрывающий используемую Flasback уязвимость была доступна еще с февраля, а
пользователи ОС от Apple были подвержены ей еще несколько месяцев после этого,
так как Apple мелила с внедрением патча. На Windows ситуация отличалась, так
как там патч распространялся непосредственно компанией Oracle.

Но это еще не все, в августе 2012 года в Java была обнаружена широко
используемая уязвимость нулевого дня (CVE-2012-4681). Эксплойт был внедрен в
популярный набор Black Hole, после чего с его помощью были инфицированы
миллионы компьютеров по всему миру.

Более 30 процентов пользователей используют устаревшие уязвимые версии Java.
Это самое распространенное ПО с уязвимостями в мире.

9.       Shamoon.

В середине августа появились подробности о крайне разрушительном вредоносном
ПО, применявшемся против Saudi Aramco, одного из крупнейших нефтяных
конгломератов. По некоторым данным, более 30 000 систем были полностью
разрушены этим ПО.

Подробный анализ Shamoon (так называлось это ПО) показал, что в нем
содержался триггер, который активировал разрушительный процесс 15 августа в
8:08 в формате UTC. Позже появились заявления о повторных атаках с помощью того
же ПО на другие нефтяные компании на Ближнем Востоке.

10.   DSL-модемы, Huawei и аппаратные
хаки

В октябре 2012 года исследователь Фабио Ассолини опубликовал детали атаки,
проводившейся в Бразилии  с 2011 года. В ней использовалась одна
аппаратная уязвимость, два вредоносных скрипта и 40 вредоносных DNS-сервера.
Атака затронула шесть производителей оборудования. Это вылилось в том, что
миллионы бразильских пользователей интернета стали жертвами продолжительной и
незаметной атаки на DSL-модемы.

В марте 2012 года бразильская команда CERT подтвердила, что более 4,5
миллионов модемов были заражены и использованы киберпреступниками для
разнообразных мошеннических действий.

На конференции T2 в Финляндии, исследователь проблем в области безопасности
Феликс «FX» Линдер из Recurity Labs GmbH провел обсуждение уязвимостей,
найденных в роутерах Huawei. Это выросло в решение правительства США провести
расследование на предмет определения возможности шпионажа со стороны
Huawei.

Случаи с Huawei и DSL-роутерами в Бразилии – не случайность. Они просто
демонстрируют, что  аппаратные маршрутизаторы могут представлять такую же
опасность, как и устаревшее ПО, а защита стала сложнее чем когда-либо, в
некоторых случаях защититься вообще невозможно.