Супервирусы наступного покоління
Відвідування одного із найбільших європейських інформаційних інтернет-ресурсів мало для багатьох користувачів погані наслідки. Зловмисники впровадили в 186 підсторінок популярного сайту код, який поширював зловмисне програмне забезпечення. Поки ще маловідомий бот розсилав спам на комп'ютери відвідувачів.
Цілями шпигунських кібератак приватних хакерських груп і державних установ стають не тільки прості користувачі, але і підприємства, заводи і політичні організації. Той, хто не здатний розробити свою шкідливу програму, купує готові професійні рішення. В якості прикладу можна навести гучну новину про те, що Федеральне управління кримінальної поліції Німеччини (BKA) в цілях тестування набуло шпигунський софт FinFisher.
«»Використання для нападу безпечних і гідних довіри веб-сайтів - стандартний метод для нового покоління ботів, шпигунських програм і банківських троянів. Незважаючи на здаються наївними назви, наприклад Blackhole, Gameover і DroidKungFu, вони являють собою цілком серйозну загрозу. Чим небезпечні ці «шкідники» і як від них захиститися?
«»Супервирусы заражають мільйони комп'ютерів. Більшість з них використовують уразливості в популярних програмах, таких як Java, Flash або AdobeReader. При цьому шляху інфікування різноманітні: злочинці можуть розмістити шкідливий код на звичайних сайтах, а потім заманити користувача на свої сторінки або розіслати підроблені документи. Наприклад, за останній рік численним європейським адресатам були відправлені електронні листи нібито від компаній Vodafone і Immobilien-Scout24. При відкритті прикладеного PDF-файлу на комп'ютер встановлювався вірус.
Комп'ютери з Windows: золота антилопа для гангстерівЯкщо кибермошенник не може самостійно потрапити на комп'ютери своїх жертв, він вдається до допомоги служб злому. Там він може придбати спеціальний інструмент - набір експлойтів. Це шкідливе ПЗ розпізнає уразливості, через які вірус може прослизнути в систему за методом Drive-by Download, навіть коли не потрібно участь користувача. Найнебезпечніший на даний момент набір під назвою Blackhole набувається злочинцями на підпільних форумах. Ліцензія на його використання, згідно з документами виробника коштує від €40 (близько 420 гривень) на день до €1200 (близько 12 500 гривень) на рік. Покупці вбудовують цю «відмичку» в свої веб-сайти, після чого їм залишається тільки заманити туди користувачів. Це робиться з допомогою фішингових листів або шляхом зараження звичайних ресурсів шматочком коду, який непомітно у фоновому режимі, завантажує сторінку з Blackhole. Даний набір експлойтів через код JavaScript «простукивает» систему користувача в пошуках слабких місць. Всю необхідну інформацію цей підступний «шкідник» отримує з постійно оновлюваного банку даних. Крім іншого, такий складний набір експлойтів з працею розпізнається антивірусами, оскільки в опублікованій у вересні версії 2.0 використовуються динамічні URL як для сайтів, де знаходиться сам Blackhole, так і для сторінок з шкідливим ПО.
Люкс-версія Blackhole під назвою CoolExploitKit атакує тільки через так звані уразливість нульового дня (ZeroDay), для яких навіть у разі виявлення не існує патчів. Це означає, що постраждати може будь-який користувач. «Такий набір експлойтів пропонується лише обраним клієнтам за ціною близько $100 000 (близько 810 000 гривень) на рік», - пояснює Стефан Веше, експерт компанії Symantec.
### Page Break ### Ключ до 850 млн комп'ютерівНайбільшим і зухвалим досягненням розробників Blackhole стала виявлена в січні і відразу інтегрована в цей набір експлойтів вразливість ZeroDay в середовищі Java. П'ять днів тривала підготовка патча для Oracle у програмістів. Весь цей час шахраї за допомогою Blackhole могли отримувати контроль над атакованими комп'ютерами і заманювати користувачів на заражені сайти. Втім, дана середовище і без того користується величезною популярністю у злочинців, оскільки встановлена приблизно на 850 млн комп'ютерів по всьому світу, при цьому багато версії з-за неякісного механізму оновлення є застарілими.
Наша порада: оновлюйте Java вручну. Для цього відкрийте меню «Пуск» і в рядку пошуку введіть «Java». Серед результатів клацніть по запису «Java (32 Bit)» або «Java (64 Bit)». У вікні Java Control Panel перейдіть на вкладку «Оновлення» («Update») і натисніть на кнопку «Оновити зараз» («Update now»). Для повної впевненості можна просто видалити Java через меню «Пуск | Панель управління | Видалення програм».
«»Як тільки набір експлойтів зламає «двері», він запускає шкідливі програми, перш за все нові версії банківських троянів, таких як ZeuS.
«За нашими відомостями, Citadel є найпоширенішим клоном трояна ZeuS», - розповідає Ральф Бенцмюллер, керівник компанії G Data Security Labs. Для цього лідера банківських троянів розробники навіть організували онлайновий сервіс техпідтримки, де кіберзлочинці можуть повідомити про баги і поділитися ідеями стосовно нових можливостей. Всі пропозиції потім обробляються в цьому центрі обслуговування. Базовий пакет Citadel включає в себе утиліту, за допомогою якої можна підготувати бот-мережу для спаму і здійснювати її подальший контроль.
Бот-мережі з самоврядуваннямЩе одна модифікація трояна ZeuS - Gameover - демонструє майбутнє банківських бот-мереж. Тут ставка була зроблена не на класичний ботнет з централізованим управлінням, а на розгалужену структуру P2P. У ній кожен бот діє одночасно і як сервер управління. Таким чином пов'язані між собою боти можуть регулярно інформувати один одного про зміни та поширювати їх. Для влади неймовірно складно припинити дію подібної мережі, оскільки у неї відсутнє централізоване управління, тобто немає сервера, який можна було б відключити від Інтернету.
Як і більшість варіантів ZeuS, троян Gameover реєструє натискання на клавіатуру, щоб з'ясувати дані для входу на банківські портали (так званий кейлоггінг). Втім, Gameover частково використовує і підроблені банківські сторінки для прямого зчитування даних. «У наступному році може навіть з'явиться банківський троян, який використовує мережу Tor (анонімну, майже неконтрольовану мережа - прим. ред.)», - повідомляє Ральф Бенцмюллер.
«»Крім банківських троянів золотою жилою є незмінно популярні Ransomware (програми-здирники). Ці «шкідники», як правило, у вигляді троянів сімейств BKA і GEMA використовують хитромудру шахрайську прийом, коли недосвідчених користувачів лякають логотипами цих органів влади. Вони блокують комп'ютер нібито на підставі нелегальній (найчастіше терористичної діяльності і звільняють її тільки після виплати штрафу. З технічної точки зору існують два варіанти: Reveton повністю блокує доступ до Робочого столу, Ransomcrypt шифрує окремі документи або навіть всі дані цілком. Як правило, користувачеві надають п'ять спроб для введення правильного пароля. Якщо всі вони невдалі, троян самоліквідується, залишаючи закодовані дані або систему.
Майбутні ціліКрім класичних атак експерти з комп'ютерної безпеки очікують у найближчі місяці і перших цілеспрямованих нападів на Windows 8. Те, що нова система від Microsoft спочатку оснащена великою кількістю захисних механізмів у порівнянні з попередницями, слабо заспокоює Ар'є Горецького - експерта компанії ESET. За його прогнозами, скористаються шахраї поки ще незвичним інтерфейсом, щоб ввести в оману користувачів фальшивими системними повідомленнями. Вже зламана захист від руткітів в Windows 8 (ELAM), що підключаються під час завантажувального процесу. «З'явилися руткіти, що завантажуються ще до ядра ОС і таким чином обходящие ELAM», - заявляє Стефан Веше, фахівець з безпеки компанії Symantec.