Триптих. Начало. Киберугрозы-2011 (часть 1)

Общий обзор ситуации.

В первом квартале 2011 года в мире IT-угроз произошло немало разных событий. Прогнозы, которые были сделаны в нашем годовом отчете, стали сбываться очень быстро, и ситуация, в особенности с мобильными угрозами и целевыми атаками, продолжает накаляться. Проанализируем наиболее значимые инциденты первого квартала.

Мобильные троянцы – спрашивайте в магазинах!

Начнем обзор с мобильных приложений, написанных злоумышленниками для Android OS и помещенных на Android Market. Вредоносные приложения, коих было обнаружено более полусотни, представляли собой перепакованные версии легальных программ с добавленным троянским функционалом. Целью злоумышленников была информация о телефоне: IMEI- и IMSI-коды. Троянец имел также модуль, позволяющий загружать дополнительные компоненты зловреда на телефон без ведома пользователя. Для получения контроля над телефоном злоумышленникам необходимо было сделать jailbreak (обход защиты телефона с целью открытия полного доступа к файловой системе). Чтобы получить root-привилегии, которые дают практически неограниченные возможности для манипуляций над системой, были использованы уязвимости и известные эксплойты "rage against the cage", при этом эксплойты распространялись в одном пакете с троянцами.

То, что эти эксплойты оказались в паре с троянцами, очень помогло тем пользователям, у которых был установлен Kaspersky Mobile Security 9. Троянцы были новыми и еще не попали в антивирусные базы, а эксплойты, распространяемые вместе с ними, уже успешно детектировались. Пока не были созданы сигнатуры для троянцев, KMS 9 детектировала весь пакет проактивно как Exploit.AndroidOS.Lotoor.g и Exploit.AndroidOS.Lotoor.j. После добавления троянцев в антивирусные базы "Лаборатории Касперского", они детектируются нами как Backdoor.AndroidOS.Rooter (в классификации других компаний – DroidDream).

В сложившейся ситуации возникают два вопроса, на которые мы попытаемся ответить.

Сложно ли злоумышленникам получить аккаунт разработчика Android Market? – К сожалению, очень просто. За получение аккаунта пользователь должен заплатить всего лишь $25. Понятно, что Google хочет привлечь как можно больше разработчиков для своей OS. Но 25 долларов – это не та пошлина, которая может стать заградительной, и компьютерные преступники могут создавать десятки таких аккаунтов. Получится бесконечная цепочка: Google будет аннулировать аккаунты, с которых распространяются зловреды, а злоумышленники без всяких проблем создавать новые.

Можно ли усилить контроль над публикуемыми приложениями? – Проблема, прежде всего, в ресурсах, которые должны быть выделены для решения этой задачи. Анализ всего кода, который поступает в различные магазины приложений (не только на Android Market, но и в AppStore, Samsung Market и т.п.), – задача нетривиальная, так как ее очень сложно автоматизировать. Поэтому в будущем в магазинах мы можем столкнуться только с увеличением количества ПО с различными вредоносными довесками.

Как было сказано выше, обнаруженные на Android Market вредоносные программы использовали уязвимости. Заметим, что уязвимыми были устройства с установленной системой версии ниже 2.3 Gingerbread, релиз которой состоялся 6 декабря 2010 года. По данным Google, спустя три месяца после релиза количество систем с обновленной версией ОС составляло всего 2%. Этот показатель наводит на мысль о том, что что-то мешает пользователям быстро обновлять систему. А дело вот в чем: производители телефонов вносят значительные изменения в операционную систему перед ее установкой на мобильные устройства. После этого обновление установленной ОС не всегда возможно, либо требует участия производителя телефона.

Получается, что возможность установки патчей зависит от производителей мобильных устройств, и часть ответственности за безопасность системы перекладывается на них. Они же во многих случаях не заинтересованы в поддержке и обновлении программного обеспечения на выпущенных устройствах. Поскольку модели смартфонов устаревают очень быстро, обновление ПО устаревших моделей превращается в дополнительные издержки с неочевидной денежной отдачей. Пользователям остается надеяться, что производители примут соответствующие меры и дадут возможность установить обновления на их устройства. Можно ли говорить о безопасности в такой ситуации?

Отметим важный факт: Google имеет возможность удаленно устанавливать/удалять приложения на любое/с любого Android-устройства. На первый взгляд, это отличное подспорье в борьбе с вредоносными программами на уже зараженных телефонах. Однако случай с троянцами на Android Market показал несколько слабых мест такой системы.

Во-первых, получив права администратора, троянцы чувствовали себя вполне свободно на смартфоне пользователя, и удалить их могло только приложение с такими же правами администратора. Для удаления этих троянцев Google пришлось выпустить специальную программу, имеющую такие права.

Во-вторых, дальнейшее развитие технологий мобильных зловредов может привести к ситуации, когда этот механизм удаленного управления может просто отключаться троянцами, наподобие того, как это происходит на PC с Windows Update.

В-третьих, существующая система подразумевает ликвидацию троянских программ на зараженных телефонах, но не предупреждение заражения смартфонов. Но если деньги или важная информация будут украдены с помощью троянца, то его удаление уже не спасет положения.

В целом, ситуация с Android OS начинает напоминать текущую ситуацию с Windows:

существует огромное количество Android-устройств с устаревшим ПО, которое содержит различные незакрытые уязвимости;

сообщения системы безопасности, появляющиеся в момент запуска и установки любого приложения, в абсолютном большинстве случаев пользователем игнорируются;

как и в случае Windows, где большинство зараженных компьютеров – это компьютеры, пользователи которых обладают правами администратора, на Android-системах наибольшему риску заражения подвергаются устройства после jailbreak;

связь мобильных вредоносных программ с их хозяевами строится по классической для Windows-зловредов схеме с использованием командных центров, что в конечном счете ведет к появлению мобильных ботнетов;

существует возможность обхода систем контроля приложений: в Android OS установка приложений возможна не только из Android Market.

С 2007 года количество ежегодно добавляемых сигнатур, детектирующих мобильные зловреды, практически удваивается.

Учитывая статистику, полученную в первом квартале этого года, можно уже сейчас уверенно сказать, что в 2011 году будет обнаружено в два с лишним раза больше вредоносных программ для мобильных устройств, чем годом ранее.

Ситуация с мобильными зловредами особенно настораживает с учетом того, что на мобильных устройствах уже сейчас хранится множество важной информации, а в ближайшем будущем смартфоны превратятся в мобильные кошельки. Кроме того, использование для работы сотрудниками компаний личных мобильных устройств (так называемая консьюмеризация) приводит к тому, что проблема утечки информации со смартфонов отдельно взятых пользователей превращается в настоящую головную боль для компаний, в которых они работают.

Целевые атаки.

Интересующие нас события берут свое начало в 2010 году. В конце прошлого года группа Anonymous взяла на себя ответственность за DDoS-атаки на сайты Mastercard, Visa и Paypal в поддержку сайта WikiLeaks. Многим стало интересно, кто же скрывается под маской Anonymous. В начале 2011 года компания HBGary, занимающаяся компьютерной безопасностью, объявила, что располагает информацией о том, кто именно стоит за этими атаками. Однако через несколько дней сама HBGary подверглась хакерской атаке.

Первый квартал 2011 года ознаменовался несколькими атаками на различные организации. Помимо атаки на HBGary, хакеры взломали RSA, BMI, Lush, сайты Play.com, wiki.php.net и т.д. В результате успешных атак в руках злоумышленников оказалась различная информация (в том числе персональные данные пользователей), которая, хотя и не дает возможности быстрого обогащения, но представляет интерес для киберпреступников.

Еще несколько лет назад взлом серверов крупной компании был исключительной ситуацией, но сейчас, к сожалению, такие события переходят в разряд обыденных. Все указывает на то, что часть профессиональных киберпреступников нащупала новую золотую жилу и переключилась с массовых заражений компьютеров домашних пользователей на взлом серьезных корпораций. Для киберпреступников это более рискованно (ведь корпорации, в отличие от домашних пользователей, точно будут принимать ответные меры), но ставки в целевых атаках на компании выше, а конкурентов в этом сегменте черного рынка меньше.

Настораживает тот факт, что атакам подвергаются и компании, занимающиеся IT-безопасностью. Такие компании, как правило, обслуживают огромное количество клиентов, и в результате взлома баз данных в руках у злоумышленников могут оказаться ключи к большому количеству "кошельков" пользователей в разных странах мира.

Задача взлома серверов компаний, занимающихся IT-безопасностью, с технической точки зрения очень непроста. В случае с HBGary хакеры смогли проникнуть в сеть компании в результате атаки на наименее важный и поэтому хуже всего защищенный сервер технической поддержки. Администратором этого сервера был генеральный директор компании, поэтому, раздобыв на взломанном сервере его логин и пароль, хакеры получили доступ к большому количеству разнообразной информации. Ценность украденной информации была велика, ведь HBGary работает с крупными финансовыми организациями и с государственными органами. Если бы действовали традиционные злоумышленники, то они тут же попытались бы продать ее на черном рынке. Но в данном случае мы столкнулись с нестандартным поведением взломщиков: огромное количество конфиденциальной информации было выложено в открытый доступ. Именно удар по репутации компании, которым стала огласка взлома, и был основной целью злоумышленников.

При взломе RSA свою роль сыграл человеческий фактор. Злоумышленники разослали сотрудникам компании вредоносные xls-файлы c названием "2011 Recruitment Plan.xls", надеясь, что хоть один человек, получивший письмо, откроет файл. Их расчет оказался верен: один из сотрудников RSA открыл злополучный файл, содержащий zero-day эксплойты, что позволило злоумышленникам получить контроль над его компьютером и прорваться сквозь мощную защиту корпоративной сети. Эта история в очередной раз подтверждает: самым слабым звеном IT-защиты компании остаются люди, которые в ней работают. Основным способом укрепления этого звена является обучение, причем не только технических специалистов, но и рядовых сотрудников. Независимо от того, насколько сильна техническая защита компании и насколько профессионально настроены в ней политики безопасности, без четкого понимания всеми сотрудниками основных правил компьютерной безопасности построить действительно защищенную систему невозможно.

Государственные ресурсы Канады, Франции и Южной Кореи также подверглись атакам хакеров в первом квартале. Если при атаках на частные компании злоумышленники, как правило, преследуют денежную выгоду, то цель атак на различные государственные структуры не столь прозрачна. В Канаде и во Франции целью злоумышленников были засекреченные документы. А в Южной Корее атаке подверглись принадлежащие правительству аккаунты в Twitter и YouTube. Как и в случае с Anonymous и HBGary, мотивацией для совершения атаки послужила не жажда наживы. Действия взломщиков по большей части являлись акциями протеста против тех или иных решений организаций и органов государственной власти. Интернет прочно вошел в нашу жизнь и постепенно становится не только важной частью глобального информационного поля, но и ареной политической борьбы.

SCADA – все только начинается?

21 марта 2011 года в рассылке seclists.org было опубликовано 24 уязвимости в SCADA-системах различных производителей: Siemens, Iconics, 7-Technologies, DATAC.

После нашумевшей истории со Stuxnet уязвимости в SCADA-системах вызывают повышенный интерес компаний, занимающихся безопасностью. Эти системы отвечают за функционирование заводов, электростанций, систем управления светофорами и других жизненно важных объектов человеческой деятельности. Возможность манипуляции такими объектами извне представляет угрозу для миллионов людей.

Принципиального отличия программного обеспечения SCADA от обычного ПО нет. Оно пишется на тех же языках программирования, для коммуникаций используются преимущественно хорошо изученные протоколы, в том числе и сетевые. ПО для SCADA тоже пишут люди, что, несомненно, является основной причиной ошибок. Поэтому в SCADA-системах находят ошибки, вполне типичные для обычного программного обеспечения, и эксплойты для них разрабатываются тоже вполне типичные.

Важно учесть, что в мире существует множество SCADA-систем, которые были сконфигурированы еще при запуске предприятий в эксплуатацию и после этого практически не обновлялись. Да и обновление таких систем не всегда возможно, ведь не все могут позволить себе полигон для тестирования патчей в виде второго завода.

Заметим, что в интернете уже появился Exploit Pack для SCADA-систем. А некоторые из опубликованных уязвимостей в конце марта все еще оставались незакрытыми.

Цифровое недоверие?

Сегодня вся инфраструктура "цифрового доверия" – доверие к производителям файлов, интернет-банкинг, покупки в Сети, электронная почта и другие телекоммуникационные услуги – держится на том, что мы доверяем механизмам проверки цифровых подписей и компаниям, которые выпускают цифровые сертификаты.

Наш прогноз о том, что в 2011 году цифровые сертификаты станут одной из главных проблем IT-безопасности, увы, начинает сбываться. В конце марта вышел бюллетень Microsoft, сообщающий, что от имени компании Comodo, по умолчанию доверенной во всех версиях Windows и Mac OS X, было выпущено 9 поддельных сертификатов. Злоумышленникам поддельные сертификаты дают возможность проводить фишинговые атаки, спуфинг содержимого сайтов и MITM-атаки.

По заявлению компании Comodo, выпуск поддельных сертификатов оказался возможным из-за того, что были взломаны аккаунты двух доверенных партнеров компании. Этот инцидент выявил еще одну проблему: поскольку право выпуска сертификатов от имени доверенной компании передается третьим лицам, пользователи вынуждены доверять не только доверенной компании, но и ее партнерам.

Все сертификаты были выпущены не для финансовых организаций, а для сайтов с многомиллионной аудиторией, принадлежащих крупным компаниям. Важно, что сертификаты были выпущены для различных сервисов, в том числе Google, Gmail, Microsoft Live Mail, Yahoo!, Skype, Mozilla addons. Это нетипично для хакеров старой школы, которых в первую очередь интересуют деньги и, как следствие, финансовые организации. Атаки с такими поддельными сертификатами осуществляются не для наживы, но могут приводить к краже личной информации огромного количества пользователей интернета. Это вписывается в концепцию новых организаторов атак, о которых мы писали в нашем годовом отчете.

Любопытно, что, по информации Comodo, хакерские атаки на партнеров компании шли из Ирана. На территории этой страны был расположен и сайт, на котором впервые был использован поддельный сертификат. Позже человек, выдающий себя за иранского хакера-самоучку, взял на себя ответственность за проникновение в систему и даже опубликовал часть закрытого ключа в качестве доказательства. Однако очевидно, что данная атака была очень тщательно спланирована и проведена профессионально, что вряд ли по силам самоучке. К тому же открыто заявившего о себе хакера так и не удалось найти. Не исключено, что иранский след – ложный и использован для отвода глаз.

Rustock попался, его хозяева на свободе.

В середине марта ботнет Rustock перестал рассылать спам. Это событие стало следствием совместной операции Microsoft и правоохранительных органов США, в результате которой были отключены командные центры ботнета. После этого количество спама, рассылаемого во всем мире, уменьшилось на 15%.

Rustock представлял собой ботнет, управляемый через строго определенные командные центры – серверы в интернете, к которым спам-боты обращаются за командами, содержащимися в коде вредоносных программ. Отключение командных центров ботнета привело к тому, что его владельцы потеряли контроль над зараженными машинами. Заново получить контроль над компьютерами, входившими в отключенный ботнет, и управлять уже установленными ботами злоумышленникам не удастся, однако это не означает, что о Rustock можно забыть навсегда.

Бот был создан с единственной целью – рассылать спам, поэтому его функционал минимален: сокрытие в системе, получение команд от владельца и собственно рассылка миллионов незапрошенных писем. Функции самораспространения в Rustock никогда не было. Для создания зомби-сети использовались мощности других ботнетов: вредоносным программам на уже зараженных компьютерах (чаще всего Trojan-Downloader.Win32.Harnig) злоумышленники отдавали команды на загрузку и установку спам-бота Rustock. Типичным прибежищем Rustock является компьютер без антивируса под управлением необновляющейся Windows XP. В мире насчитывается сотни тысяч таких компьютеров. Пока владельцы Rustock на свободе, у них остается возможность создать новый ботнет – и не исключено, что из тех же машин, которые входили в отключенную бот-сеть.

Сразу после закрытия командных центров Rustock злоумышленники не предпринимали активных действий по созданию нового ботнета. По данным "Лаборатории Касперского", в течение двух недель (с 16 марта до конца месяца) не было обнаружено ни одного нового загрузчика, устанавливающего Rustock на компьютеры пользователей.