Комп'ютерні віруси, здатні грабувати людей, стають все витонченішими

2014 рік ознаменувався політичними та економічними потрясіннями. Але для фахівців з інформаційної безпеки це, перш за все, рік нових, особливо небезпечних інформаційних загроз. Провідні компанії галузі розповіли порталу Банкі.ру про найбільш помітних шкідливих програмах і хакерських атаках року.

Минулий рік можна назвати роком тріумфу організованою кіберзлочинності. Талановиті вирусописатели-ентузіасти, які творили заради любові до мистецтва програмування на межі закону, давно зійшли зі сцени. Хакери-одинаки, які прагнули заробити на своїх талантах, також перестали являти собою вагому загрозу. Першу скрипку грають згуртовані, добре фінансовані групи, що ставлять перед собою чіткі бізнес-завдання.

Сучасна шкідлива програма - продукт, розроблений під потреби замовника або під вимоги ринку, планомірно розвивається і підтримуваний, або послуга, що надається за підпискою. Кожна її функціональна особливість відповідає якомусь конкретному запиту від потенційних покупців. І в кінцевому підсумку повинна приносити гроші. І в цьому автори вірусів, хробаків, троянів і інших представників шкідливого зоопарку, проявляють неабияку хитромудрість.

Голосніше за всіх в цьому році прогримів банкоматний троянець Backdoor.MSIL.Tyupkin, примітний своєю здатністю до прямої маніпуляції роздавальником банкнот апарату. восени ми писали про це найцікавішому спосіб шахрайства.

«Злочинці проводять операцію в два етапи, - розповіли в« Лабораторії Касперського ». - Спочатку вони отримують фізичний доступ до банкомату і встановлюють з завантажувального компакт-диска шкідливу програму, що отримала назву Tyupkin; потім вони перезавантажують банкомат, щоб завантажити шкідливу програму, яка дозволяє їм управляти роботою банкомату. Після цього шкідлива програма запускає нескінченний цикл очікування призначеного для користувача введення. Щоб ускладнити виявлення, Tyupkin приймає команди тільки в певний час вночі в неділю і понеділок. У цей час учасники атаки можуть ввести на клавіатурі банкомату комбінацію цифр, зв'язатися по телефону з оператором шкідливого ПО, ввести ще один набір цифр і забрати гроші, видані банкоматом в результаті цих маніпуляцій ».

Зауважте, витяг грошей вимагає роботи з оператором, що надає код. Це зроблено для того, щоб на «Тюпкіне» не запрацювали випадкові люди. Схоже, недовго залишилося чекати появи цілодобових кол-центрів, що надають технічну підтримку хакерам і користувачам шкідливих програм.

Троянець Regin, досліджений в цьому році «Лабораторією Касперського», таємно працював понад десять років. Regin - мінливий і складний для аналізу зловредів, різні його варіанти траплялися дослідникам-безпечники ще в 2003 році, але розібратися в його роботі вдалося тільки цієї осені.

Найцікавіше в ньому - його незвичайні здібності. «Regin є першою виявленої шкідливої ​​платформою, яка до того ж до стандартних шпигунським можливостям може проникати в GSM-мережі і здійснювати стеження за дзвінками і переданими повідомленнями», - розповіли порталу Банкі.ру в «Лабораторії Касперського».

Regin здатний заражати базові станції мобільного зв'язку, роками працюючи в GSM-інфраструктурі і ведучи стеження за певними людьми. Також він помічений в атаках на телекомунікаційні компанії, органи державної влади, фінансові та наукові установи, міжнародні політичні організації і вчених, що беруть участь в математичних і криптографічних дослідженнях. Троянець краде електронні листи і документи, а також здатний завантажувати на заражений комп'ютер інші шкідливі програми.

Також вкрай цікавим виявився механізм зв'язку Regin зі своїми господарями: заражені комп'ютери організовують мережу, обмінюючись інформацією, і один з них стає маршрутизатором, що відповідає за зв'язок з сервером зловмисників. В роботі Regin залишається ще безліч невідомих особливостей. Зокрема, фахівцям так і не вдалося розібратися, як він проникає на комп'ютери, відомо лише про його здатності поширюватися по локальних мережах. Як відзначають фахівці, Regin, швидше за все, є слідом великомасштабної розвідувальної операції однієї зі світових спецслужб.

Кіберзлочинці масштабом поменше зосередилися в цьому році на мобільних пристроях. Поле діяльності вкрай перспективний: там є що вкрасти, а засоби захисту поширені мало. Список контактів, логіни і паролі, доступ до банківських рахунків, приватна інформація - все це можна знайти чи не в кожному смартфоні.

Троянець Destover, застосований в ході гучної атаки на Sony Pictures Entertainment, залишив по собі слід у вигляді безлічі виведених з ладу комп'ютерів. Атака на корпоративну мережу Sony призвела до витоку великої обсягу конфіденційних даних, включаючи інформацію про зарплати і персональні дані співробітників, а також ще не вийшли в прокат фільми. Sony - не перша жертва Destover і йому подібних, але відловити семпл такого троянця дуже непросто. Справа в тому, що Destover відноситься до класу троянців-Стиратель і після виконання свого завдання повністю затирає вміст жорсткого диска комп'ютера, включаючи себе самого.

У чиїх інтересах діяв Destover, достовірно невідомо, проте ця атака пішла за погрозами, висловленими на адресу компанії Міністерством закордонних справ Північної Кореї. Гнів КНДР компанія накликала на себе випуском комедійного фільму «Інтерв'ю», сюжет якого побудований навколо вигаданої спроби ЦРУ вбити главу країни Кім Чен Ина. Чи є між цими подіями зв'язок або це лише збіг, невідомо, але прокат фільму був зірваний.

Android / Simplocker, під даним компанії ESET, є перший троян-шифратор для Android. «Він був виявлений аналітиками ESET в середині 2014 року і спеціалізується на шифруванні файлів на пристрої користувача, - розповіли порталу Банкі.ру в ESET. - Після успішно проведеної атаки жертва втрачає доступ до файлів, а Simplocker виводить на екран планшета або смартфона повідомлення з вимогою викупу. Шифруванню піддаються зображення, документи, відео ».

Такого роду зловредів з'явилися на десктопах досить давно, вони шифрують вміст жорсткого диска комп'ютера, і без сплати викупу користувач не може отримати доступ до своїх програм та документів. В цьому році щось подібне з'явилося на Android-пристроях. Android / Simplocker залякує жертву повідомленням, що його смартфон був заблокований ФБР, так як на ньому була виявлена ​​дитяча порнографія, і вимагає викуп в обсязі 300 доларів. Більш того, Simplocker попередньо фотографує жертву через камеру його власного мобільного пристрою і вставляє фото на сторінку з вимогою грошей, щоб остаточно придушити волю жертви до опору.

Користувачі смартфонів і планшетів на iOS довгий час насолоджувалися відносної захищеністю - їх пристрої були практично вільні від шкідливих програм, якщо, звичайно, володілець не балувався установкою Jailbreak. В цьому році було виявлено новий троянець, небезпечний і для невзломанной iOS.

iOS / WireLurker відомий своєю рідкісною здатністю заражати iOS-пристрій без Jailbreak. Розповсюджувачі WireLurker маскуються під компанію - розробника програм для iOS. Для них Apple залишила можливість установки їх програм безпосередньо, минаючи AppStore. Викрадений цифровий сертифікат iOS-розробника поставив під удар мільйони мобільних пристроїв.

«Для зараження пристрою Apple без Jailbreak шкідлива програма використовує метод Enterprise provisioning. Це єдиний спосіб установки ПО в обхід AppStore. У такому сценарії атаки користувач отримує в повідомленні посилання на IPA-файл - спеціальний контейнер з додатком iOS, підписаний цифровим сертифікатом Apple. Програма встановлюється, якщо користувач переходить за посиланням. Це можливо через компрометації цифрового сертифікату однієї з компаній, що вже відкликаний », - розповіли в компанії ESET.

Android.Becu.1.origin, виявлений в листопаді цього року компанією «Доктор Веб», демонструє всю вразливість відкритої платформи від Google. Його можливості не особливо примітні - він вміє непомітно завантажувати і встановлювати додатки на мобільний пристрій, а також блокувати СМС-повідомлення з певних номерів. Цікавий в ньому механізм поширення: за повідомленням компанії «Доктор Веб», «Android.Becu.1.origin був вбудований безпосередньо в образ операційної системи цілого ряду бюджетних Android-пристроїв, тому для його видалення могло знадобитися повне видалення всієї інформації з зараженого смартфона або планшета ».

Жертва отримує троянця, набуваючи недорогий китайський смартфон, причому позбутися його можна, лише викинувши «заряджений» апарат або перепрошити його, знайшовши прошивку з чистою ОС. В іншому випадку мобільний і, можливо, банківські рахунки власника пристрою будуть регулярно «зливатися».

Незважаючи на зростаючий тиск правоохоронних органів на кіберзлочинністю галузь (а може, і завдяки йому), кібербандіти дуже швидко освоюють нові способи незаконного збагачення і вибудовують між собою все більш складні зв'язки. Куди піде розвиток їх злочинного бізнесу, достовірно ніхто не знає. Але заздалегідь лякає зростаюча кількість повідомлень про виявлення вразливостей в автоматизованих системах управління, що застосовуються в тому числі і в ЖКГ. Технічно вже зараз немає нічого неможливого в троянця, зупиняється ліфт між поверхів і розсилає застряглим в ліфті людям СМС з вимогою викупу. Заспокоює лише те, що в Росії поки ще дуже мало по-справжньому автоматизованих житлових будинків.

Михайло ДЬЯКОВ, Banki.ru