«Лаборатория Касперского» продолжает публикацию аналитических статей, посвященных тенденциям эволюции современных информационных угроз. Новая статья цикла посвящена событиям второго квартала текущего года.

Последние события в индустрии защиты информации заставляют говорить об изменении вектора сетевых атак, о переходе к более точным, целенаправленным взломам особенно интересующих хакеров сетей и компьютеров; о дальнейшем развитии Adware-программ, незаметно перешедших черту между нежелательностью и откровенной нелегальностью; о новом пришествии вирусных технологий и многом другом.

Изменение целей сетевых атак.
Взлом сайтов.
Нелегальные рекламные технологии.
Возвращение вирусных технологий.
«Электронные заложники» .
Политика и вирусы.
Изменение целей сетевых атак.

Далее ..




Сразу несколько произошедших за последние месяцы серьезных инцидентов в сфере IT-безопасности заставляют нас говорить о явном изменении вектора хакерских атак.

За прошедший квартал от действий киберпреступников пострадали такие финансовые гиганты, как Bank of America, Sumitomo Bank и платежные системы MasterCard и Visa. Стоит также отметить скандал, связанный с обнаружением троянской программы-шпиона Hotworld в сетях более чем 80 организаций в Израиле и Великобритании.

Анализ этих, а также некоторых других менее известных инцидентов, позволяет нам сделать несколько важных выводов.

1. Преступники окончательно отказываются от методики массированных атак при помощи сетевых червей и рассылок троянских программ

Причин этому несколько. Во-первых, антивирусная индустрия, основываясь на почти десятилетнем опыте борьбы с глобальными эпидемиями червей, создала внушительную инфраструктуру противодействия. Начиная с самого первого уровня защиты — обнаружения в почтовом трафике множества копий одного и того же файла, что является первичным признаком массовой рассылки — и до сложных уровней защиты, включающих в себя IDS, аппаратные межсетевые экраны. Фактически, с момента появления первых экземпляров червя в сети до момента выпуска антивирусных баз с процедурами его обнаружения и лечения проходит максимум 1-2 часа, а чаще — всего несколько минут. Это значительно, если не полностью, снижает эффективность подобных вирусных атак.
Антивирусная индустрия создала внушительную инфраструктуру противодействия эпидемиям червей.

Во-вторых, даже если червю удается прорваться через множество уровней защиты и заразить несколько тысяч пользователей, перед ним встают задачи дальнейшего размножения и, что наиболее важно с точки зрения преступников, сбора и пересылки украденной информации. Анализ вредоносных программ, проводимый антивирусными экспертами, позволяет быстро установить сервера, на которые отправляется собранная информация, а также каналы и способы управления зараженными машинами. Это дает возможность если не задержать злоумышленников, то хотя бы лишить их плодов деятельности созданных ими вирусов — путем закрытия подобных серверов.

В-третьих, даже если украденные данные все-таки попадут в руки преступников, то перед ними встанет проблема использования их с целью получения прибыли. Здесь тоже не все просто, и риск ареста на данной стадии за последние годы многократно возрос.


2. Преступники предпочитают атаковать конкретные, наиболее крупные цели

Вышеописанные проблемы заставляют киберпреступников искать другие цели и способы получения денег и кражи интересующей их информации.

Необходимо сказать несколько слов о разнице в целях и причинах подобных атак. В первую очередь это, конечно банковская и персональная информация. Номера кредитных карт, номера карт социального страхования и прочие атрибуты, которыми обладает современный человек в компьютеризированном обществе. Те данные, которые могут быть использованы другими людьми в собственных целях — кража денег со счетов, подделка документов и банковских карт, различные виды вымогательства и шантажа.

Второй причиной атак — и число таких инцидентов будет постоянно расти — выступает промышленный шпионаж. Информация о состоянии дел конкурентов, их финансовые документы, личные данные сотрудников и многое другое, что раньше добывалось при помощи подслушивающих, записывающих, фотографирующих устройств, сейчас возможно получить при помощи проникновения в компьютерную сеть организации.

Читатель наверняка понимает, насколько подобные цели отличаются от кражи соседских паролей на доступ в интернет или пароля от ICQ, который затем перепродается знакомому за 5 долларов. Одно дело — заразить миллион компьютеров по всему миру и украсть с них 50 тысяч номеров кредитных карт. Совсем другое дело — украсть сразу миллион номеров карт, заразив всего один компьютер.

Если мы проанализируем инцидент с CardSystem Solutions, основываясь на тех данных, что стали доступны средствам массовой информации, то обнаружим в этой истории несколько «странностей».
Программа-шпион, которая якобы была обнаружена в сети CardSystem Solutions, до сих пор не попала в руки антивирусных компаний. В аналогичной ситуации с троянцем Hotworld экземпляры вредоносной программы были в течение двух дней после обнаружения добавлены в базы практически всех антивирусных программ.
Подобный троянец, очевидно, не был клавиатурным шпионом — вряд ли 40 миллионов номеров кредитных карт вводились вручную с клавиатуры зараженного компьютера.
Чтобы получить доступ к базе данных, где хранились номера карт, троянец должен был быть создан с учетом формата этой базы данных.
Неясен способ, при помощи которого украденная информация выводилась за пределы CardSystem Solutions.

Понятно, что инцидент находится в стадии расследования, и вся информация станет открытой еще очень не скоро, но вызывают недоумение заявления некоторых средств массовой информации о том, что за этим делом стоят «русские хакеры». Данные заявления якобы подтверждаются тем, что на каких-то русских кардерских сайтах продаются некоторые из украденных номеров кредитных карт. Непонятно, откуда СМИ знают, какие именно номера карт были украдены и почему они решили, что эти номера были украдены в ходе инцидента в CardSystem Solutions, а не посредством какого-либо другого, «традиционного» способа.

На самом деле, за всеми громкими кражами данных в этом году видно новое лицо киберпреступности. Преступности нового уровня. Это люди, которые готовы потратить десятки тысяч долларов на получение «инсайдерской» информации об атакуемом объекте. Это люди, обладающие знаниями и способами обхода многоуровневых систем защиты от вторжений. Это люди, которые не продают ни троянские программы по 10 долларов за штуку, ни украденные с их помощью данные через общедоступные (хоть и считающиеся «андерграундными») форумы и сайты.
За всеми громкими кражами данных в этом году видно лицо киберпреступности нового уровня.

В последнее время мы все чаще и чаще слышим о подобных взломах — их стало больше, гораздо больше чем раньше. И больше их стало именно потому, что первые попытки подобных атак увенчались успехом. Очевидно, что инфраструктура безопасности крупных финансовых институтов наиболее уязвима. Множество компьютеров, разнородные сети и права доступа, множество сотрудников — все это является дополнительными факторами, облегчающими задачу злоумышленникам. В крупной сети зачастую невозможно найти даже известный документ, не говоря уж об обнаружении троянской программы, искусно маскирующей свое присутствие в системе.

Не стоит забывать и об уникальности подобных троянцев. Для них практически невозможно создать эвристические методы детектирования, а разовость их применения дает им шанс никогда не попасть в антивирусные базы — в отличие от червей, расходящихся по миру миллионами копий.

Таким образом, можно сделать вывод о постепенном изменении вектора атак с конечных пользователей в сторону непосредственных владельцев и держателей интересующей преступников информации.
Взлом сайтов

И все же пока внедрение троянских программ в сети банков и правительственных структур остается уделом профессионалов. Многочисленная армия «рядовых» киберпреступников продолжает заниматься ботнетами и кражей информации на нижнем, «бытовом» уровне. Несмотря на все описанные выше препоны для рассылок троянских программ, большинство киберпреступников по-прежнему довольствуется небольшими по своим масштабам эпидемиями, нацеленными на самую незащищенную часть пользователей интернета — тех, у кого нет ни антивирусных программ, ни привычки устанавливать все выпускаемые для операционных систем патчи.

Поскольку организация эпидемии через электронную почту, как уже было сказано, сейчас довольно проблематична и невыгодна с финансовой точки зрения, а отсутствие пригодных для создания сетевого червя критических уязвимостей в OS Windows не позволяет обойтись без использования электронной почты, то «рядовым» вирусописателям приходится изобретать новые варианты для проникновения на компьютеры пользователей.
MHTML URL Processing Vulnerability по-прежнему остается излюбленной уязвимостью вирусописателей.

Об опасности, которую несут уязвимые версии популярных браузеров, мы уже писали в нашем предыдущем квартальном отчете. За прошедшее время ситуация не изменилась, и MHTML URL Processing Vulnerability по-прежнему остается излюбленной уязвимостью вирусописателей. Но это только одна сторона медали. Чтобы пользователи пострадали от этой бреши их необходимо как-то заманить на реализующий данную уязвимость веб-сайт.

Существует два основных способа достижения этой цели. Первый заключается в создании специального сайта с вредоносной страницей на любом доступном хостинге. Затем осуществляется массированная спам-рассылка текста, призывающего получателя зайти на этот сайт. Рассылка может быть осуществлена не только через email, но и при помощи других средств коммуникации, например, через интернет-пейджеры. Это самый старый и давно изученный способ. На практике подобные сайты существуют довольно недолго: их закрывают сами хостеры при получении запроса от антивирусных компаний или правоохранительных органов.

Второй способ достаточно нов и основывается на технологии взлома какого-нибудь относительно популярного веб-сайта. Известность подобного сайта играет немаловажную роль в привлечении к нему внимания злоумышленников: ведь им не придется тратить деньги на спам-рассылки с рекламой своего сайта, если он и так привлекает множество посетителей.
Основным объектом атак становятся сайты, работающие на одном из популярных PHP-движков.

Основным объектом атак становятся сайты, работающие на одном из популярных PHP-движков (PhpBB, PhpNuke, WorldPress и т.д.). Это объясняется постоянным обнаружением уязвимостей в данных продуктах, позволяющих осуществлять добавление необходимых злоумышленникам скриптов на различные страницы сайта. Насколько легко и быстро можно взломать десятки и даже сотни подобных веб-сайтов наглядно продемонстрировал червь Santy в декабре прошлого года. Действия преступников по взлому в данном случае практически ничем не отличаются от того, что делал этот червь.

Еще один вариант, при котором авторы троянских программ могут получить доступ к сайту — это заражение компьютера владельца сайта или хостинговой компании с последующим доступом к аккаунтам для управления сайтами.

В качестве примеров вышеописанных способов можно привести целую серию взломов работающих на PHP-движках сайтов, прокатившуюся по российской части интернета в этом году. Как правило, целью злоумышленников, в конечном итоге, была установка на компьютеры пользователей троянской программы-шпиона LdPinch.

Отдельно можно отметить взлом в конце мая сервера MSN Korea. По оценкам экспертов, от момента взлома до обнаружения на сервере троянца могло пройти около пяти дней. Все это время каждый посетитель сайта подвергался опасности заражения, и несколько тысяч заражений действительно произошло. Известна и использованная троянская программа — это был очередной шпион, ворующий аккаунты пользователей популярной онлайн-игры Lineage. О том, что онлайн-игры и их подписчики в настоящее время являются еще одной целью киберпреступников, мы писали в нашем прошлом квартальном отчете, и случай с MSN Korea полностью подтверждает сделанные нами тогда прогнозы.
Нелегальные рекламные технологии

Мы продолжаем с большим интересом следить за развитием программ класса Adware. Скорость и многообразие форм их эволюции является уникальным явлением для современного компьютерного мира. Начавшись несколько лет назад с простейших скриптов, автоматически открывавших множество дополнительных окон в браузере, сейчас подобные программы уже окончательно перешагнули грань между нежелательным, но все-таки легальным софтом и вредоносными программами. Ряд современных adware-программ охотно использует вирусные технологии для проникновения и скрытия себя в системе: уязвимости в браузерах, руткит-технологии, запись собственного кода в системные файлы или подмена собой системных приложений, изменение файлов на компьютере пользователя и многое другое.

Если вспомнить об объемах рынка интернет-рекламы, то удивляться становится нечему. По оценкам специалистов он составляет несколько миллиардов долларов и, что весьма важно, на этом рынке существует множество конкурирующих между собой рекламных фирм. Они стремятся всеми доступными средствами выполнить заказ и показать рекламу как можно больше раз как можно большему числу пользователей.
В июне 2005 года мы обнаружили рекламную программу, скрывающую свое присутствие в системе при помощи rootkit-драйвера.

В июне 2005 года мы обнаружили рекламную программу, скрывающую свое присутствие в системе при помощи rootkit-драйвера. До сих пор подобное поведение было зафиксировано только у ряда бэкдоров. Это очень тревожный симптом. Целый ряд популярных современных антивирусов не имеет в своем арсенале методов обнаружения и удаления rootkit на Windows-системах. Понятно, что подобными методами не обладают и появляющиеся, как грибы после дождя многочисленные решения «anti-adware/spyware». Для обнаружения rootkit в системе необходимо многофункциональное антивирусное решение, способное работать с операционной системой на самых низких уровнях и контролирующее все системные функции.

В целом ситуация с Adware все больше и больше превращается в борьбу «снаряда и брони», традиционную для противостояния вирус-антивирус. Чем шире ведется борьба с Adware, тем все более изощренными и нелегальными становятся приемы доставки рекламного контента на компьютеры пользователей. Вероятно, проблема не может быть решена силами только антивирусных компаний и компаний, специализирующихся на борьбе с Adware. Необходимо начинать диалог с организациями, заказывающими рекламу и с организациями, выполняющими эти заказы. Не стоит забывать, что многие интернет-проекты живут именно за счет рекламы, да и сам интернет во многом зависит именно от тех, кто платит за рекламу. В противном случае нас ждет бесконечная эскалация этого конфликта.
Возвращение вирусных технологий

На протяжении последних 3-4 лет число обнаруживаемых нами традиционных файловых вирусов практически равнялось нулю. Столь долгий срок, казалось бы, должен свидетельствовать об окончательном закате данного класса вредоносных программ. За все эти годы не появилось ни одного вируса, который, не обладая функционалом червя, смог бы вызвать сколько-нибудь заметную эпидемию. Авторы вредоносных программ переключились на создание троянских программ и червей — ведь это не только более быстрый, но и гораздо более простой способ организации эпидемий и кражи данных.

Создание файлового вируса, который бы смог корректно работать и заражать файлы на разных версиях Windows требует большего объема знаний и опыта программирования. Неотъемлемым атрибутом таких вирусов являются различные полиморфные процедуры, что требует знаний в области криптографии и различных алгоритмов шифрования.

Однако, несмотря на все перечисленные выше трудности, некоторые из вирусов продолжали жить на компьютерах пользователей и неспешно расползаться по миру. Число их невелико, но все-таки они все эти годы были и остаются относительно распространенными.

Итак, технология создания вирусов существует, но ей никто не пользуется? Подобное не могло продолжаться вечно. Злоумышленники, сталкиваясь с постоянным противодействием со стороны антивирусных компаний, были вынуждены искать новые способы для проникновения и, что не менее важно, для сокрытия своего присутствия в системе. Одним из таких «модных» способов являются руткиты, а вот вторым оказался метод внедрения своего кода в системные файлы.

В прошлом обзоре мы уже рассказывали про Virus.Win32.Bube. Эта вредоносная программа дописывала свой код к файлу Explorer.exe и, передавая управление на него, при запуске IE исполняла роль Trojan-Downloader. Понятно, что обнаружить и блокировать такое поведение Internet Explorer средствами большинства современных межсетевых экранов невозможно.
Вредоносная программа дописывала свой код к файлу Explorer.exe и при запуске IE исполняла роль Trojan-Downloader.

Идея была замечена и оценена по достоинству не только антивирусными специалистами, но и вирусописателями. В начале этого года мы наблюдали всплеск особого вида бэкдоров. Все они представляли собой файл из состава какой-либо легальной утилиты (например, winrar.exe), содержащий в себе троянский код. Троянский код был добавлен к обычному файлу по методу EPO-вирусов и получал управление в зависимости от того, какая подпрограмма вызывалась в основном файле. Практически все эти EPO-бэкдоры были одними из вариантов распространенных ботов — Agobot, Rbot или SdBot. Вероятней всего такие файлы (легальная программа плюс бэкдор) создавались при помощи одной из специальных программ-конструкторов.

В мае-июне этого года мы столкнулись с еще одним развитием темы внедрения троянского кода в системные файлы. На этот раз это оказался целый комплекс вредоносных программ. Основную роль инфектора выполняет Trojan-Downloader.Win32.Agent.ns. При попадании в систему он, помимо загрузки других троянских программ, заражает системную библиотеку wininet.dll. В нее добавляется небольшая функция, которая в дальнейшем перехватывает все обращения к данной библиотеке (подобное при работе с интернетом происходит постоянно) и пытается загрузить на компьютер другие вредоносные программы. Таким образом, зараженная wininet.dll сама становится вирусом.

Вы можете сказать, что мы не правы, и называем вирусом обычную троянскую программу — ведь зараженный explorer.exe или wininet.dll уже не заражает другие файлы в системе. Действительно, традиционное смысловое наполнение термина «компьютерный вирус» не подходит для описываемых случаев. Мы имеем дело с совершенно новым классом вредоносных программ, использующих традиционные для вирусов методы внедрения кода в тело других программ. Отличие только одно: этот код не саморазмножающийся. Пока мы все-таки склонны классифицировать это как один из подвидов вирусов, наряду с overwritting и companion-вирусами. Если в ближайшем будущем таких вирусов станет больше (а к этому есть веские предпосылки), то возможно их выделение в отдельный класс.

Для пользователей становится крайне важным контролировать не только все новые попадающие на компьютер файлы, но и давно проверенные, известные старые. Ведь не исключено, что какой-то из них может стать жертвой очередного «инжектора». Кроме контроля над размерами файлов необходим и контроль их содержимого, поскольку вирусы могут и не изменять размер заражаемого файла. Таким образом, возрастает необходимость в программах — «файловых ревизорах».
«Электронные заложники»

Когда в декабре 2004 года мы получили первые экземпляры различных файлов, зашифрованных неизвестной программой-шифровшиком, мы и предположить не могли, что через полгода мы будем получать в день десятки таких файлов, а количество методов их шифрования всего за одну неделю июня превысит два десятка.

Virus.Win32.Gpcode открыл новую страницу в истории киберпреступности: методика киберзлоумышленников напоминает захват заложников с последующим требованием выкупа. Вал получаемых нами от пострадавших пользователей писем говорит о том, что сейчас в интернете разворачивается настоящая эпидемия шантажа.

К сожалению, необходимо признать, что пока у нас нет четкого представления о способе проникновения вредоносной программы в пострадавшие системы. Подавляющее большинство зараженных компьютеров находятся в банках, различных финансовых и рекламных агентствах, крупных заводах, агентствах по недвижимости и прочих структурах с большим документооборотом. Среди пострадавших практически нет домашних пользователей. Все это заставляет задуматься о столь акцентированной атаке и о средствах для ее достижения.
Необходимо признать, что пока у нас нет четкого представления о способе проникновения Virus.Win32.Gpcode в пострадавшие системы.

Возможно, что была осуществлена массовая спам-рассылка на электронные адреса исключительно организаций — но никаких троянских программ в электронной почте пострадавших обнаружено не было. Более того, некоторые из пораженных компьютеров даже не имеют электронной почты. Можно предположить, что злоумышленники воспользовались какой-либо уязвимостью в Internet Explorer — но тогда мы приходим к выводу, что все пораженные компьютеры посещали один и тот же веб-сайт, что также не подтверждается. Географическое месторасположение пострадавших не позволяет высказать предположение о локальной эпидемии, допустим, в рамках одного города. Кроме того, большое количество разных вариантов программы-шифровщика тоже отвергает вероятность единого заражения всех этих организаций. Нет, все они заразились в разное время и не из одного и того же источника.

Что остается? Остается вариант с логической бомбой. Программой-закладкой в каком-то специфическом бухгалтерском или банковском программном обеспечении, которым пользуются все пострадавшие организации.

Несмотря на то, что шифрующая данные программа после окончания своей работы себя уничтожает, нам удалось получить несколько ее вариантов, и мы можем в точности представить себе механизм ее работы. Программа последовательно обходит все каталоги компьютера и шифрует по особому алгоритму все найденные файлы документов различных форматов, а также почтовые базы данных. В каждом каталоге с зашифрованными файлами появляется файл readme.txt, в котором злоумышленник указывает адрес электронной почты для связи с ним. Он предлагает расшифровку данных за определенную сумму, фактически выступая в роли вымогателя. Текстовые строки в посланиях, а также адреса электронной почты и некоторые специфические для России форматы шифруемых файлов явно говорят о российском происхождении Gpcode.

На Западе также были отмечены случаи заражения файлов данной программой, и там тексты посланий от автора были составлены на английском языке. Это еще одно доказательство четкой дифференциации атак на российский и зарубежный сегменты — как по времени проведения этих атак, так и вариантам использованных программ.

Что самое печальное, ряд пользователей вступили в переписку со злоумышленником и, видимо, заплатили требуемую им сумму. Тем самым они не только нанесли себе финансовый ущерб, но и подстегнули его на создание новых версий шифровщика, на проведение новых атак на других пользователей.
Мы призываем всех специалистов из организаций входящих в «зону риска» провести тщательный аудит всех имеющихся систем и программ.

Мы считаем, что подобная практика не только недопустима с моральной точки зрения, но и не оправдана логически. Ведь применяемые преступником алгоритмы шифрования файлов весьма примитивны и легко поддаются расшифровке при помощи антивирусной программы с соответствующей процедурой детектирования и лечения. Все что требуется от пользователя — это прислать один зашифрованный файл в антивирусную лабораторию для анализа. К сожалению, некоторые предпочитают заплатить, тем самым, сводя к нулю все усилия по содержанию собственных служб безопасности и расходам на информационную безопасность.

Эксперты уже оценили потенциальные варианты развития ситуации в будущем, и если правоохранительные органы стран, в которых отмечены случаи зашифровки данных жестко и уверенно не пресекут деятельность данной группы вымогателей сейчас, то в будущем нас ждут более сложные методы шифрования данных, более массовые и частые случаи подобных действий со стороны преступников.

Мы призываем всех специалистов из организаций входящих в «зону риска» провести тщательный аудит всех имеющихся систем и программ на предмет обнаружения подобных инцидентов. Не следует забывать и об обязательном и регулярном создании копий важных файлов и документов, чтобы защититься от их утери в случаи невозможности расшифровки.
Политика и вирусы

Вирусные программы, содержащие в себе различные политические лозунги или написанные с целью рекламы какого-либо политического деятеля — далеко не новое явление на вирусной сцене. В 90-х годах подавляющее большинство таких вирусов были созданы в России или других республиках бывшего СССР. Это легко объяснимо с учетом политической ситуации в этих странах в те годы. Повышенная политичность общества захватила и рядовых граждан, и вирусописателей. Политические деятели и восхвалялись, и осмеивались путем различных графических видеоэффектов либо в стихотворной форме.

Постепенно подобные вирусы стали пропадать. Последним ярким эпизодом стал Email-Worm.Win32.Sexer в октябре 2003 года. Он содержал рекламу одного из кандидатов на пост мэра Москвы и прекратил свою работу, как только выборы закончились.

Европейские вирусописатели до последнего времени, наоборот, не проявляли никакой политической окраски, ограничиваясь традиционными вредоносными программами без всякой подоплеки. Недавно ситуация изменилась. Были обнаружены вирусы, содержащие оскорбительные тексты в адрес лидеров ряда стран, например, Email-Worm.Win32.Blare избрал целью для своих нападок премьер-министра Великобритании Тони Блэйра. Несколько вирусов содержат в себе нападки на президента США Джорджа Буша, а некоторые спекулируют на теме войны в Ираке.

Но, несомненно, особняком стоит Email-Worm.Win32.Sober. Семейство червей Sober существует уже полтора года, и за это время в его составе было отмечено несколько вариантов с ярко выраженным политическим содержанием.

В мае 2005 года миллионы пользователей электронной почты в Западной Европе получили письма с текстами праворадикального толка. Их содержание выражало точку зрения автора на приближающиеся выборы в Европарламент и голосование по вопросу Европейской Конституции. Эти письма были посланы при помощи компьютеров, ранее зараженных червем Sober.p, а точнее, его новым вариантом — Sober.q.
В мае 2005 года миллионы пользователей электронной почты в Западной Европе получили письма с текстами праворадикального толка.

Автор червя тщательно спланировал эту акцию. Сначала, в начале мая, была организована эпидемия Sober.p, который затем загрузил на пораженные компьютеры новый компонент (Sober.q). По всей видимости, подобное выражение своей политической позиции, путем распространения вредоносных программ и рассылки через них писем, является пока еще индивидуальным делом автора. Однако подобная методика очень быстро может быть взята на вооружение различными политическими движениями, и тогда подобные вирусы будут создаваться по заказу.

О том, что политика может стать одной из основных движущих сил в будущих киберугрозах, говорят постоянные кибервойны, происходящие в Азии. Многолетняя война между индийскими и пакистанскими хакерами, в ходе которой, кстати, был создан знаменитый червь Lentin (Yaha), не прекращается и поныне. В этом году разразился очередной политический конфликт между Китаем и Японией. Беспорядки происходили не только на улицах, но и в сети. Китайские хакеры атаковали ряд государственных серверов в Японии, в результате чего некоторые из них были взломаны или выведены из строя. Подобные инциденты происходят и между Китаем и Тайванем, а также в Южной Корее.

В России в течение последних нескольких месяцев также произошло несколько атак и взломов сайтов политических обществ, причем в ряде случаев ответственность за это взяли на себя их политические оппоненты.
В России в течение последних нескольких месяцев также произошло несколько атак и взломов сайтов политических обществ.

Дальнейшее развитие подобных тенденций может привести к печальным последствиям. Мы хорошо помним, как в ходе некоторых вирусных эпидемий была парализована работа государственных структур (например, госдепартамент США не выдавал визы из-за заражения червем Welchia осенью 2003 года). Но это были случайные жертвы эпидемии, деятельность червя не была нацелена конкретно на них.

Если провести аналогию с тем, что мы говорили о точечных атаках в начале данного обзора, то здесь нас ожидает нечто подобное, но с последствиями, которые могут напрямую повлиять на общественную жизнь некоторых стран. Отличие заключается в том, что там под угрозу ставятся финансовые институты и целью преступников является получение финансовой выгоды, а здесь — военные и политические организации, а целью является оказание давления ради политической выгоды.



Итак, основным трендом развития компьютерного андеграунда в первом полугодии 2005 года можно считать постепенный переход от крупных, массовых эпидемий к более избирательным, точечным атакам. Причем, проявления подобного подхода встречаются практически повсеместно: во взломах сайтов, в спам-рассылках, в распространении новых вредоносных программ.

Вместе с тем, новые угрозы компьютерам обычных пользователей все чаще используют сложные rootkit-технологии для сокрытия своего присутствия в системе — дошло уже до применения подобных технологий в отчаянно пытающихся спрятаться от антивирусов рекламных программах. Троянцы все чаще прибегают к «услугам» традиционных файловых вирусов, что позволяет обойти большинство межсетевых экранов. В целом можно констатировать, что мастерство вирусописателей растет — и отсутствие крупных эпидемий вряд ли мешает им проникать на пользовательские компьютеры. Скорее, наоборот, множество заслонов, поставленных индустрией защиты информации на пути зараженных писем и эксплойтов, заставляет киберпреступников серьезнее относиться к своей «работе», тщательнее выбирать цели для атаки, использовать все более сложные программные техники.

Куда приведет нас эволюция вредоносных программ в следующем квартале? Аналитики «Лаборатории Касперского» уже планируют продолжение статьи — ее следующая часть будет посвящена событиям лета и начала осени 2005 года.


Источники:
Лаборатория Касперского

Александр Гостев