Если внимательно посмотреть ежегодный аналитический отчет о глобальных вирусных угрозах, который был подготовлен экспертами Global Research&Analisys Team (GReAT) в сотрудничестве c подразделениями Content&Cloud Technology Research и Anti-Malware Research “Лаборатории Касперского”, то можно отметить что в череде старых тенденций прошлого года наиболее активными стали угрозы “новой волны”. Это атаки пользователей с помощью крайне популярных социальных сетей, микроблогов и SMS.
Массовые проблемы
Две наиболее популярные и стремительно развивающиеся социальные сети, Twitter и Facebook, стали объектами множества хакерских атак. Все вполне логично — как только социальные сети оказались популярными, киберпреступники не только начали через них распространять вредоносные программы, но и стали использовать обнаруженные в этих сетях уязвимости, которые облегчали эту задачу. В Рунете, кроме вышеперечисленных соцсетей, “доставалось” и пользователям “ВКонтакте”, а также “Одноклассников”. В основном преступники действовали по известному принципу взлома аккаундов и распространению ссылки на вредоносный код тех же вирусов-блокираторов или SMS-мошенничество по списку контактов жертв.
В мировом масштабе, отмечают аналитики “Лаборатории Касперского”, наибольшую активность проявляли многочисленные варианты червя Koobface. В основном они были нацелены на Twitter, в котором со взломанных учетных записей распространялись ссылки на троянские программы, заражающие компьютеры пользователей с целью “вербовки” в зомби-сети или похищения персональной информации. Эффективность рассылок в социальных сетях подтверждают цифры: только в ходе одной незначительной атаки, проведенной в сети Twitter, всего за час по разосланной ссылке прошло более 2000 пользователей, причем с компьютеров, далеко не всегда оснащенных антивирусами, работающими в активном режиме.
Показательна история, связанная с популярностью iPhone, которая произошла в социальной сети Twitter в мае. 19 мая администрация Twitter сделала официальное заявление о том, что появилось новое приложение “Twitter для iPhone”. Учитывая популярность самого сервиса микроблогов и изделий фирмы Apple, страсти разгорелись нешуточные. Сервисом решили воспользоваться и злоумышленники. С помошью “сокращателя ссылок” (применяется для уменьшения размера веб-ссылок в сообщениях, длинна которых составляет всего 140 символов), а также популярных хэштегов twitter, iPhone, application, они попробовали осуществить массированное распространение “зловреда” Worm.Win32.VBNA.b. И это у них получилось. Активно использовались и XSS-уязвимости в коде самой системы Twitter. Особо примечательными стали атаки, осуществленные в сентябре. Тогда в социальную сеть было запущено несколько XSS-червей, распространявшихся без участия пользователей, достаточно было просмотреть зараженное почтовое сообщение. По оценкам “Лаборатории Касперского”, в ходе этих эпидемий атаке подверглось более полумиллиона пользователей Twitter.
Не оставалась без внимания и соцсеть Facebook — здесь в мае появился новый вид атак, связанный с нововведенной функцией “like” (кнопка, которая демонстрирует симпатию пользователей к сообщениям, ссылкам, комментариям в соцсети). Тысячи пользователей стали жертвами атаки, которая получила название “likejacking” — по аналогии с clickjacking. На Facebook в популярных сообществах и взломанных аккаунтах пользователей злоумышленниками размещалась ссылка-приманка, например “чемпионат мира 2010 в высоком разрешении” или “101 самая привлекательная женщина в мире”. Ссылка вела на сторонний веб-ресурс, специально созданный для этого. Там пользователя ждал сценарий, написанный на Javascript, который помещал невидимую кнопку “like” (“мне нравится”) прямо под курсором. Кнопка перемещалась вслед за курсором, так что где бы пользователь ни кликнул, он неизбежно нажимал на эту кнопку и, как следствие, автоматически добавлял на свою “стену” копию вредоносной ссылки.
В результате в лентах друзей пользователя появлялась информация, что эта ссылка ему нравится (he or she likes). Далее атака росла по принципу снежного кома: по ссылке проходили друзья, затем по той же ссылке — друзья друзей и т. д. После добавления ссылки на “стену” пользователь переходил на страницу с обещанной изначально информацией — например, с фотографиями девушек. Атака по сути была мошеннической: на той же странице был расположен небольшой сценарий Javascript одной рекламной компании, благодаря которому за каждого посетителя страницы организаторы атаки получали небольшую сумму денег.
Атака на ботов
Правда, активность кибермошенников была притушена правоохранительными органами . Так, в начале 2010 г. была закрыта часть командных серверов ботнета, строящегося с помощью вредоносной программы Email-worm.Win32.Iksmas, также известной как Waledac. Летом испанская полиция арестовала владельцев одного из крупнейших ботнетов — Mariposa, который был создан с помощью червя P2P-worm.Win32.Palevo. Червь распространяется через каналы пиринговых сетей, инстант-мессенджеры и с использованием функции autorun, т. е. через любые переносные устройства — от фотокамеры до флэшки. Основным способом “монетаризации” Palevo была продажа и использование персональных данных владельцев зараженных машин: логинов и паролей от различных служб, в первую очередь интернет-банкинга. Весной 2010 г. в России был арестован и в сентябре осужден один из организаторов так называемого “RBS hack”. История о том, как неизвестные преступники украли из сотен банкоматов по всему миру в ходе одной операции более 9 млн. долл., широко освещалась в 2009 г.
Осенью прошли массовые аресты преступников, связанных с использованием вредоносной программы ZeuS. В конце сентября в США были арестованы 20 человек — выходцы из России, Украины и других стран Восточной Европы — денежных мулов, которые занимались отмыванием денег, украденных с помощью этого троянца. По схожему делу была захвачена группа лиц и в Великобритании. В середине октября была поставлена точка в истории еще одного весьма известного ботнета, созданного при помощи троянской программы Bredolab. На самом деле говорить следует не об одном ботнете, а о нескольких, управляемых из сотни центральных серверов. Все они были отключены от Интернета в результате операции, проведенной голландской и французской киберполицией. На момент выключения ботнета его крупнейший сегмент состоял более чем из 150 000 зараженных машин. Часть “новообращенных” зомби-машин этих крупных ботнетов была навербована с помощью социальных сетей.
Основные тенденции года 2011-го можно определить как “украсть все”. Основной целью злоумышленников становится полезная информация, которую можно добыть о пользователях в многочисленных социальных сетях. Современные вредоносные программы все больше нацелены на кражу пользовательских учетных записей от чего угодно: банковских и платежных систем, электронной почты, социальных сетей и т. д. Однако это далеко не всё и далеко не самое ценное, чем владеют пользователи. “В 2011-м мы ожидаем появления нового класса шпионских программ, — отмечают аналитики “Лаборатории Касперского”, — их будет интересовать сам пользователь: его местоположение, работа, увлечения, знакомые, данные о его состоянии, семье, цвете волос и глаз и т. д. Их будет интересовать каждый документ и каждая фотография, которая хранится на зараженном компьютере. Не правда ли, такой набор данных похож на то, что так стремятся заполучить социальные сети и продавцы интернет-рекламы? Эта информация действительно нужна всем, потенциальных покупателей таких данных — множество. Ее дальнейшее использование может быть весьма разнообразным, но, вне всякого сомнения, спрос на нее есть, и в будущем он будет расти. А это значит, что киберпреступность получает еще один источник доходов”.