Очередной “Отчет об угрозах интернет-безопасности”, выпущенный компанией Symantec в середине сентября, подтверждает выводы о том, что киберпреступники переходят из клуба программистов-энтузиастов в сообщество нелегальных предпринимателей и в первую очередь преследуют в своих атаках цели обогащения. Вместе с этим растет и их технический профессионализм. В атаках они всё чаще используют уже не только отдельные средства, инструменты и технологии, но и их комбинации. В продаже, например, появились наборы инструментов для фишинга, содержащие серии сценариев, позволяющих автоматически создавать фишинговые веб-сайты, которые копируют легитимные веб-ресурсы. Комплекты таких инструментов позволяют размещать по нескольку подставных сайтов на одном взломанном компьютере. Как показали результаты обработки собранных в первом полугодии 2007 г. данных, 42% всех фишинговых веб-сайтов, наблюдаемых Symantec, было подготовлено при помощи именно таких комплектов инструментов.
При создании своих подпольных “шедевров” хакеры осваивают традиционные технологии полного цикла разработки ПО. Как пример такого подхода Symantec называет доступный на черном рынке профессионально разработанный набор инструментов MPack, купив который, злоумышленник может использовать его компоненты для установки вредоносных программ на тысячи компьютеров во всем мире, а затем следить за ходом атак по показателям на защищенной паролем онлайновой консоли контроля и управления.
Лидером по числу серверов, работающих на подпольную экономику, остаются США, где сосредоточено 64% известных Symantec подпольных серверов, при этом их число увеличилось более чем на 51% по сравнению с предыдущим отчетным периодом. На втором месте Германия (12%), а на третьем — Швеция (9%). Если же учитывать численность пользователей Интернета в стране, то на первое место по активности вредоносной деятельности вышел Израиль, и хотя за ним следует Канада, семь стран из первой десятки по этому параметру относятся всё-таки к региону ЕМЕА.
В первом полугодии 2007 г. Symantec зарегистрировала 212 101 новую вредоносную программу, что на 185% больше, чем во втором полугодии 2006-го. Рост произошел главным образом за счет новых троянов, таких как многоступенчатые загрузчики, при этом и доля троянов в общем объеме вредоносного ПО увеличилась с 60 до 73%. Зато активность червей за отчетный период ослабела. На них пришлось всего 22% всех потенциальных заражений (против 37% во втором полугодии 2006 г.). А вот доля вирусов увеличилась с 5 до 10%. Первое место по интенсивности целенаправленных атак за отчетный период занял сектор домашних пользователей. На втором месте — сектор финансовых услуг, а третье — за учреждениями здравоохранения.
С 1 января по 30 июня 2007 г. спам составлял в среднем 61% всего контролируемого трафика электронной почты. Это на 59% больше, чем за предыдущий отчетный период. Сегодня 60% всего спама распространяется на английском языке. Любопытно, что доля зараженных вредоносным кодом спам-сообщений мала и продолжает снижаться (заражено только 0,43% “мусора”) при том, что хакеры активно используют спам как техническое средство организации афер.
В отчете Symantec отмечается рост интенсивности многоступенчатых атак, представляющих собой многоходовые комбинации с малым и незаметным первоначальным вторжением, создающим расширяемый плацдарм, рассчитанный на долговременное использование. Одним из примеров таких атак являются многоступенчатые загрузчики (staged downloader), которые позволяют злоумышленникам заменять загружаемый компонент зловредным кодом любого типа. Так, например, действует троян Peacomm, известный как Storm Worm, — о нем компания Symantec получила в течение первой половины 2007 г. больше всего “троянских” сообщений из своей Global Intelligence Network.
Отмеченное за отчетный период снижение активности ботов аналитики из Symantec объясняют повышением эффективности средств защиты от них и вместе с этим обращают внимание на рост активности в использовании злоумышленниками подставных веб-ресурсов, для чего применяются уязвимости веб-приложений, прежде всего браузеров, которых в 2007 г. служба мониторинга Symantec зарегистрировала заметно больше (61%), чем уязвимостей в других приложениях. За первую половину 2007 г. Symantec зафиксировала 237 уязвимостей в плагинах веб-браузеров, что в три с лишним раза превышает число уязвимостей, обнаруженных во второй половине 2006 г. (количество обнаруженных за это время уязвимостей в браузерах разных производителей показано на рисунке).
Злоумышленники сначала используют уязвимости в ПО веб-сайтов, вызывающих доверие пользователей, — принадлежащих популярным финансовым учреждениям, социумным сетям, службам трудоустройства и т. п. Затем, взломав сайт, они задействуют его в качестве источника распространения вредоносных программ с целью последующего взлома отдельных компьютеров. Такой метод атак позволяет киберпреступникам не разыскивать жертвы, а дожидаться, пока они попадутся в ловушки сами. В отчете отмечается, что веб-сайты социумных сетей особенно привлекательны для такой “охоты”, так как они предоставляют доступ к большому числу людей и могут содержать много конфиденциальной информации. К таким сведениям хакеры прибегают впоследствии для “кражи личности”, онлайнового мошенничества или для доступа к другим веб-сайтам, через которые можно организовать новые атаки.
Один из важных объектов, охраняемых корпоративными системами безопасности в первую очередь, — конфиденциальная информация. За текущий отчетный период она подвергалась угрозам со стороны 65% вредоносных программ из списка пятидесяти самых активных (против 53% за предыдущий отчетный период).
С января по июль 2007 г. на серверах черного рынка чаще всего предлагали краденые кредитные карты — на их долю пришлось 22% всех рекламных объявлений (см. таблицу). Близко к ним подошли банковские реквизиты — 21% объявлений. Популярным товаром в Интернете становится атрибутика онлайновых игр, продаваемая за реальные деньги, что тоже сулит хакерам барыши. Спам составил 61% от всего контролируемого трафика электронной почты, что на 59% больше, чем за вторую половину 2006 г. Кражи и утери компьютеров или других носителей данных стали причиной 46% всех случаев утечки данных, способных привести к “краже личности”.
За текущий период компания Symantec зарегистрировала в программных продуктах 2461 уязвимость (почти столько же, сколько за прошлый отчетный период), из них 9% серьезных, 51% средних и 40% малозначимых. Время внесения разработчиками исправлений в свои программы составило для корпоративных заказчиков в среднем 55 дней против 47 дней во втором полугодии 2006 г. Все из охваченных мониторингом Symantec разработчиков, за исключением НР, продемонстрировали сокращение времени выпуска исправлений. У Sun и НР на сегодняшний день этот показатель самый длинный — 110 и 112 дней соответственно, а у Microsoft — самый короткий: 18 дней.
Как и в предыдущие периоды, Microsoft Windows остается операционной системой с наибольшим числом обнаруженных уязвимостей, для которых выпущены активно используемые эксплойты. Среди СУБД по числу зарегистрированных уязвимостей лидируют продукты Oracle.
Оценить общую ситуацию с ИТ-угрозами помогут также содержащиеся в отчете Symantec данные о том, что 58% специалистов по безопасности ожидают как минимум одного серьезного случая утечки данных в течение пяти лет.
| Товар | Доля от общего числа товаров, % | Цена, долл. |
| Кредитные карты | 22 | 0,5—5 |
| Банковские счета | 21 | 30—400 |
| Пароли e-mail | 8 | 1—350 |
| Программы доставки электронной почты | 8 | 8—10 |
| Адреса e-mail | 6 | 2—4 за мегабайт |
Источник: Symantec Internet Security Threat Report, Volume XIII.
