32
Отчет McAfee Labs Отчет McAfee об угрозах за второй квартал 2012 года
Отчет
McAfee Labs
Отчет McAfee об угрозахза второй квартал 2012 года
Отчет McAfee об угрозах за второй квартал 2012 года2
СодержаниеУгрозы безопасности мобильных устройств 4
Вредоносные программы 6
Вредоносные программы с цифровой подписью 10
Программы-вымогатели берут данные в заложники 12
Опасные сообщения 12
Статистика активности бот-сетей 15
В нежелательных сообщениях используются методы социальной инженерии 19
Сетевые угрозы безопасности 20
Веб-угрозы 23
Киберпреступность 27
«Абузоустойчивый» хостинг 27
Борьба с киберпреступностью 29
Хактивизм 30
Об авторах 31
О лаборатории McAfee Labs 31
О компании McAfee 31
3
Предание гласит, что древнекитайский философ Лао-цзы, автор трактата «Дао Дэ Цзин», жил в VI веке до нашей эры. Однако его наблюдения не потеряли своей ценности до наших дней. Оказавшись в окружении постоянно эволюционирующих угроз безопасности, он мог бы сказать: «Мой разум приказывает мне сдаться, но сердце не позволяет». Ситуацию с угрозами безопасности действительно можно сравнить с ситуацией на поле битвы. И здесь, быть может, лучше всего подходит высказывание другого древнекитайского философа, Сунь Цзы: «Непобедимость заключается в защите; возможность победы — в атаке». С годами мы много узнали о вредоносных программах и других угрозах безопасности, но их количество продолжает расти и с каждым кварталом достигает новых рекордных значений. Степень успешности вредоносных программ и других киберугроз зависит от целого ряда взаимосвязанных факторов. Сунь Цзы также заметил, что «тот, кто осторожен и ждет врага, который не осторожен, тот победит». Похоже, что все дело в подготовленности.
Самыми заметными событиями второго квартала 2012 года можно назвать возникновение нового вектора атаки в виде «попутно загружаемых» вредоносных программ для мобильных устройств (Android), использование Twitter для управления мобильными бот-сетями и появление мобильных «программ-вымогателей» как новейшего способа выманивания денежных средств у доверчивых пользователей. Высокие темпы увеличения количества вредоносных программ и угроз безопасности, отмеченные нами в предыдущем квартале, продолжили отчетливо расти. Количество вредоносных программ для ПК уже давно не росло такими высокими темпами, как в предыдущем квартале, а в отчетном квартале оно выросло еще больше. Мы отметили значительный рост числа популярных руткитов и замедление темпов распространения непопулярных. Почти все изучаемые нами семейства вредоносных программ продолжают достигать рекордных показателей. Особенно велики темпы роста у троянских программ, предназначенных для кражи паролей. Мы продолжаем вести статистику по руткиту ZeroAccess, темпы распространения которого немного снизились, и по вредоносным программам с цифровой подписью, темпы распространения которых слегка увеличились. По-прежнему наблюдался стабильный рост количества вредоносных программ для компьютеров Macintosh. Тенденция роста здесь не крутая, но довольно отчетливая.
Количество вредоносных сообщений в некоторых регионах мира несколько увеличилось, но в целом по-прежнему наблюдается долгосрочная тенденция на снижение объемов спама. Из всех упомянутых в данном отчете стран лишь в Колумбии, Японии, Южной Корее и Венесуэле наблюдался рост, превышающий 10 процентов. Число заражений бот-сетями резко подскочило в мае, но затем к началу июня постепенно спало.
США опять лидируют по количеству размещенного в стране нового вредоносного веб-содержимого. Такая динамика наблюдается и в ряде других разделов данного отчета. США лидируют в целом ряде категорий и как страна с наибольшим количеством источников угроз, и как страна с наибольшим количеством жертв различных угроз. Всемирная паутина — опасное место для неосведомленных и незащищенных. Поэтому постарайтесь получить все необходимы знания и быть в курсе дела.
Уже второй раз мы включаем в свой отчет новый раздел, посвященный сетевым атакам. Мы проанализировали атаки с использованием межсайтовых сценариев, внедрением SQL-кода и др. и составили подробную статистику регионов по целому ряду разных параметров.
В главе о киберпреступности мы поговорим о сервисе «преступные программы как услуга» и об «абузоустойчивом» хостинге, а также перечислим ряд проведенных в отчетном квартале громких операций по закрытию киберпреступных веб-сайтов, аресту хакеров и привлечению к ответственности киберпреступников. Мы также проанализируем изменения, происходящие в хактивисткой среде Anonymous и в хактивизме в целом.
Мы увидим, что киберпреступники ведут упорную и продолжительную борьбу с целью отъема у нас наших денег. Но прежде чем заняться изобретением новых операционных систем и других защитных технологий, вернемся ненадолго к нашей аналогии с полем битвы.
Не испытывайте особой приверженности к тому или иному виду оружия или к чему бы то ни было еще, раз уж на то пошло. Избыток — это то же самое, что недостаток. Никому не подражая, используйте столько оружия, сколько вам требуется.
— Миямото Мусаси. Книга Пяти Колец. Перевод с английского.
Отчет McAfee об угрозах за второй квартал 2012 года
4 Отчет McAfee об угрозах за второй квартал 2012 года
Угрозы безопасности мобильных устройствПоследние несколько кварталов показали, что наибольшее количество вредоносных программ для мобильных устройств пишется под ОС Android. Отчетный квартал не исключение: практически все новые вредоносные программы для мобильных устройств были предназначены для платформы Android. Среди них были программы для рассылки СМС, мобильные бот-сети, шпионские программы и деструктивные «троянские кони».
Несмотря на то, что в отчетном квартале абсолютные показатели роста не увеличились столь резко, как в предыдущем, рост количества вредоносных программ в текущем году по-прежнему является беспрецедентным.
Общее кол-во образцов вредоносных программдля мобильных платформ в базе данных
0
2 000
4 000
6 000
8 000
10 000
12 000
14 000
201220112010200920082007200620052004
1-й кварт.2012
2-й кварт.2012
4-й кварт.2011
3-й кварт.2011
2-й кварт.2011
1-й кварт.2011
4-й кварт.2010
3-й кварт.2010
2-й кварт.2010
1-й кварт.2010
Кол-во новых вредоносных программ для мобильных устройств, по кварталам
0
1 000
2 000
3 000
4 000
5 000
6 000
7 000
5Отчет McAfee об угрозах за второй квартал 2012 года
Android
Symbian
Java ME
Другие
Общее кол-во вредоносных программдля мобильных платформ, по платформам
В отчетном квартале впервые была обнаружена вредоносная программа попутной загрузки, предназначенная для Android — Android/NotCompatible.A. По аналогии с «попутной установкой» на ПК, когда компьютер заражается в результате простого посещения веб-сайта, в случае «попутной загрузки» на мобильный телефон при посещении веб-сайта загружается вредоносная программа. Конечно, загруженная вредоносная программа еще должна быть установлена пользователем телефона, но если злоумышленник назвал свой файл «Android System Update 4.0.apk» («Системное обновление для Android 4.0»), то в большинстве случаев подозрения у пользователя сразу улетучиваются.
Для управления новый клиент бот-сети — Android/Twikabot.A — использует Twitter. Вместо подключения к веб-серверу эта вредоносная программа осуществляет поиск команд на специальных учетных записях Twitter, подконтрольных злоумышленникам. Злоумышленник публикует команды в Twitter, и все зараженные устройства их выполняют. Использование таких сервисов как Twitter дает злоумышленнику возможность пользоваться чужими ресурсами, не платя за собственный отдельный сервер или не захватывая сервер, принадлежащий жертве атаки. В прошлом для похожих целей использовались серверы IRC, однако веб-сервис Twitter предоставляет злоумышленникам некоторую долю анонимности.
В предыдущем квартале мы обнаружили троянского коня для Android — Android/Moghava.A, — искажающего все фотографии на SD-карте. В отчетном квартале разработчики вредоносных программ, похоже, создали новый вариант этой программы — Android/Stamper.A. В нем используется другое изображение, а целью атак являются поклонники популярной японской вокальной группы. Используемое в данном варианте изображение взято из прошлогоднего конкурса «What would your baby look like?» («Как выглядел бы ваш ребенок?»). В данном варианте не изменено ничего, кроме используемого изображения и нескольких строк кода из Android/Moghava.A, предназначенного для нанесения штампов на изображения, т. е. в этом варианте тоже имеется ошибка, приводящая к искажению фотографий. Когда поклонники этой группы отправляют свои фотографии на конкурс фанатов, на всех их фотографиях оказывается изображение младенца.
Тот факт, что большая часть вредоносных программ для Android сильно напоминает вредоносные программы для ПК, не должен вызывать удивление. Авторы вредоносных программ используют опыт, накопленный за годы написания вредоносных программ для других платформ. Вредоносные программы для мобильных устройств нельзя назвать экспериментальными или незрелыми. Это полнофункциональный и зрелый код, и авторы этих программ знают, за чем они охотятся — за данными о потребителях и за информацией коммерческого характера.
Отчет McAfee об угрозах за второй квартал 2012 года6
Вредоносные программыВ своем знаменитом эссе Миф о Сизифе Альбер Камю знакомит читателя со своей философией абсурда и говорит о тщетности нашего поиска смысла и ясности перед лицом непонятного мира, лишенного истин и ценностей. В последней главе он сравнивает абсурдность человеческой жизни с наказанием Сизифа, персонажа древнегреческой мифологии, приговоренного богами к бесконечному повторению одного и того же бессмысленного действия: вкатывать на гору тяжелый камень, который затем снова скатывается вниз.
Анализируя последнее десятилетие в истории распространения вредоносных программ, мы словно видим ту же самую гору, на которую так тщетно пытался вкатить свой камень Сизиф. Складывается даже впечатление, что в последние несколько лет эта гора начала становится все выше и круче. В прошлый раз количество обнаруженных за квартал вредоносных программ было самым большим за последние четыре года. Но в этот раз их было обнаружено еще больше! По итогам отчетного квартала в коллекции нашего «зоопарка» насчитывается на 1,5 миллиона больше уникальных образцов вредоносных программ, чем в предыдущем квартале. При таких темпах к следующему кварталу в нашей коллекции может накопиться 100 миллионов образцов, а темп прироста количества новых образцов может впервые достичь отметки 10 миллионов в квартал. Есть ли смысл во всех этих числах? Что они говорят нам о том, как мы обеспечиваем информационную безопасность?
По крайней мере, они говорят нам, что вкатываемый на гору камень становится все тяжелее. За очень немногочисленными исключениями темпы распространения вредоносных программ по сравнению с предыдущим кварталом увеличились почти во всех категориях вредоносных программ (при том что в некоторых категориях в предыдущем квартале наблюдались рекордные темпы роста). Одно можно сказать с уверенностью: продолжать принимать те же самые меры безопасности, что и прежде, — абсурдно как сизифов труд. Следует сделать то, что предложил Камю в своем эссе. Скорее всего, нам придется совершить революцию — инновационную революцию.
Общее кол-во образцов вредоносных программ в базе данных
0
20 000 000
40 000 000
60 000 000
80 000 000
100 000 000
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
30 000 000
50 000 000
70 000 000
90 000 000
10 000 000
Кол-во новых образцов вредоносных программ
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
4-й кварт.2011
3-й кварт.2011
2-й кварт.2011
2-й кварт.2012
1-й кварт.2012
1-й кварт.2011
4-й кварт.2010
3-й кварт.2010
2-й кварт.2010
1-й кварт.2010
4-й кварт.2009
3-й кварт.2009
2-й кварт.2009
1-й кварт.2009
7Отчет McAfee об угрозах за второй квартал 2012 года
Рост общего числа руткитов в отчетном квартале слегка ускорился, а Koutodoor продемонстрировал огромные темпы роста. Темпы распространения ZeroAccess и TDSS по сравнению с предыдущим кварталом слегка замедлились, однако отчетливо ощущается их влияние на другие категории вредоносных программ. Руткиты, или вредоносные программы-невидимки, в настоящее время являются одним из самых опасных типов вредоносных программ. Они оказывают существенное влияние на большинство других типов вредоносных программ. Их строение позволяет им оставаться незамеченными и длительное время «жить» в системе.
Кол-во обнаруженных уникальных образцов руткитов
0
50 000
100 000
150 000
200 000
250 000
300 000
350 000
2-й кварт.2012
1-й кварт.2012
4-й кварт.2011
3-й кварт.2011
2-й кварт.2011
1-й кварт.2011
4-й кварт.2010
3-й кварт.2010
2-й кварт.2010
1-й кварт.2010
4-й кварт.2009
3-й кварт.2009
2-й кварт.2009
1-й кварт.2009
Кол-во новых образцов Koutodoor
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
160 000
180 000
200 000
1-й кварт.2012
2-й кварт.2012
4-й кварт.2011
3-й кварт.2011
2-й кварт.2011
1-й кварт.2011
4-й кварт.2010
3-й кварт.2010
2-й кварт.2010
1-й кварт.2010
4-й кварт.2009
3-й кварт.2009
2-й кварт.2009
1-й кварт.2009
8 Отчет McAfee об угрозах за второй квартал 2012 года
Кол-во новых образцов TDSS
0
50 000
100 000
150 000
200 000
250 000
300 000
1-й кварт.2012
2-й кварт.2012
4-й кварт.2011
3-й кварт.2011
2-й кварт.2011
1-й кварт.2011
4-й кварт.2010
3-й кварт.2010
2-й кварт.2010
1-й кварт.2010
4-й кварт.2009
3-й кварт.2009
2-й кварт.2009
1-й кварт.2009
Кол-во новых образцов ZeroAccess
0
50 000
100 000
150 000
200 000
250 000
1-й кварт.2012
2-й кварт.2012
4-й кварт.2011
3-й кварт.2011
2-й кварт.2011
1-й кварт.2011
4-й кварт.2010
3-й кварт.2010
2-й кварт.2010
1-й кварт.2010
9Отчет McAfee об угрозах за второй квартал 2012 года
Ложные антивирусы (поддельные защитные программы), вредоносные программы с автозапуском и троянские кони для кражи паролей по-прежнему с нами. Темпы распространения ложных антивирусов несколько выросли, однако общая тенденция по-прежнему заключается в отсутствии роста. Вредоносные программы с автозапуском и троянские программы для кражи паролей в отчетном квартале показали значительные темпы роста.
Кол-во новых образцов ложных антивирусов
0
200 000
400 000
600 000
800 000
1 000 000
1-й кварт.2012
2-й кварт.2012
4-й кварт.2011
3-й кварт.2011
2-й кварт.2011
1-й кварт.2011
4-й кварт.2010
3-й кварт.2010
2-й кварт.2010
1-й кварт.2010
4-й кварт.2009
3-й кварт.2009
2-й кварт.2009
1-й кварт.2009
Кол-во обнаруженных уникальных образцов программ с автозапуском
0
200 000
400 000
600 000
800 000
1 000 000
1 200 000
1 400,000
1-й кварт.2011
2-й кварт.2011
3-й кварт.2011
1-й кварт.2012
2-й кварт.2012
4-й кварт.2011
4-й кварт.2010
3-й кварт.2010
2-й кварт.2010
1-й кварт.2010
4-й кварт.2009
3-й кварт.2009
2-й кварт.2009
1-й кварт.2009
10 Отчет McAfee об угрозах за второй квартал 2012 года
Кол-во новых образцов программ для кражи паролей
0
200 000
400 000
600 000
800 000
1 000 000
1 200 000
1 400 000
1 600 000
1-й кварт.2011
2-й кварт.2011
3-й кварт.2011
4-й кварт.2011
1-й кварт.2012
2-й кварт.2012
4-й кварт.2010
3-й кварт.2010
2-й кварт.2010
1-й кварт.2010
4-й кварт.2009
3-й кварт.2009
2-й кварт.2009
1-й кварт.2009
Вредоносные программы с цифровой подписьюСтарший аналитик McAfee Labs Крейг Шмугар (Craig Schmugar) ведет хороший блог, который невозможно не цитировать. Вот что он пишет о том, почему разработчики вредоносных программ используют в них цифровые подписи:
Злоумышленники подписывают вредоносные программы, пытаясь тем самым внушить пользователям и администраторам доверие к файлу, а также избежать обнаружения файла защитными программами и обойти системные политики. Многие из таких вредоносных программ подписываются с помощью украденных сертификатов, хотя встречаются и двоичные файлы с самоподписанными сертификатами или с «тестовой подписью». Тестовая подпись иногда используется в сочетании с методами социальной инженерии.1
На протяжении отчетного квартала мы наблюдали рост количества случаев использования этого сложного метода атаки. В нашем Прогнозе угроз на 2012 год говорилось о том, что в свете успеха бот-сетей Duqu и Stuxnet популярность этого метода в 2012 году будет расти.2 Похоже, в данном случае мы действительно «как в воду глядели».
Общее кол-во вредоносных двоичных файлов с цифровыми подписями
0
100 000
200 000
300 000
400 000
500 000
600 000
700 000
800 000
1 дек2011
1 янв2012
1 ноя2011
1 фев2012
1 мар2012
1 апр2012
1 май2012
1 июн2012
1 окт2011
1 сен2011
11Отчет McAfee об угрозах за второй квартал 2012 года
Кол-во новых вредоносных двоичных файлов с цифровыми подписями
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
МАР2012
АПР2012
МАЙ2012
ИЮН2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
К сведению всех любителей компьютеров Macintosh: темпы распространения вредоносных программ для компьютеров Macintosh по-прежнему стабильно растут. Конечно, в количественном отношении они значительно уступают вредоносным программам для Windows, однако эти угрозы следует воспринимать серьезно, а пользователям компьютеров Macintosh следует принимать меры предосторожности. Все просто. Вредоносную программу можно написать для любой операционной системы и платформы.
Кол-во новых образцов вредоносных программ для Mac OS
0
100
200
300
400
500
600
700
1-й кварт.2011
2-й кварт.2011
3-й кварт.2011
1-й кварт.2012
2-й кварт.2012
4-й кварт.2011
4-й кварт.2010
3-й кварт.2010
2-й кварт.2010
1-й кварт.2010
4-й кварт.2009
3-й кварт.2009
2-й кварт.2009
1-й кварт.2009
После всплеска в середине 2011 года темпы распространения ложных антивирусов для компьютеров Macintosh в отчетном квартале значительно сократились:
Кол-во новых образцов ложных антивирусов для Mac OS
0
100
200
300
400
500
600
1-й кварт.2012
2-й кварт.2012
4-й кварт.2011
3-й кварт.2011
2-й кварт.2011
1-й кварт.2011
4-й кварт.2010
3-й кварт.2010
2-й кварт.2010
1-й кварт.2010
12 Отчет McAfee об угрозах за второй квартал 2012 года
Программы-вымогатели берут данные в заложникиУ некоторых видов вредоносных программ уровень популярности то растет, то падает. Темпы распространения ложных антивирусных программ сокращаются уже с 2011 года. Это касается общего количества уникальных образцов и количества систем, в которых такие программы обнаруживались. Среди возможных причин этого сокращения можно назвать повышение активности правоохранительных органов, а также возникновение у киберпреступников дополнительных трудностей с обработкой платежей по кредитным карточкам жертв своих атак. К сожалению, киберпреступники не опускают руки, когда одна из их бизнес-моделей перестает работать; они тотчас изобретают новые способы для зарабатывания денег. В последнее время разработчики вредоносных программ стали заниматься «программами-вымогателями».
Программы-вымогатели частично или полностью берут в заложники компьютер или данные жертвы. Они зашифровывают данные или весь компьютер, а затем требуют у пользователей заплатить за восстановление данных или компьютера, используя анонимные способы оплаты. Таким образом киберпреступнику не требуется находить компанию для обработки платежей по кредитным карточкам. Этот способ мошенничества довольно стар. Обнаруженный в 1989 году AIDS — один из первых троянских коней для ПК — работал именно по этому принципу, однако такие атаки на протяжении многих лет были редкостью. Теперь же они стали намного более распространенными.
Новые программы-вымогатели
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
1-й кварт.2012
2-й кварт.2012
4-й кварт.2011
3-й кварт.2011
2-й кварт.2011
1-й кварт.2011
4-й кварт.2010
3-й кварт.2010
2-й кварт.2010
1-й кварт.2010
Темпы распространения программ-вымогателей росли на протяжении нескольких последних кварталов. В отчетном квартале эти темпы достигли рекордной отметки.
Особая проблема в том, что наносимый программами-вымогателями ущерб проявляется сразу, и зараженная ими система, как правило, становится полностью непригодной к использованию. И если жертва атаки попытается заплатить злоумышленнику требуемый выкуп, то она потеряет не только данные, но и деньги. Потерять накопленные за многие годы данные, фотографии и воспоминания будет трагедией для любого пользователя, а в корпоративной среде ситуация может оказаться еще хуже: представьте, например, что будет, если вредоносная программа зашифрует все данные в корпоративной сети, к которым жертва атаки имеет доступ на запись.
Как нам защитить себя? Помимо крайне осторожного обращения с файловыми вложениями и ссылками в электронных письмах и на веб-сайтах, следует регулярно проводить резервное копирование систем. Администраторам корпоративных сетей для предотвращения заражения рекомендуется использовать защитные решения, позволяющие ограничивать доступ к системам.
Опасные сообщенияНесмотря на скачки, имевшие место в октябре 2011 года и в январе 2012 года, объемы нежелательных сообщений по-прежнему сокращаются. В отчетном квартале наблюдалось некоторое увеличение, но мы считаем, что это не изменит общей тенденции на сокращение. Что касается статистики по отдельным странам, то в некоторых странах наблюдалась стабильная картина, а в некоторых — сокращение объемов нежелательных сообщений. Рост объемов нежелательных сообщений, превышающий 10 процентов, наблюдался только в Венесуэле, Колумбии, Южной Корее и Японии. Но не обольщайтесь: нежелательные сообщения по-прежнему опасны, а целенаправленный фишинг опасен еще больше.
13Отчет McAfee об угрозах за второй квартал 2012 года
0
0,2
0,4
0,6
0,8
1,0
1,2
1,4
1,6
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
Объем электронных сообщений по всему миру (в триллионах)
Объем спама в месяцЭлектронная почта
Объем спама
Аргентина
0
50 000
100 000
150 000
200 000
250 000
300 000
350 000
400 000
Австралия
0
500 000
1 000 000
15 000 000
20 000 000
25 000 000
30 000 000
35 000 000
40 000 000
45 000 000
Бразилия
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
12 000 000
14 000 000
16 000 000
Германия
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
12 000 000
14 000 000
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
12 000 000
Великобритания
0
10 000 000
20 000 000
30 000 000
40 000 000
50 000 000
60 000 000
70 000 000
Венесуэла
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
14 Отчет McAfee об угрозах за второй квартал 2012 года
Объем спама
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
Италия
0
10 000 000
20 000 000
30 000 000
40 000 000
50 000 000
Индонезия
0
500 000
1 000 000
1 500 000
2 000 000
2 500 000
Япония
0
20 000 000
40 000 000
60 000 000
80 000 000
10 0 000 000
Россия
0
5 000 000
10 000 000
15 000 000
20 000 000
25 000 000
30 000 000
35 000 000
Республика Корея
0
20 000 000
40 000 00 0
60 000 000
80 000 000
100 000 000
Индия
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
Испания
0
50 000 000
100 000 000
150 000 000
200 000 000
250 000 000
США
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
12 000 000
Колумбия
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
12 000 000
14 000 000
16 000 000
18 000 000
Китай
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
15Отчет McAfee об угрозах за второй квартал 2012 года
Статистика активности бот-сетейВ предыдущем квартале мы отметили замедление роста количества бот-сетей для рассылки сообщений. В отчетном квартале, однако, количество заражений стало рекордным за последние 12 месяцев. Примерно в то же самое время по всему миру наблюдались всплески объемов нежелательных сообщений. Такое совпадение свидетельствует о том, что рассылкой нежелательных сообщений занимаются преимущественно бот-сети. Это также показатель того, что поддержание постоянного уровня рассылки нежелательных сообщений требует увеличения нагрузки на бот-сети.
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
Кол-во обнаруженных случаев заражения бот-сетямидля рассылки сообщений по всему миру
0
1 000 000
2 000 000
3 000 000
4 000 000
5 000 000
6 000 000
7 000 000
В отчетном квартале основная доля вредоносных нежелательных сообщений появилась в результате активной работы бот-сетей Cutwail и Grum.
Влияние бот-сетей Cutwail и Grum на глобальноюстатистику случаев заражения бот-сетями
0
200 000
400 000
600 000
800 000
1 000 000
1 200 000
1 400 000
1 600 000
01.0
4.12
08.0
4.12
15.0
4.12
22.0
4.12
29.0
4.12
06.0
5.12
13.0
5.12
20.0
5.12
27.0
5.12
03.0
6.12
10.0
6.12
17.0
6.12
24.0
6.12
Все
Cutwail
Grum
Общий рейтинг бот-сетей для рассылки сообщений почти не изменился по сравнению с предыдущим кварталом. Grum и Lethic остались на втором и третьем местах соответственно, а во главе списка, как и прежде, находится Cutwail.
16 Отчет McAfee об угрозах за второй квартал 2012 года
0
500 000
1 000 000
1 500 000
2 000 000
2 500 000
3 000 000
3 500 000
Cutwail
Grum
Lethic
Waledac
Festi
Bobax
Maazben
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2011
МАЙ2012
ИЮН2012
АПР2012
Лидеры среди бот-сетей по случаям заражения по всему миру
У большинства других крупнейших бот-сетей для рассылки сообщений темпы роста числа новых заражений в отчетном квартале не увеличились или даже уменьшились. Единственным исключением стал Bobax, полностью исчезнувший в июне после того, как возобновила свою работу бот-сеть Maazben.
К странам, в которых наблюдался более чем 10-процентный прирост количества новых отправителей сообщений, предназначенных для распространения бот-сетей, относятся Индия, Китай, США и Южная Корея. Самый большой прирост наблюдался в Корее — более 50 процентов.
Кол-во новых отправителей в бот-сетях
0
10 000
20 000
30 000
40 000
50 000
60 000
Аргентина
0
2 000
4 000
6 000
8 000
10 000
12 000
14 000
Австралия
0
50 000
100 000
150 000
200 000
Бразилия
0
10 000
20 000
30 000
40 000
50 000
60 000
70 000
80 000
90 000
Германия
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
0
5 000
10 000
15 000
20 000
25 000
30 000
35 000
40 000
Великобритания
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
Венесуэла
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
17Отчет McAfee об угрозах за второй квартал 2012 года
Кол-во новых отправителей в бот-сетях
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
Индонезия
0
2 000
4 000
6 000
8 000
10 000
12 000
14 000
16 000
Япония
0
50 000
100 000
150 000
200 000
Россия
0
10 000
20 000
30 000
40 000
50 000
60 000
70 000
Республика Корея
США
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
160 000
0
10 000
20 000
30 000
40 000
50 000
60 000
70 000
Испания
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
160 000
180 000
Китай
0
50 000
100 000
150 000
200 000
250 000
300 000
350 000
Индия
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
ЯНВ2012
ДЕК2011
НОЯ2011
ОКТ2011
СЕН2011
АВГ2011
ИЮЛ2011
18 Отчет McAfee об угрозах за второй квартал 2012 года
Темпы заражения новых систем не влияют на ситуацию с уже зараженными системами. Приведенные нами результаты анализа активности бот-сетей по странам показывают, что многие из этих бот-сетей по-прежнему довольно активны в мировом масштабе, даже несмотря на то, что число заражаемых ими компьютеров снижается. По числу новых случаев заражения и по общему количеству зараженных компьютеров первое место в мире занимает Cutwail. Исключением стали Венесуэла, Индия и Пакистан, где самой распространенной бот-сетью является Grum.
Австралия Бразилия
Китай Колумбия
Германия Индия
ЯпонияРоссия
Республика Корея
Испания
Великобритания
США
Bobax
Cutwail
Festi
Grum
Lethic
Maazben
Другие
Бот-сети
Кол-во новых отправителей в бот-сетях
19Отчет McAfee об угрозах за второй квартал 2012 года
В нежелательных сообщениях используются методы социальной инженерии Темы нежелательных сообщений в разных регионах мира сильно отличаются друг от друга. Спамеры видят, что эффективность придуманных ими приманок зависит от страны, культуры, религии и других факторов. Мировым «лидером» среди приманок стало уведомление о доставке (DSN), давний любимец спамеров. Большой популярностью пользовались также приманки, связанные с лекарствами.
АвстралияВиды спама
«Нигерийские письма»
DSN
Товары для взрослых
Казино
Лекарства
Вакансии
Одинокие женщины
Лотереи
Маркетинг
Новостные рассылки
Фишинг
Копии изделий известных брендов
Путешествия
Нежелательная реклама
Вирусы
Веб-семинары
БразилияБеларусь
Франция
Германия Индия
Россия
Великобритания
США
20 Отчет McAfee об угрозах за второй квартал 2012 года
Сетевые угрозы безопасностиКак мы уже сообщали в предыдущем квартале, мы значительно расширили объем информации, включаемой нами в аналитические отчеты об активности сетей. Анализ этих данных показывает, что определить, откуда исходят атаки и кто за ними стоит, — очень сложная задача. Сложно дать хоть сколько нибудь точный ответ на вопросы о том, откуда исходят те или иные атаки и кто за ними стоит. Анализ кода не часто дает возможность понять, кто его написал. Анализ сетевых атак для выявления примет и признаков их организаторов — задача не менее сложная. У нас уже есть некоторые наработки в деле определения авторства, но чтобы быть в состоянии делать выводы о том, кто является организаторами атак, предстоит еще выполнить огромную работу. Иногда все, что мы можем узнать, это то, как код себя ведет, для чего предназначена атака и где предположительно находится ее источник. Любое более смелое высказывание рискует навлечь на себя критику, подобную той, которую Оскар Уайльд высказал в адрес искусства:
Во всяком искусстве есть то, что лежит на поверхности, и символ.Кто пытается проникнуть глубже поверхности, тот идет на риск.И кто раскрывает символ, идет на риск.В сущности, Искусство — зеркало, отражающее того, кто в него смотрится, а вовсе не жизнь.Если произведение искусства вызывает споры, — значит, в нем есть нечто новое, сложное и значительное.
— Портрет Дориана Грея, перевод Марии Абкиной
Среди специалистов по безопасности существует много разных мнений по поводу определения авторства. Большинство из них является лишь предубеждениями аналитиков. Значительное расхождение во мнениях по данному вопросу свидетельствует о том, что изучение проблемы определения авторства находится пока еще на самой ранней стадии. Иногда приходится просто признать, что собранные данные ни о чем не говорят.
С уверенностью можем сказать, что по совокупности США по-прежнему является крупнейшим источником и объектом кибератак. Давайте поподробнее остановимся на некоторых категориях угроз безопасности, информация о которых собирается и анализируется с помощью сети McAfee Global Threat Intelligence™.
Категории угроз остались теми же, что и в предыдущем квартале, но их пропорциональное соотношение изменилось из-за повышения числа атак с использованием уязвимости в службе удаленных вызовов процедур. Из-за этого сдвига показатели во всех остальных категориях снизились, но порядок категорий сохранился.
Удаленный вызов процедур
Внедрение SQL-кода
Обозреватель
Межсайтовые сценарии
Другие
Лидеры среди сетевых угроз безопасности
21Отчет McAfee об угрозах за второй квартал 2012 года
США заняли первое место по числу организаторов атак, лишь ненамного опередив Венесуэлу. По числу жертв атак США лидируют с явным отрывом.
США
Венесуэла
Великобритания
Турция
Испания
Мексика
Китай
Республика Корея
Другие
Страны, из которых исходит большинствоатак с внедрением SQL-кода
США
Китай
Испания
Германия
Великобритания
Республика Корея
Япония
Франция
Другие
Страны, наиболее подверженныеатакам с внедрением SQL-кода
Как и в предыдущем квартале США намного опередили другие страны как самый популярный источник атак с использованием межсайтовых сценариев (сross-site scripting — XSS).
США
Япония
Бразилия
Индия
Иордания
Венесуэла
Другие
Страны, из которых исходит большинствомежсайтовых атак с внедрением сценария (XSS)
22 Отчет McAfee об угрозах за второй квартал 2012 года
По количеству жертв атак с использованием XSS на первом месте опять США. На втором месте с большим отставанием — Турция.
США
Турция
Япония
Другие
Страны, наиболее подверженные межсайтовыматакам с внедрением сценария (XSS)
Если в предыдущем квартале первое и второе места занимали бот-сети Mariposa и Pushdo (Cutwail), то в отчетном квартале эти места заняли Darkshell и Maazben.
Darkshell
Maazben
Ainslot.B
Darkness
Cycbot
Zeus
Троянская программа Carberp
Spybot
BlackEnergy
DirtJumper
Лидеры среди обнаруженных бот-сетей
По количеству жертв атак США вытеснили с первого места Венесуэлу. На втором месте оказалась Чили с вдвое меньшим числом заражений.
США
Чили
Бразилия
Колумбия
Великобритания
Украина
Аргентина
Китай
Другие
Страны, наиболее подверженные бот-сетям
23Отчет McAfee об угрозах за второй квартал 2012 года
США по-прежнему занимают первое место по числу серверов для управления бот-сетями, хотя в отчетном квартале этот показатель сократился на 10 процентов. Среди остальных стран по этому показателю лидируют Китай и Венесуэла.
США
Китай
Венесуэла
Германия
Россия
Нидерланды
Великобритания
Испания
Другие
Лидеры по количеству управляющих серверов бот-сетей
Веб-угрозы Веб-сайты могут приобрести репутацию плохих или вредоносных по целому ряду причин. Репутация может определяться на основе полных доменов и любого количества субдоменов, а также на основе одного IP-адреса или даже конкретного URL-адреса. Сайт может получить репутацию вредоносного, если на нем размещены вредоносные или потенциально нежелательные программы, или если сайт создан для фишинга. Часто мы наблюдаем те или иные сочетания сомнительного кода и сомнительных функций. Это только некоторые из факторов, на основе которых мы определяем репутацию сайта.
К концу июня общее количество URL-адресов с плохой репутацией, учтенных специалистами наших лабораторий, превысило 36 миллионов! Это соответствует 22,6 млн доменных имен. В отчетном квартале мы ежемесячно регистрировали в среднем 2,7 млн новых URL-адресов с плохой репутацией. Обнаруженным в июне новым URL-адресам соответствовало 300 000 доменов с плохой репутацией, что дает примерно 10 000 новых вредоносных доменов ежедневно. Это несколько больше, чем в предыдущем квартале. Интересно отметить, что это число сравнимо с числом 9 500 (новых вредоносных веб-сайтов), опубликованным в июне в блоге компании Google.3
АПР2012
МАЙ2012
ИЮН2012
ФЕВ2012
МАР2012
0
500 000
1 000 000
1 500 000
2 000 000
2 500 000
3 000 000
3 500 000
4 000 000
Кол-во новых URL-адресов
Родственные домены
Кол-во новых URL-адресов с плохой репутацией
24 Отчет McAfee об угрозах за второй квартал 2012 года
Большинство (94,2 процента) из этих URL-адресов ведет к вредоносным программам, средствам использования уязвимостей или коду, предназначенному для взлома компьютеров. На фишинговые атаки и на нежелательные сообщения приходится 4 процента и 1 процент соответственно.
Другие
Новые URL-адресас вредоносными программами
Распределение новых URL-адресов с плохой репутацией
Новые URL-адресадля фишинга
Новые URL-адреса для распространения спама
Другие
Распределение доменов показывает несколько иную статистику:
Другие
Новые доменыс вредоносными
программами
Распространение новых доменов с плохой репутацией
Новые доменыдля фишинга
Новые доменыдля рассылки спама
Другие
25Отчет McAfee об угрозах за второй квартал 2012 года
Кол-во новых URL-адресов
Родственные домены
Кол-во новых URL-адресов для фишинга
0
20 000
40 000
60 000
80 000
100 000
120 000
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
Кол-во новых URL-адресов
Родственные домены
Кол-во новых URL-адресов для рассылки спама
ИЮН2012
МАЙ2012
АПР2012
МАР2012
ФЕВ2012
25 000
30 000
35 000
40 000
45 000
50 000
На протяжении отчетного периода наблюдался значительный сдвиг в статистике месторасположения этих серверов с плохой репутацией. Если в предыдущем квартале почти 92 процента из них находились в Северной Америке, то в отчетном квартале бо́льшая часть вредоносного веб-содержимого переместилась в Европу и на Ближний Восток. Дальнейший анализ этих регионов показывает большие различия между отдельными странами, а первое место по количеству размещенного в них вредоносного контента занимают Нидерланды.
Австралия
Европа и Ближний Восток
Латинская Америка
Северная Америка
Местоположение серверов с вредоносным содержимым
Азиатско-Тихоокеанский регион
26 Отчет McAfee об угрозах за второй квартал 2012 года
Местоположение серверов с вредоносным содержимым
Южно-Африканская Республика
Сенегал
Сейшельские Острова
Тунис
Другие
Африка
Республика Корея
Япония
Китай
Гонконг
Индонезия
Другие
Австралия
Новая Зеландия
Австралия и Новая Зеландия
Нидерланды
Швейцария
Германия
Великобритания
Италия
Другие
Европа и Ближний Восток
Багамские острова
Британские Виргинские острова
Бразилия
Другие
Латинская Америка
США
Канада
Северная Америка
Азиатско-Тихоокеанский регион
27Отчет McAfee об угрозах за второй квартал 2012 года
Киберпреступность «Абузоустойчивый» хостингПродолжим начатую в предыдущем отчете тему «преступные программы как услуга» и поговорим об «абузоустойчивых» серверах. В предыдущем квартале мы рассказывали об операции Open Market («Открытый рынок»), проведенной Секретной службой США с целью задержания членов, сообщников и сотрудников преступной организации Carder.su общим числом 50 человек.
Один из обвиняемых, известный под никами Dorbik и Matad0r, занимался предоставлением подобных услуг. В 2010 году он публиковал информацию о своих услугах в разных специализированных форумах:
Цены Matad0r:
Хостинг Виртуальные частные или выделенные серверы Выделенные серверы
• 2 ГБ на сервере
• до 10 припаркованных доменов
• выделенные DNS-серверы
• панели управления хостингом
• безлимитный трафик
• необходимые модули и программное обеспечение (бесплатно)
• 50 долларов США в месяц
• технология VMware
• полный root-доступ к серверам
• до 25 % ЦП Xeon
• от 1 ГБ ОЗУ
• от 30 ГБ дискового пространства
• безлимитный трафик
• бесплатная установка/переустановка
• полный набор программного обеспечения
• дополнительные IP-адреса (если требуется)
• 150 долларов США в месяц
• разные конфигурации
• установка в течение суток
• безлимитный трафик
• бесплатная установка/переустановка
• любая ОС (включая Windows) бесплатно
• дополнительные IP-адреса (если требуется)
• 400 долларов США в месяц
В наши дни в Интернете очень много подобных предложений, и вполне понятно, на кого они рассчитаны. Приведем несколько примеров на русском языке:
28 Отчет McAfee об угрозах за второй квартал 2012 года
Разрешено• Торрент трекры• Xrumer (спам)• Фишинг• Фейки• Фарма• Любые абузы/abuse
Запрещено• Детское порно• Зоофильное порно• Фашизм• Разжигание межнациональной розни• Спам (SMTP)
В следующем примере по заниженным ценам предлагаются выделенные серверы (в верхней части) и виртуальные частные/выделенные серверы.
В пояснениях на русском языке говорится:
Под спам и серые проекты
~ Турция ~ Разрешено: Любое содержимое.
~ Франция ~ Разрешено: Любое содержимое.
29Отчет McAfee об угрозах за второй квартал 2012 года
~ Германия ~ Разрешено: Любое содержимое.
~ Румыния ~ Разрешено: Серые и белые проекты. Запрещено: детская порнография.
Если изучить веб-страницу, связанную с данным интернет-магазином, то можно найти много других предложений. Вот пример, нацеленный на французских клиентов:
Перечисленные внизу экрана способы оплаты говорят сами за себя.
Борьба с киберпреступностьюВ отчетном квартале полиция провела ряд успешных операций:
• В США и ряде других стран были арестованы и преданы суду восемь лиц, подозреваемых в причастности к интернет-рынку наркотиков, доступному только через анонимную сеть Tor. Подозреваемые содержали веб-сайт под названием The Farmer’s Market, на котором на продажу предлагались ЛСД, экстази, марихуана и другие наркотики. За период между январем 2007 года и октябрем 2009 года они обработали около 5 256 заказов, поступивших через Интернет примерно от 3 000 клиентов из 34 стран мира на общую сумму в размере более 1 млн долларов США.4 До перехода на Tor, осуществленного в 2010 году, The Farmer’s Market обрабатывал заказы с помощью Hushmail — почтовой службы для рассылки зашифрованных электронных писем.
• 26 апреля Британское агентство по борьбе с особо опасной организованной преступностью заявило о завершении проведенной совместно с Федеральным бюро расследований США и Министерством юстиции США операции по закрытию 36 преступных веб-сайтов, использовавшихся для торговли краденной информацией о кредитных карточках и банковских счетах.5 На этих сайтах использовались платформы для электронной коммерции (e-commerce), называемые «автоматизированными торговыми тележками» (automated vending carts), дающие преступникам возможность быстро и просто продавать большие объемы краденных данных.
• 3 мая федеральный прокурор США в штате Нью-Джерси объявил о том, что ряд лиц, арестованных в декабре 2011 года, признались в своей причастности к преступной группировке, занимавшейся интернет-мошенничеством. Выманивая у пользователей конфиденциальную информацию о банковских счетах, они похитили более 1,3 млн долларов США. Используя фальшивые водительские права с фотографиями подставных лиц, они выдавали себя за клиентов банков и без разрешения снимали деньги со счетов своих жертв.6
30 Отчет McAfee об угрозах за второй квартал 2012 года
• В мае полиция канадской провинции Квебек арестовала 45 членов международной преступной группировки, осуществлявшей мошеннические действия в Великобритании, Австралии, Новой Зеландии, Малайзии и Тунисе. Правоохранительными органами было изъято более 12 000 контрафактных банковских карточек. Сообщается, что данной преступной группировке удалось похитить со счетов ничего не подозревающих владельцев банковских карточек около 100 млн долларов США. Злоумышленники специализировались на видеосъемке банкоматов и внесении в них изменений, пытались красть номера PIN и взламывать компьютерные терминалы в магазинах, а также подделывали банковские карточки, чтобы незаконно снимать деньги. Им удалось внести изменения в системы приема платежей в ряде магазинов и ресторанов, установив на них устройство, которое по Bluetooth считывало содержащуюся в компьютере информацию о кредитных и дебетовых карточках.7
• В июне российским правоохранительным органам удалось нейтрализовать еще одну группировку Carberp. Эта группировка, носившая имя The Hodprot Group (по названию вредоносной программы, которую они когда-то использовали), уже более 4 лет занималась кражей денежных средств из систем интернет-банкинга при помощи специальных вредоносных программ. В результате деятельности этой группировки клиенты систем интернет-банкинга понесли убытки в размере более 125 млн рублей.8
• По сообщению Британского агентства по борьбе с особо опасной организованной преступностью два мошенника, известные под интернет-псевдонимами t0pp8uzz и GM, были приговорены к тюремному заключению по обвинению в содержании мошеннического веб-сайта, стоимость которого оценивается в 26,9 млн фунтов стерлингов (что соответствует 41 млн долларов США или 33,2 млн евро). Когда их арестовали в 2011 году, они были администраторами веб-сайта Freshshop, на котором осуществлялась перепродажа краденной финансовой информации.9
• В ходе операции, нацеленной на борьбу с международной интернет-торговлей краденными номерами кредитных карточек, федеральные службы США арестовали 24 человека, проживавших в США и в ряде других стран. По данным властей, эта секретная операция является крупнейшей за всю историю. Она началась в июле 2010 года, когда ФБР создало интернет-форум под названием Carder Profit, дающий внедренным агентам возможность следить за действиями торговцев номерами кредитных карточек. В ходе операции ФБР предоставило поставщикам кредитных карточек данные о 411 тысячах фальшивых карточек, в результате чего мошенники недополучили прибыль от продажи кредитных карточек в размере 205 млн долларов США (по оценкам экспертов).10 Среди арестованных был руководитель UGNazi — хакерской группы, взявшей на себя ответственность за атаки, недавно обрушившиеся на Twitter и Google.
ХактивизмВ отчетном квартале было арестовано несколько хактивистов.
• В апреле мы узнали об аресте членов CabinCr3w — хакерской группы, связанной с Anonymous. Kahuna и w0rmer подозревались в том, что в феврале взломали веб-сайты ряда полицейских отделений и других органов охраны правопорядка.11
• В СМИ опять заговорили о полухактивистской, полукиберпреступной группе TeaMp0isoN. 11 апреля она провела круглосуточную телефонную атаку типа «отказ в обслуживании» (DoS) на службу иностранной разведки Великобритании MI6. На следующий день TriCk, предполагаемый руководитель группы, позвонил в офисы MI6 в Лондоне и насмешливым тоном заявил, что группа берет на себя ответственность за данную атаку. Как он объяснил, поводом для атаки послужило недавнее решение Европейского суда по правам человека, разрешившее выслать в Америку ряд подозреваемых в терроризме, задержанных на территории Великобритании.12 Явно переоценивший свои силы 17-летний TriCk был арестован Скотланд-Ярдом два дня спустя.13 Этот арест, похоже, привел к распаду данной группы. Входящие в группу TeaMp0isoN 17-летний MLT и 28-летний Phantom были арестованы к маю в Великобритании и России соответственно.
• В июне во Франции, Бельгии и Квебеке был арестован ряд предполагаемых членов Anonymous, хотя это событие слабо освещалось в СМИ.
Складывается впечатление, что движение Anonymous находится в переходной стадии. Количество проводимых ими операций по-прежнему велико, но резонанс и последствия этих операций, за некоторыми исключениями, кажутся уже не такими, как прежде. Однако говорить о конце Anonymous пока преждевременно. Основные события квартала, связанные с Anonymous:
• В апреле в рамках операции «Защита» (Operation Defense) Anonymous провели DDoS-атаки на ряд государственных и промышленных организаций США, заявивших о своей поддержке проекта Закона о защите и совместном использовании компьютерной секретной информации (Cyber Intelligence Sharing and Protection Act).14
31Отчет McAfee об угрозах за второй квартал 2012 года
• В мае Anonymous провели операцию Québec («Квебек») в ответ на принятие канадским правительством закона Bill 78. Данный закон ввел ограничения на студенческие протесты.15 В рамках своей кампании группа взломала веб-сайт гонок «Формула-1» в Монреале и опубликовала имена, телефонные номера и электронные почтовые адреса лиц, купивших билеты на гонки. Были выведены из строя около десятка государственных, правительственных и полицейских веб-сайтов в Квебеке, включая веб-сайты Министерства общественной безопасности, Либеральной партии, коронерской службы и полицейской комиссии по этике.
• В июне группа Anonymous провела #OpIndia (операцию «Индия») в знак протеста против растущих масштабов государственной цензуры в Интернете и в особенности против недавнего судебного решения о запрете Torrent, Vimeo и похожих сайтов. 9 июня индийские интернет-активисты по призыву Anonymous провели демонстрации протеста в ряде городов Индии. Молодые активисты в масках Anonymous провели демонстрации в 16 городах, включая Мумбаи, Пуну и Бангалор, хотя общее число участников демонстраций было невелико. Anonymous также провели атаки на веб-сайты cert-in.org.in и india.gov.in. Они были недоступны большую часть дня.16
• В Японии была принята новая поправка к законам об авторском праве, предусматривающая чрезвычайно строгие меры наказания для тех, кто загружает пиратские материалы: DVD-диски, диски Blu-fRay и т. п. В ответ были проведены атаки на различные японские объекты, а в сопроводительных постах появлялся тег #OpJapan.17
Излюбленным объектом для атак Anonymous по всему миру по-прежнему являются веб-сайты полиции:
• В апреле хакеры из Anonymous в рамках инициативы F**K FBI атаковали веб-сайт, принадлежащий офису шерифа в округе Лейк, штат Флорида. Был также изменен внешний вид веб-сайта Международной полицейской ассоциации (International Police Association).18
• В Квебеке сторонники Anonymous украли и опубликовали данные с веб-сайта полицейской службы города Монреаля: тысячи имен пользователей, настоящих имен, адресов электронной почты, почтовых адресов и иных персональных данных.19 В рамках opQuebec (операции «Квебек») они также атаковали веб-сайт кредитного союза сотрудников полиции Монреаля. Обычная стартовая страница была заменена на простой черный шаблон со ссылками на материалы об Anonymous. Помимо этого были опубликованы имена и электронные почтовые адреса лиц, предположительно являющихся клиентами и сотрудниками банка.20
Об авторахВ подготовке и написании данного отчета принимали участие сотрудники McAfee Labs Чжэн Бу (Zheng Bu), Адам Восотовски (Adam Wosotowsky), Паула Греве (Paula Greve), Торальв Дирро (Toralv Dirro), Йичонг Линь (Yichong Lin), Дэвид Маркус (David Marcus), Франсуа Паже (François Paget), Вадим Погулиевский (Vadim Pogulievsky), Питер Сзор (Peter Szor), Дэн Соммер (Dan Sommer), Джимми Ша (Jimmy Shah) и Крейг Шмугар (Craig Schmugar).
О лаборатории McAfee LabsMcAfee Labs — это глобальная исследовательская группа McAfee. Являясь единственной организацией, занимающейся всеми направлениями угроз, включая вредоносные программы, веб-угрозы, угрозы электронной почте, сетевые угрозы и уязвимости, McAfee Labs собирает информацию посредством миллионов датчиков и «облачной» технологии McAfee Global Threat Intelligence™. Группа McAfee Labs, насчитывающая 350 исследователей различных профилей из 30 стран, отслеживает весь спектр угроз в реальном времени, выявляя уязвимости приложений, выполняя анализ и корреляцию рисков, что позволяет выполнять мгновенные исправления с целью защиты корпоративных и частных пользователей.
О компании McAfeeMcAfee — стопроцентная дочерняя компания Intel Corporation (NASDAQ: INTC), является крупнейшим в мире предприятием, специализирующейся на технологиях информационной безопасности. Компания McAfee поставляет проверенные упреждающие решения и услуги, которые обеспечивают безопасность систем, сетей и мобильных устройств по всему миру, позволяя пользователям безопасно работать и совершать покупки в Интернете. Наличие непревзойденной технологии Global Threat Intelligence, позволяет компании McAfee создавать инновационные продукты, которые помогают частным пользователям, компаниям, государственным организациям и поставщикам услуг Интернета обеспечивать соответствие нормативно-правовым требованиям, защищать данные, предотвращать нарушения работы, определять уязвимости, а также постоянно следить за уровнем собственной безопасности и повышать его. Компания McAfee непрерывно ведет постоянный поиск новых путей защиты своих клиентов. www.mcafee.com/ru
OOO «МакАфи Рус»Адрес: Москва, Россия, 123317Пресненская набережная, 10Бизнес центр «Башни на набережной»4ый этаж, офис 405 – 409Телефон: +7 (495) 967 76 20Факс: +7 (495) 967 76 00www.McAfee.ru
1 http://blogs.mcafee.com/mcafee-labs/signed-malware-you-can-runbut-you-cant-hide2 http://www.mcafee.com/ru/resources/reports/rp-threat-predictions-2012.pdf3 http://googleonlinesecurity.blogspot.co.uk/2012/06/safe-browsing-protecting-web-users-for.html4 http://www.wired.com/threatlevel/2012/04/online-drug-market-takedown/5 http://www.soca.gov.uk/news/446-web-domains-seized-in-international-operation-to-target-online-fraudsters6 http://www.ahherald.com/newsbrief-mainmenu-2/law-and-order/13094-man-admits-role-in-13-million-phishing-fraud-scheme7 http://www.cbc.ca/news/canada/montreal/story/2012/05/09/international-fraud-ring-montreal.html8 http://www.group-ib.com/index.php/7-novosti/633-group-ib-aided-russian-law-enforcement-agents-in-arresting-yet-another-cybercriminal-group%229 http://www.infosecurity-magazine.com/view/26219/soca-announces-jailing-of-two-uk-credit-card-crooks/10 http://www.infosecurity-magazine.com/view/26608/fbi-arrests-was-ugnazi-a-target-or-an-instrument/11 http://blogs.mcafee.com/mcafee-labs/hacker-leaves-online-trail-loses-anonymity12 http://news.softpedia.com/news/TeaMp0isoN-Phone-Bombs-UK-Foreign-Intelligence-Agency-MI6-264125.shtml13 http://news.softpedia.com/news/TeaMp0isoN-Confirm-TriCk-s-Arrest-Operation-Retaliation-Starts-264663.shtml14 http://www.securityweek.com/anonymous-launches-attacks-against-trade-associations-and-boeing15 http://www.msnbc.msn.com/id/47620087/ns/technology_and_science-security/t/anonymous-threatens-montreal-grand-prix-over-anti-protest-law/#.T-r5_8XnNhw16 http://globalvoicesonline.org/2012/06/09/india-netizens-respond-to-anonymous-indias-protests/17 http://securityaffairs.co/wordpress/6829/hacking/opjapan-anonymous-against-japan-and-its-war-to-piracy.html18 http://news.softpedia.com/news/AntiSec-Hackers-Leak-40-GB-of-Data-from-Lake-County-Sheriff-s-Office-266784.shtml19 http://www.cyberwarnews.info/2012/06/02/canadian-police-server-hacked-lots-of-personal-information-leaked-by-anonymous/20 http://www.canada.com/health/Police+credit+union+site+hacked+Anonymous/6765994/story.html
McAfee, логотип McAfee и McAfee Global Threat Intelligence являются товарными знаками или зарегистрированными товарными знаками корпорации McAfee, Inc. или ее филиалов в США и других странах. Другие названия и фирменная символика являются собственностью соответствующих владельцев. Планы выпуска продуктов, спецификации и описания, приведенные в настоящем документе, предоставляются только в информационных целях и могут подвергаться изменениям без предварительного извещения; они поставляются без предоставления гарантии какого-либо вида, явной или подразумеваемой. Copyright © 2012 McAfee48400rpt_quarterly-threat-q2_0812_fnl_ETMG
