Заразный вирус

Заразный вирус
25.06.2012 | Текст Юлия Жеглова.

вирус, хакер, кибератака
Duqu использовалась для проникновения в компьютерные сети компаний в Иране и соседних государствах. Flame, опять-таки "напущенный" на Иран, оказался, по оценкам экспертов, в разы мощнее и изощреннее. Этот код, сообщала The New York Times, был в 50 раз больше кода привычных до сих пор вирусов. Flame проникал в компьютер, например, высокопоставленного чиновника с флешки или по локальной сети, копировал информацию и посылал ее на командные серверы. Более того, ежеминутно "червь" делал скриншоты, а если открывалась электронная почта или ICQ, то скриншоты производились каждые 15 секунд. Дальше - больше: с помощью удаленного доступа Flame включал встроенный микрофон зараженного компьютера и позволял записывать происходящее, а через Wi-Fi и Bluetooth собирал еще и информацию с окружающих мобильников и ноутбуков. При этом Flame давал своему хозяину возможность изменять и удалять информацию. По предположениям, вирус был запущен еще в 2010 г. и инфицировал тысячи компьютеров. Так же, предположительно, и Stuxnet, и Duqu, и, возможно, Flame - детище Израиля. Впрочем, та же The New York Times сообщала в начале июня, что в первые месяцы своего пребывания в Белом доме президент США Барак Обама отдал секретное распоряжение о повышении изощренности и частоты кибератак в рамках программы, запущенной еще администрацией Джорджа Буша.

По сути, речь идет о начале применения на государственном и межгосударственном уровне кибероружия, откуда рукой подать до кибервойн. "Качественно новым трендом можно считать открытые заявления некоторых стран о том, что они считают киберпространство таким же полем боя, как и в реальных боевых действиях. Конечно, было бы наивно полагать, что подобное отношение - изменения последних дней, но ранее они не были широко освещены, - рассуждает Дмитрий Голомидов, руководитель направления информационной безопасности Сибирского филиала ОАО "МегаФон", член Ассоциации руководителей служб информационной безопасности (АРСИБ). - Такие примеры показывают, что государства стали относиться намного серьезнее к войне в киберпространстве. А это, в свою очередь, означает, что последует очередной виток гонки кибероружия".


Глобальный риск

Конечно, это все суперразработки. В корпоративном сегменте чего-то подобного эксперты, во всяком случае, в обозримом будущем, не ждут. Хотя, с другой стороны, кто знает? В последнем докладе Всемирного экономического форума о глобальных рисках на ближайшие десять лет именно кибератаки поставлены на первое место по степени вероятности нарастания тренда и на второе (после критических системных сбоев) по ожидающемуся эффекту.

По некоторым оценкам, из-за киберпреступников ежегодно мировая экономика теряет $114 млрд, что превышает весь годовой оборот запрещенных препаратов. А США оценили для себя убытки за все годы существования Глобальной сети в $400 млрд.

В группе риска - все. Характерные сведения приводит PricewaterhouseCoopers. Согласно данным исследования, проведенного PWC совместно с некоторыми другими организациями, в 2011 г. с кибератаками сталкивались 93% крупных и 76% небольших из 447 опрошенных в феврале-марте 2012 г. компаний. В 2011 г. о кибернападениях сообщили 760 американских коммерческих структур, среди которых PricewaterhouseCoopers, Wells Fargo, Citigroup, Amazon, IBM, Intel, Yahoo!, Cisco, Google, Facebook, Microsoft и производитель электроники Sony, весной 2011 г. подвергшийся целой серии атак. Хакеры взломали базу данных пользователей и похитили информацию о 100 000 000 пользователей игровой сети Sony PlayStation Network. В результате корпорация понесла убыток в $3 млрд. Причем накануне у Sony Music хакеры украли полную дискографию Майкла Джексона.

По расчетам, приведенным в подготовленном в 2011 г. компанией Symantec "Отчете об угрозах в Интернете", количество атак из Сети увеличилось на 36%, до более 4500 новых атак каждый день, создано более 403 млн новых разновидностей вредоносного программного обеспечения, что означает прирост по сравнению с 2010 г. на 41%. В 39% случаев сообщения электронной почты, применяемые для атак с использованием вредоносного кода, содержали ссылки на веб-страницы.

Цели понятны - хищения, шпионаж, компрометация конкурента. Среди видов "оружия" - хакинг, сниффинг, скимминг, фишинг, DDoS-атаки, APT-атаки, "трояны" (см. наш "Словарик"). "Большинство организаций в процессе своей деятельности сталкивается с кибератаками, например, с APT-атаками, угрозами ботнетов или DDoS-атаками, - комментирует Игорь Корчагин, руководитель группы обеспечения безопасности информации компании "ИВК". - По оценкам, с 2008 г. наблюдается активный рост спроса на услуги кибершпионажа среди крупных мировых компаний, что зачастую связано с желанием получить преимущество над конкурентом при ведении переговоров. Не стала исключением и Россия, где, например, в этом году было зафиксировано обнаружение в партии ноутбуков встроенных клавиатурных снифферов, а также выявлена партия компьютерных мышек со встроенным на аппаратном уровне трояном-кейлоггером. Отечественные эксперты в области расследования преступлений в сфере IT оценили финансовые показатели мирового рынка киберпреступности в 2011 г. примерно в $12,5 млрд. При этом только в России рынок киберпреступности в этом же году был оценен в $2,3 млрд, что демонстрирует существенный активный рост прибыли ($1,3 млрд в 2010 г.)".


Несуществующая статья

Недавно Тушинский суд Москвы вернул в Генпрокуратуру России уголовное дело о DDoS-атаке на сайт "Аэрофлота". По версии следствия, DDoS-атака была организована по заказу генерального директора оператора интернет-платежей "Хронопэй" Павла Врублевского, желавшего подобным образом обеспечить вытеснение процессинговой компании "Ассист" из цепочки по обработке покупок аэрофлотовских билетов через сайт авиаперевозчика. При этом "Ассист" выступала как провайдер услуг, а банком-контрагентом являлся ВТБ-24. Согласно обвинительному заключению, за хакерское нападение бывший гендиректор "Хронопэй" Павел Врублевский заплатил исполнителям более $20 000. Убытки "Ассист" оценены следствием примерно в 15 млн руб., "Аэрофлота" - более чем в 146 млн руб. После хакерской атаки "Аэрофлот" начал перевод интернет-платежей в Альфа-банк, причем по схеме, не предполагавшей участия какой-либо процессинговой системы.

Обвиняемыми по этому самому громкому делу о хакерстве в новейшей российской истории выступают не признающий себя виновным Павел Врублевский, еще один бывший сотрудник компании и ФСБ Максим Пермяков и хакеры - братья Дмитрий и Артем Артимовичи. Суд посчитал, что в обвинительном заключении содержатся серьезные нарушения, не устранив которые, невозможно вынести законный приговор. В частности, подсудимым предъявлено обвинение по несуществующей редакции статьи 273 Уголовного кодекса о создании и использовании вредоносных программ, а в обвинительном заключении нет описания доказательствам вины фигурантов дела, как того требует закон. Впрочем, прокуратура намерена обжаловать это решение. Кроме того, уже год в Арбитражном суде рассматривается иск "Аэрофлота" к ВТБ-24 с требованием возместить 194,22 млн руб. недополученного дохода от продажи билетов.

"Наиболее распространенным методом атак киберпреступников на организации, предоставляющие online-услуги, а также на корпоративные сайты предприятий являются DDoS-атаки, - рассказывает Игорь Корчагин. - К примеру, в апреле 2012 г. была совершена DDoS-атака на сайт "Почты России", что привело к нарушению работы ресурса, а в мае 2012 г. DDoS-атакам подверглись сайты многих российских СМИ. Из результатов исследований "Лаборатории Касперского" следует, что Россия занимает первое место в мире по количеству исходящих DDoS-атак (около 16% глобального DDoS-трафика)".

Несмотря на яркие эпизоды, в целом судебную практику по такого рода делам обширной пока назвать трудно. "По сути, DDoS-атаки осуществляются хакерами с использованием тысяч, а то и десятков тысяч чужих компьютеров (так называемых зомби-компьютеров), поэтому вычислить хакера практически нереально, даже зная IP-адреса всех атакующих компьютеров, - напоминает Дмитрий Васильченко, адвокат МКА "Клишин и партнеры". - По этой причине за все время существования 28-й главы УК РФ к уголовной ответственности за DDoS-атаки было привлечено не больше десятка человек. Очень важно, чтобы российское законодательство шло в ногу с информационными технологиями и давало правовую основу для борьбы с киберпреступностью. Но на данный момент оно не дает определения ни DDoS-атакам, ни "черной" оптимизации - это один из основных его недостатков". "По большинству инцидентов, связанных с атаками для получения конкурентного преимущества, раскрываемость очень низкая. Крайне трудно установить исполнителей и практически невозможно - заказчиков. Поэтому очень мало такого рода инцидентов предается огласке", - дает характеристику ситуации аналитик информационной безопасности "ЕВРААС - Информационные технологии" и член АРСИБ Евгений Шаповалов.

О несовершенстве законодательства и правоприменительной практики говорит и потенциальный юридический казус, возможно, вытекающий из практики российского разработчика антипиратского софта Pirate Pay, который позиционируется как "убийца торрентов" и получил "посевное" финансирование от Microsoft. Во всяком случае, по мнению бывшего вице-президента BitTorrent Inc. Джона Петита, проект работает по принципу организаторов DDoS-атак. А его тактика похожа на подмену трафика, чтобы выводить из строя торрент-клиенты и провоцировать отключения. Так что, как ни странно, новая технология защиты авторских прав может оказаться эффективной, но юридически небезупречной.


Удаленный доступ

Помимо DDoS-атак, киберпреступников все больше интересуют системы дистанционного банковского обслуживания. "Хакеры четко понимают, что в настоящее время мошеннические действия, связанные с работой банковской системы, принесут им гораздо большие дивиденды, нежели что-то другое. А если добавить к этому еще и сложности выявления мошенничества и явные "дыры" в законодательстве многих стран, включая и Россию, то на выходе мы получим очень благодатную почву для процветания киберпреступности. Для примера можно привести обычную у хакеров услугу - взлом почтового ящика. Сегодня она стоит всего 3000-5000 руб., - рассказывает генеральный директор компании Avanpost Андрей Конусов. - При этом не нужно никуда ходить, никого искать. Нужно лишь выйти в Интернет, сформулировать поисковый запрос - и на первом же сайте наверняка найдутся предложения. Такая простота еще раз подтверждает, что за развитием киберпреступности, к сожалению, не поспевают ни законодательство, ни органы, призванные с этой преступностью бороться. Безусловно, борьба ведется, но реальное наказание получают далеко не все виновные".

"Наибольший интерес у злоумышленников вызывают преступления, связанные с мошенничеством с денежными средствами, то есть атаки на системы интернет-банкинга, хищение электронных денег и т.д., - считает Игорь Корчагин. - По заявлениям представителей УЭБ ГУ МВД, в Москве в 2011 г. было выявлено около 60 особо крупных хищений денежных средств, а с начала 2012 г. - уже более 20. Одной из наиболее известных ботнет-сетей в мире, ориентированных как раз на работу с системами интернет-банкинга и электронных денег, является ZeuS. Она существует с 2007 г., и ею заражено более 3,6 млн компьютеров, жертвой этого ботнета стали 960 банков. Стоимость его последней версии составляет от $3000 до $10 000 (за $10 000 получается полный контроль над зараженным компьютером), при этом ущерб от ботнета ZeuS превышает $100 млн в год. В России активное распространение получил другой его аналог - ботнет Carberp".

Именно на Carberp работала в последнее время действовавшая с 2009 г. хакерская группа Hodprot, участники которой недавно задержаны в Москве. Программы, приводившие к несанкционированному копированию информации с других компьютеров, размещались на различных сайтах и предназначались для незаметного проникновения и установки в компьютерах пользователей. Они в автоматическом режиме осуществляли поиск программного обеспечения дистанционного банковского обслуживания и копирование с него информации. Затем в банки направлялись поддельные платежные поручения якобы от имени владельцев банковских счетов, а получателями средств указывались юридические и физические лица с реквизитами, используемыми мошенниками. В дальнейшем похищенные деньги перечислялись на банковские пластиковые карты и обналичивались через банкоматы.

Установлена причастность задержанной группы к хищениям у клиентов Сбербанка денежных средств на сумму более 13 млн руб. и у клиентов других коммерческих банков - более чем на 110 млн руб. Задержание проводилось в рамках уголовного дела, возбужденного по фактам хищений денежных средств через систему "Клиент-Сбербанк" у клиентов "Сбера". Например, в декабре 2011 г., "заразив" вирусом компьютер главного бухгалтера одной из московских компаний и скопировав информацию о способах и средствах удаленного доступа по управлению расчетным счетом фирмы, злоумышленники направили в банк фальшивое платежное поручение и похитили у юрлица более 750 000 руб. За последние три месяца число организованных преступных групп, работающих в сегменте интернет-банкинга в России, сократилось, как считают некоторые эксперты, с 6 до 4.


Словарик киберкриминала

APT-атака - новый вид хакерских атак с применением методов социальной инженерии (от англ. anti-persistent threat)

DDoS-атака - распределенная атака типа "отказ в обслуживании" (от англ. distributed denial of service attack)

Кардинг - вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчетных систем, а также с персональных компьютеров.

Кейлоггер - программа - клавиатурный шпион

Скимминг - кража данных карты при помощи специального считывающего устройства (скиммера). Злоумышленники копируют всю информацию с магнитной полосы карты. Узнать PIN-код можно с помощью мини-камеры или накладок на клавиатуру, установленных в банкоматах.

Сниффинг - перехват пакетов данных, передающихся между двумя компьютерами.

Фишинг - создание мошенниками сайта, который будет пользоваться доверием у пользователя, например сайта, похожего на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.