Новостной радар Anti-Malware.ru. Выпуск 2, октябрь 2012

Новостной радар Anti-Malware.ru. Выпуск 2, октябрь 2012

Новостной радар Anti-Malware.ru приступает к обзору событий второй недели октября. Сегодня в нашем выпуске – киберкриминальная хроника: массовые убийства, воровство, шпионаж и прочие формы деятельности сетевых преступников. Только для крепких нервами читателей Anti-Malware.ru старше 18 лет; не говорите потом, что мы вас не предупреждали...

 

 

Карта Новостного радара


Просмотреть Новостной радар - Выпуск 10 на карте большего размера 

 

Кража со взломом

Российские и зарубежные пользователи Skype подверглись массированному разбойному нападению со стороны вредоносного программного обеспечения. В России пользователям от имени их друзей приходили ссылки на разнообразные инфекции, а за рубежом рассылались фальшивые письма от Skype с «уведомлением об изменении пароля».

В первом случае наивных жертв терпеливо поджидал вирус-грабитель, вторгавшийся в системную папку %AppData% и похищавший изо всех укромных углов системы учетные данные к онлайн-сервисам – например, YouTube или Gmail. Любопытно, что в списке присутствует Letitbit; обычно удостоверения от файловых хранилищ не пользуются большой популярностью у злоумышленников. По-видимому, автор вируса очень хотел что-то скачать оттуда на максимальной скорости. Была в инфекции и бэкдор-составляющая, которая позволяла вводить компьютер пользователя в бот-сеть и использовать его для проведения DDoS-атак. Помимо Skype, вирус умел распространяться через социальные сети и съемные носители. В общем, привычная для нынешних времен картина: то ли троян, то ли червь, то ли бэкдор... хорошо хоть не классический вирус.

Во втором варианте пользователя любезно перенаправляли на мошеннический  ресурс, предназначенный для относительно нечестного отъема учетных данных. Вредоносное письмо, судя по иллюстрациям, составлялось тщательно, со знанием дела, поэтому получилось довольно правдоподобным. По некоторым сообщениям, отдельные ссылки в таких письмах тоже вели на разнообразные инфекции, хотя основной их задачей все же был вышеупомянутый фишинг.

«Спам-боты на основе Skype. Это должно было случиться и случилось», - уверен эксперт Anti-Malware.ru Илья Рабинович. – «Довольно-таки логичный шаг со стороны киберпреступников. Эффективность спам-рассылок с вредоносным контентом снижается за счёт повышения эффективности анти-спама и интеграции данного вида решений с почтовыми серверами, а сами бот-сети, рассылающие спам, блокируются либо управление ими перехватывается. Так что переход спама туда, где нет пока эффективных защитных механизмов, вполне логичен. Ждём продолжения этой истории!»

 

Китайский шпион

Соединенные Штаты наконец поставили точку в долгом споре с самими собой относительно того, стоит ли доверять крупным китайским производителям электроники ZTE и Huawei. Ответ, оформленный в виде решения Конгресса, оказался отрицательным: отныне американским компаниям запрещается заключать контракты с названными выше фирмами.

В отличие от российских чиновников, о которых Новостной радар писал на прошлой неделе, американцы хорошо знают значение слов «потенциальный противник» и относятся к ним вполне серьезно. Некоторое время назад ведущие экспортеры демократии внезапно осознали, что в связи с массовым вывозом реального сектора экономики в Азию весьма значительная доля элементной базы их электроники изготовлена в Китае, а производители из Поднебесной еще и участвуют в конкурсах на право заключения соответствующих поставочных контрактов. Военные и разведчики незамедлительно забили тревогу: мало того, что для космических запусков приходится пользоваться услугами России, так еще и чипы для собственной аппаратуры приходится получать у китайских коммунистов – право слово, так и до утраты суверенитета недолго.

В свою очередь, поскольку американцы уверены, что в Китае тоталитарная диктатура (так они называют любой государственный строй, суть которого недоступна их пониманию), то за спинами ZTE и Huawei им видится зловещая тень китайского политбюро. В частности, чиновники США уверены в наличии тесных связей между Huawei и Народно-освободительной армией Китая, что автоматически превращает компанию во вражеского агента и исчерпывает любой лимит доверия к ней.

Китайцы, естественно, отрицают все подобные обвинения (в конце концов, было бы странно, если бы они признали их истинность). Впрочем, учитывая китайский менталитет, можно с большой долей уверенности предположить, что государство действительно принимает некоторое участие в работе ZTE и Huawei, а, значит, основания для беспокойства у американцев имеются. Но, так или иначе, принципы госбезопасности все равно требуют, чтобы используемая на особо важных объектах электроника была собственного, внутреннего производства.

 

Резня бензопилой в Оргриммаре

В понедельник глазам участников многопользовательской онлайн-игры World of Warcraft предстало кошмарное зрелище: на улицах виртуальных городов лежали горы бездыханных тел. Все население определенных локаций было в одночасье уничтожено, причем умерщвлению подверглись как управляемые компьютером, так и пользовательские персонажи, которым не повезло оказаться поблизости.

Очевидцы утверждают, что наблюдали в этих местах игроков первого уровня, вокруг которых погибало все «живое», хотя никаких действий эти персонажи не совершали. По-видимому, именно такие сообщения и породили версию об обнаружении изъяна в коде игры, который позволил нескольким хакерам учинить геноцид. Де-факто ее поддержала и сама Blizzard, представитель которой сообщил на форуме Battle.net об «экстренном исправлении уязвимости».

В принципе причиной происшествия мог оказаться и обычный сбой в игровом продукте, тем более что буквально за несколько дней до этих событий компания выпустила масштабное дополнение к World of Warcraft (а крупные аддоны, как показывает опыт ряда производителей, часто нарушают работоспособность основного приложения даже в тех аспектах, которые не имеют к ним прямого отношения), однако и версия хакерства остается вероятной. В любом случае жизнь и смерть виртуального персонажа – это, как правило, всего лишь одно из значений переменной типа boolean, так что технически устроить такую «резню» относительно несложно. В некоторых игровых программах для этого достаточно просто ткнуть в персонажа курсором и написать в консоли управления команду kill.

«Игровые миры - не объекты стратегической важности. Поэтому защищаются весьма посредственно. И, по большому счёту, принимая лицензионное соглашение, Вы снимаете с компаний-производителей игр всякую ответственность», - подчеркивает эксперт Anti-Malware.ru Валерий Ледовской. – «И то, что многие игроки онлайновых игр отождествляют себя с виртуальными персонажами - это их личные трудности. При этом "смерть" персонажей, даже в больших масштабах - это не так страшно. Это, всё же, больше похоже на программную ошибку. Вряд ли это был взлом, т.к. не видно прямой материальной выгоды тем, кто мог это совершить. В таких играх персонажи обычно восстанавливаются в определённом месте, через некоторое время или мгновенно, с некоторыми потерями по виртуальным деньгам или другим параметрам или без этого, и игра продолжается дальше. Страшнее, когда взламываются игровые аккаунты, ведь к ним часто привязываются банковские карты со вполне реальными деньгами. У меня самого 2 недели назад взломали аккаунт в системе Origin, принадлежащей компании Electronic Arts, хотя пароль был достаточно стойким. И до сих пор аккаунт не восстановлен. Удалось лишь отправить письмо англоязычной техподдержке на их электронную почту с нового, специально зарегистрированного для этого аккаунта. Но ответа до сих пор нет. Пользуясь случаем, передаю EA привет. В целом же, крупные компании мало волнует, по моему опыту, судьба отдельных пользователей, поэтому взломы и глобальные проблемы с серверами/скриптами будут периодически происходить. Разве что страны начнут законодательно повышать ответственность производителей таких онлайн-сервисов за сохранность пользовательских данных, даже если это уникальный меч персонажа World of Warcraft».

 

Кража без взлома

В Японии произошла крупная утечка пользовательских данных. В сентябре в магазине Google Play появилось приложение для операционной системы Android, установка которого позволяла пользователю получить доступ к адресным и телефонным справочникам крупных телекоммуникационных компаний островного государства. Встроенное сетевое взаимодействие допускало также и обмен данными между абонентом и другими пользователями той же программы. По имеющейся информации, произошел некий сбой, в результате которого вся клиентская база общим объемом в 760 000 записей временно оказалась доступна любому владельцу копии данного приложения.

Теперь создателя программы обвиняют в несоблюдении конфиденциальности пользовательских данных; он, в свою очередь, ссылается на лицензионное соглашение, принятием которого клиент разрешает «использовать» сведения о себе. Представители компании NetAgent, которая обнаружила утечку, не согласны с разработчиком; по их мнению, такая формулировка не разъясняет владельцам приложения весь спектр потенциальных проблем, связанных с возможной утечкой информации. Что ж, по крайней мере, у автора программы не было злого умысла... но от ответственности это, как известно, не освобождает.

«Если власти спустят оператору эту утечку, будет опасный прецедент», - говорит главный аналитик InfoWatch Николай Федотов. – «Все другие операторы также станут писать в своих договорах присоединения (которые почти никто не читает, а если б и читали, то всё равно принимали бы) пункт о "согласии на передачу другим пользователям" или другую хитрую формулировку, которая покрывает случай утечки. Так, на всякий случай, мало ли что. Но когда утечка покрыта, и ответственности нет - можно и не защищаться от утечек; зачем лишние деньги тратить? Поэтому ответственность оператор должен понести независимо от того, что там в договоре написано».

 

Я тебя найду!

Совместное исследование британских и немецких ученых позволило разработать методику, благодаря которой потенциальный злоумышленник может с высокой степенью точности определить местонахождение абонента в сети мобильной связи третьего поколения. Для этого используется все та же старая добрая поддельная станция, которая притворяется вышкой связи и пропускает через себя данные, передаваемые и получаемые телефоном.

В сетях 3G устройству пользователя присваивается периодически обновляемый временный идентификатор, который выступает в качестве замены постоянного и тем самым повышает уровень безопасности. Однако для исследователей это не стало преградой: оказалось, что при определенных условиях постоянный идентификатор можно вычислить, что в конечном счете и открывает путь к позиционированию абонента. Кроме того, ученые смогли перехватить и использовать аутентификационные параметры целевого устройства вкупе с сессионным ключом; перенаправление этих данных на все телефоны и планшеты в пределах доступа дает определенный отклик от искомого устройства, что позволяет идентифицировать и отслеживать его.

Сети GSM и все надстройки над ними неоднократно подвергались критике со стороны специалистов по безопасности. Несмотря на наличие определенных защитных контуров (и порой довольно весомых), вскрытие их систем безопасности порой оказывается довольно тривиальной задачей для знающего специалиста. Все чаще для атак на сотовые сети используются фальшивые станции, отличить которые от настоящих мобильное устройство не может. Все это в сочетании с относительной легкостью перехвата данных, передаваемых «по воздуху», делает мобильную связь практически непригодной для ведения сколь-либо конфиденциальных переговоров. Эксперты рекомендуют либо использовать более защищенные каналы связи, либо применять шифрование данных и вызовов на уровне телефона или планшета.

***

На этом наша сегодняшняя криминальная хроника завершается. Новостной радар ждет вашего возвращения ровно через неделю; следите за новостями и будьте начеку – в Интернете нынче опасно.

До новых встреч!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru