Компания Symantec объявила о выпуске отчета по безопасности MessageLabs Intelligence 2008. Этот ежегодный отчет указывает на то, что 2008 год стал переломным годом с точки зрения кибербезопасности, так как революционные усовершенствования вредоносного программного обеспечения и методов спама наложили свой отпечаток на теневую экономику.
В феврале 2008 года общий уровень спама достиг 82,7%, а средний уровень за год составил 81.2 против 84,6% в 2007 году. 90% всего спама распространялось бот-сетями, включая знаменитую сеть Storm (Peacomm), которая появилась на горизонте угроз в начале 2007 года и почти исчезла к концу текущего года, уступив место конкурирующим бот-сетям, таким как Srizbi и Cutwail (Pandex), пока меры, предпринятые сообществом в сентябре и ноябре, не привели к закрытию двух ISP в США, обвинявшихся в размещении командно-управляющих каналов некоторых крупнейших бот-сетей, включая Mega-D (Ozdok) и Srizbi, ответственных за 50% всего спама. Все пострадавшие сети, за исключением Srizbi, передислоцировались, так что уровень спама восстановился почти до тех же значений, что и до закрытия, а отсутствие Srizbi восполнили конкурирующие бот-сети, такие как Cutwail и Rustock.
В 2008 году спамеры начали распространять спам через крупные, уважаемые службы веб-почты и приложений, обманывая механизм CAPTCHA (полностью автоматизированный открытый тест Тьюринга по распознаванию людей и машин) с целью создания большого числа персональных учетных записей в этих службах. В январе из таких учетных записей веб-почты исходило 6,5% всего спама, а в сентябре доля этих источников достигла 25%, так что средний показатель за год составил 12%.
«2008 год стал важным годом для индустрии безопасности, когда появлялись новые угрозы и ужесточались старые, в то время как интернет стал еще более сложным, а его пользователи – более подготовленными, — говорит главный аналитик MessageLabs по безопасности Марк Саннер (Mark Sunner). —Преодоление механизмов защиты CAPTCHA стало одним из эффективнейших способов распространения спама, и сайты бесплатной веб-почты и социальных сетей, для доступа к которым требуются персональные учетные записи, стали источником широкого потока спама».
В 2008 году получили распространение сложные вредоносные веб-программы, нацеленные на сайты социальных сетей и уязвимости легитимных веб-сайтов, что привело к установке вредоносного ПО на компьютеры без вмешательства пользователей. Число новых зараженных веб-сайтов, появляющихся каждый день, выросло с 1068 в январе до максимального значения в ноябре, составившего 5424. Среднее число ежедневно блокируемых новых веб-сайтов выросло в 2008 году до 2290 с 1253 в 2007 году – главным образом из за усилившихся атак с применением методов SQL-инъекции.
В 2008 году веб-атаки стали более популярными, а атаки через e-mail участились по сравнению с 2007 годом на 0,15%. Если в 2007 году вредоносным было одно из 117,7 сообщений (0,85%), то в 2008 — одно из 143,8 сообщений e-mail (0,70%). При этом появились две новые тенденции в способах атак. В этом году служба MessageLabs Intelligence зафиксировала рост числа перехваченных целенаправленных троянских атак до 53 в день, причем их пик пришелся на апрель, когда это число составило 78 атак в день. В 2005 и 2006 году каждый день фиксировалась одна-две таких атаки, а в начале 2007 года их число увеличилось до 10 атак в день.
«Web 2.0 предоставляет злоумышленникам неограниченные возможности для распространения своих вредоносных программ – от создания фиктивных учетных записей в социальных сетях до фальшивых видеороликов — и в 2008 году угрозы, нацеленные на социальные сети, стали вполне реальными, — продолжает Саннер. — Web 2.0 опирается на генерируемый пользователями контент, и спамеры пользуются этим. Способность приспосабливаться к новым носителям и подбрасывать жадному на информацию пользователю привлекательный контент типа “лекарства от всех болезней“, чтобы тот активизировал его, — один из главных талантов киберпреступников, который позволяет им успешно превращать мошенничество в полномасштабную бизнес-модель, действующую в теневой экономике».
Рост популярности угроз подобного рода за прошедший год можно проиллюстрировать следующим примером: в конце июля была осуществлена целенаправленная троянская атака, нацеленная против фирмы, участвующей в организации Олимпийских игр, в результате чего в компьютер жертвы был внедрен вредоносный код, спрятанный во вложенном в электронное сообщение файле и использующий JavaScript для установки на компьютер исполняемой программы. Эта программа была передана нескольким спортивным организациям и представителям спортсменов стран-участниц. В результате другой атаки, предпринятой с целью корпоративного шпионажа, известной фирме под видом жалобы на получателя было подброшено сообщение, в котором содержалось почти 900 целевых «троянских коней», предназначенных для высших руководителей этой организации во всем мире.
К концу 2008 года кризис кредитной системы привел к множеству новых атак, нацеленных на финансовые организации: спамеры и мошенники пытались использовать панику и неопределенность, вызванные событиями на Уолл-стрит и во всем мире.
Вредоносные боты и социальные сети
В течение 2008 года бот-сети были источником 90% всего спама и стали причиной роста доли переносимых электронной почтой ссылок на вредоносные программы, размещенные на веб-сайтах злоумышленников. В феврале эта доля достигла 61,1%, причем 96% всех перехваченных ссылок исходили из сети Storm.
Перед исчезновением Storm последние атаки этой сети содержали новую разновидность спама, появившуюся в июле 2008 года. В нем сообщалось о кончине той или иной знаменитости и давались ссылки на сайты, посещение которых приводило к инсталляции Antivirus XP 2008 — фальшивой антишпионской программы, способной устанавливаться без вмешательства пользователя. Эта программа якобы выполняет сканирование компьютера, предлагая за деньги удались ряд инфекций.
После ликвидации Storm ссылки на эту вредоносную программу рассылались другими бот-сетями, в том числе Srizbi, Rustock и Mega-D. Треть всех вредоносных ссылок, зафиксированных в июле, была связана с Antivirus XP 2008, и к августу ссылки на источники «троянских коней», устанавливающих фальшивую антишпионскую программу, содержали 64% всех вредоносных сообщений, главным образом фиктивных поздравительных открыток.
Еще одним любимым занятием киберпреступников в 2008 году стало распространение вредоносных программы через сайты социальных сетей, что в некоторой мере наблюдалось уже в конце 2007 года. В частности, в этом году стала популярной тактика создания фиктивных профилей пользователя на сайтах социальных сетей и их использования для размещения вредоносных ссылок и обмана других пользователей. Спамеры размещают комментарии на страницах друзей обманутых пользователей и рассылают сообщения их контактам. Эти сообщения используются главным образом для распространения спама, в том числе ссылки на спамерские сайты, действующие под видом онлайновых аптек. Получив доступ к профилям легитимных пользователей, мошенники собирают персональную информацию для атак на других пользователей, создавая хаос.
Наконец, в 2008 году фишинг претерпел некоторые изменения, в результате которых широкое распространение получили фишинговые атаки из специализированных бот-сетей. Хотя интенсивность фишинговых атак в течение года изменилась незначительно, целенаправленные атаки стали более широкими и в дополнение к финансовым учреждениям охватили агентства по трудоустройству и онлановые магазины. Ожидается, что в 2009 году число специализированных банковских «троянских коней» увеличится еще больше.
Основные тенденции 2008 года
· Веб-безопасность: В 2008 году среднее число новых вредоносных веб-сайтов, блокируемых за день, выросло до 2290 против 1253 в 2007 году; рост на 82,8% произошел главным образом за счет увеличения числа атак с использованием метода SQL-инъекций.
· Спам: В 2008 году средний уровень спама составил 81,2%, уменьшившись на 3,4% по отношению к уровню 2007 года в 84,6%. В текущем году большая часть спама состояла из чисто текстовых или HTML-сообщений, и все большая его часть исходила от известных поставщиков услуг веб-почты и приложений.
· Вирусы: Средний уровень вирусов в 2008 году составил одно из 143,8 сообщений (0,70%), что на 0,15% меньше, чем в 2007 году, когда средний уровень составлял одно из 117,7 сообщений (0,85%). Снижение уровня можно объяснить переходом к распространению вредоносных программ с использованием в качестве основного способа заражения контента, размещаемого на веб-сайтах, и попутных загрузок вместо завлекающих сообщений e-mail.
· Фишинг: В 2008 году число фишинговых атак составило одну на 244,9 сообщений e-mail (0,41%) против одной атаки на 156 сообщений e-mail в 2007 году. Пик активности фишеров пришелся на февраль, когда одно на каждые 99,1 электронных сообщений было фишинговым. Этот всплеск был вызван увеличением числа предлагаемых комплектов фишинговых инструментов plug-and-play и ростом использования для фишинга специализированных бот-сетей.
Годовой отчет MessageLabs Intelligence содержит более подробные сведения обо всех перечисленных выше тенденциях и дополнительные цифры, а также более детальное описание тенденций 2008 года. Полный текст отчета находится на странице http://www.messagelabs.com/Threat_Watch/Intelligence_Reports.
