Новостной радар Anti-Malware.ru. Выпуск 2, август 2012

И снова здравствуйте! В эфире Новостной радар Anti-Malware.ru, выпуск второй. В сегодняшнем обзоре событий мы вновь будем вспоминать о наиболее популярных новостях недели - свежем кибероружии, неуловимом бутките, новых продуктах и решениях вендоров и многом другом. Данные нашего радара прокомментируют и разъяснят компетентные эксперты в области информационной безопасности. Все уже готово; мы ждем только вас...

 

Карта Новостного радара



Просмотреть Карта Новостного радара Anti-Malware.ru на карте большего размера

 

Метод Гаусса

Как мы и обещали, сегодняшний обзор начинается с известий о новом банковском троянском коне Gauss, которого обнаружила на территории нескольких ближневосточных стран «Лаборатория Касперского». Эта инфекция имеет явные черты родства с Flame, но снабжена способностью воровать учетные данные для онлайн-банкинга – чего ранее ни одно кибероружие не умело (в чем, собственно, и состоит ее уникальность). В Gauss несколько модулей, каждый из которых вирусописатели поименовали в честь великих математиков прошлого; несколько странно, что «Лаборатория Касперского» как будто отошла от неписаного правила вирусного анализа, которое запрещает давать вирусам имена, придуманные их создателями.

Помимо своей воровской сущности, Gauss умеет многое из того, что характерно для современного кибероружия: скрытный шпионаж, изъятие пользовательских паролей, связь с серверами управления и т.п. Не случайно аналитики «Лаборатории Касперского» нашли у него множество сходств с Flame – да и обнаружен-то он был, откровенно говоря, во многом именно благодаря этому. В то же время у Gauss иной ареал и другое количество жертв – порядка 2500 вместо 700 у Flame. «Точечность» кибероружия словно бы уступила место всеохватности обычной финансово ориентированной инфекции... право слово, такое впечатление, что у спецслужб закончились деньги, и они решили немного подзаработать. Или же, быть может, Flame был одним из первых, своего рода опытным образцом, а теперь его создатели приступают к выпуску более сложных и комплексных решений, которые помимо обычного шпионажа могут обеспечить оператора сведениями о банковских счетах цели и передвижении средств по ним.

«Несмотря на большое количество опубликованных данных о сходстве между Gauss и Flame не только на уровне кода, но и в организации работы управляющих серверов - ряд экспертов и журналистов высказали сомнения в том, что Gauss имеет отношение к кибероружию и тесно связан с Flame», - дополняет свой комментарий о Gauss эксперт Anti-Malware, ведущий антивирусный эксперт «Лаборатории Касперского» Александр Гостев. - «В этой связи могу сообщить, что в нашем исследовании, опубликованном на Securelist.com, мы умышленно оставили не раскрытой информацию еще об одном модуле, работавшим под управлением Gauss. В настоящий момент мы заканчиваем его анализ и в скором времени представим эти данные. Надеюсь, что после этого вопросов о наличии связей между Flame и Gauss, не останется. Кроме того, хотелось бы акцентировать внимание на продолжающих оставаться «белыми пятнами» проблемах Гаусса – неизвестный зашифрованный модуль, к взлому которого мы приглашаем всех специалистов в криптографии, неизвестный способо распространения Gauss и непонятно зачем устанавливаемый шрифт Palida Narrow».

Кстати, таинственный шрифт, о котором идет речь, - само по себе довольно интересное явление. Высказывались даже предположения, что с помощью этого шрифта эксплуатируется какая-то неведомая уязвимость в операционных системах Windows. Так или иначе, шрифт оказался специфическим маркером Gauss – выпущенные бесплатные инструменты для его ликвидации ориентируются именно на Palida Narrow. Есть шрифт – значит, есть и Gauss.

«На фоне текущих новостей большинства антивирусных компаний по поводу уже ставших привычными троянцев, ориентированных на получение преступных доходов, получаемых напрямую или косвенно от пользователей-жертв появляется всё больше сообщений о таких вредоносных программах как Stuxnet, Flame, Gauss», - говорит независимый эксперт Anti-Malware.ru Валерий Ледовской. – «О подобных вредоносных программах сообщают всего несколько производителей защитных программных продуктов, и тому есть объективные причины.

Основная причина - противостояние в кибер-пространстве между авторами таких троянцев и тех, кто пытается противостоять их распространению, происходит на более высоком технологическом уровне, а также даже и в политическом русле. Например, сейчас ведётся информационная кампания против «Лаборатории Касперского», которая, по мнению некоторых экспертов, является реакцией на то, что эта антивирусная компания, противодействуя вредоносным программам класса APT, мешает определённым странам вести информационную войну нового поколения. Не каждая компания может позволить себе пойти против подобной машины чёрного пиара.

С другой стороны, анализ новостей "Лаборатории Касперского" по поводу этого ряда вредоносных программ показывает, что изучать их становится всё труднее. Создатели Gauss, например, зашифровали часть полезного кода, для расшифровки которого, потребуется вычислительные мощности суперкомпьютеров, которые могут и не справиться с поставленной задачей. Если, конечно, не будет случайно найдены особенности, которые позволят производить не полный перебор».

«Также появляются проблемы даже с обнаружением таких вредоносных программ»,
- продолжает развивать мысль эксперт. – «Как видно из новостей, троянец Gauss был обнаружен только лишь потому, что его код похож во многом на код Stuxnet и Flame. А сколько подобных непохожих на Flame программ может распространяться, причём распространяться адресно? Для решения этой проблемы даже такие крупные компании, как "Лаборатория Касперского", вынуждены идти на сотрудничество с Международным союзом электросвязи и другими организациями, получать в распоряжение для анализа всё больше глобальных источников информации, работать совместно с правоохранительными органами разных стран.

Вполне вероятно, что в будущем нас ждёт мировая кибер-война, на различных фронтах которых будут выступать сотрудники спецслужб, разрабатывающих новые вредоносные программы и схемы неавторизованного доступа к информации и к управлению объектами инфраструктуры других стран, а с другой стороны - сотрудники антивирусных компаний, которые будут вынуждены работать в сотрудничестве с такими же сотрудниками спецслужб, которые пишут ответные программные средства противодействия.

На этом уровне вредоносные программы, информация о незакрытых уязвимостях в программном обеспечении становятся оружием, и их создание в рамках глобальной кибер-войны между государствами уже воспринимается не так однозначно, как вредоносное. Вполне вероятно, скоро для подобных программ придумают другой термин, в котором не будет прилагательного "вредоносный". Как может на службе у государства стоять "вредоносная программа"? Она же стоит на страже нашей независимости этого государства. Будут изобретаться термины вроде "программный комплекс кибер-противодействия" или что-то другое, чтобы в сознании общественности вредоносные программы, создаваемые государствами не носили отрицательную окраску. Всё это станет таким же привычным, как уже сегодня считается вполне нормальным сообщать об уязвимостях в бот-сетях, созданных с помощью коммерческих инструментов.

И всё это было бы интересно и воспринималось бы как научная фантастика, если бы мы уже сейчас не наблюдали зачатки мировой кибер-войны. Всё это было бы интересно, если не было бы страшно».

Стоит, впрочем, заметить, что для людей, не связанных непосредственно с информационной безопасностью,  понятие кибероружия (да и кибервойны в целом) – это в лучшем случае громкое маркетинговое слово, а в худшем – и вовсе предапокалиптическая терминология в духе катренов Нострадамуса. В этом отношении довольно симптоматично, что одно из самых заметных отечественных электроСМИ – ресурс Lenta.ru – назвал новость о Gauss банальнее некуда: «Лаборатория Касперского» нашла еще один вирус на Ближнем Востоке». «В Тихом океане появилась новая волна», - говаривал Интернет-аноним о таких заголовках. Хотелось бы надеяться, что со временем отношение к кибероружию придет к соответствию реальному уровню угрозы.

 

Panda в облаках 2.0

Panda Security обновила свой облачный антивирус до второй версии, о чем мы сообщили в прошлую пятницу. Этот продукт предназначен для домашних пользователей и предлагается в двух версиях – платной и бесплатной. Решение совместимо с актуальными сборками Windows 8.

Вообще говоря, испанцы связывают с облаком большие надежды: они уже довольно давно называют себя The Cloud Security Company, прозрачно намекая тем самым на магистральное направление своих маркетинговых стратегий. В новой версии своего продукта разработчики перевели некоторые возможности из платной версии в бесплатную, а также внесли ряд дополнений и улучшений – например, в составе программы появился интеллектуальный брандмауэр. В компании особо подчеркивают низкое влияние продукта на производительность системы, что и неудивительно для решения такого типа.

Основные игроки, кстати, ограничиваются пока гибридными продуктами: их защитные программы – это скорее традиционные антивирусы с элементами облачных технологий. Полностью уходить в облако решаются немногие, и пока не совсем ясно – то ли это смелые первопроходцы, опережающие свое время, то ли мечтатели, увлеченные заведомо бесперспективным направлением. К сожалению, пока ни то, ни другое не сказывается положительно на доле рынка. Очевидно одно: пока еще мир не готов к полностью облачным решениям (хотя бы потому, что для таковых обычно требуется надежное и скоростное Интернет-соединение), но вполне вероятно, что в дальнейшем это направление может стать доминантным.

«Мода формирует наше мнение не только относительно стиля одежды, машин и гаджетов, но касается даже и антивирусов», - убежден эксперт Anti-Malware.ru, директор по развитию компании «Амрита» Михаил Орешин. - «Католичество — это круто!», как говорили в «Догме». «Облака – это модно!», говорим мы сейчас. Действительно, про облака сейчас слышали практически все, спасибо СМИ. То есть по сути получилась отличная маркетинг-булшит синергия - страх перед злобными вирусами, порабощающими планету с одной стороны, и светлое облачное будущее с другой. Что еще сейчас модно? Безусловно социальная составляющая. Панда использует не менее модный тренд - краудсорсинг (коллективный разум). Понятно, что он не настолько сильно раскручен и не на устах у каждого, но для «продвинутых хипстеров» терминология понятна. Итак что в итоге: боремся с хакерами в облаках с помощью краудсорсинга и социалки. Отлично! Подам сейчас запрос («идею») по интеграции с Instagram  и Path. Больше ада, в смысле, больше Like-ов.

PS Да, сам продукт я попробовал… Ну продукт как продукт, все понятно, вроде под рукой, кнопочка Like есть, но при чем тут облако?».

«С выходом Smart Protection Network, компания Trend Micro категорично заявила, что в скором времени останутся только облачные антивирусы, а все остальные останутся за бортом истории, так как не смогут справиться с лавинообразным ростом числа угроз», - говорит эксперт Anti-Malware.ru, генеральный директор компании «Прикладная Логистика» Михаил Кондрашин. – «Учитывая стоимость облачной инфраструктуры, такой сценарий развития событий оставлял шанс только лидерам рынка, но успехи на этом поприще компаний второго эшелона опровергает подобный вывод. Также нахожу весьма значимым, что разработчики нового продукта уделили внимание очистке от последствий заражения, что зачастую не является приоритетом для разработчиков продуктов, делающих ставку именно на облачную компоненту».

Что ж, пожелаем Panda Security дальнейших успехов в покорении облаков.

 

Зайдем с другой стороны

Некоторое время назад американское государство пыталось принять закон с идентификатором S 3414, известный также как Cybersecurity Act. К сожалению или к счастью, закон потонул в недрах парламента, став жертвой разногласий между двумя основными партиями США.  Проекту не хватило сущей малости – восьми голосов сенаторов. Инициаторы и сторонники его принятия были, несомненно, огорчены, однако не утратили волю к борьбе: в субботу мы говорили о том, что взамен упомянутого акта президент Барак Обама может издать некий особый указ – основу для будущего законодательства в этой сфере.

В рамках законопроекта предполагалось обеспечить взаимодействие между федеральными ведомствами и частными компаниями при расследовании киберинцидентов; кроме того, могли быть расширены полномочия министерства внутренней безопасности в области контроля безопасности систем SCADA.

Атаки против SCADA-систем с недавних пор являются одним из основных страхов, которые преследуют официальных лиц США самого различного уровня (в том числе и самого президента). Поскольку во имя удобства работы эти системы подключены к Интернету, существует вероятность, что какой-либо особо злобный хакер сможет проникнуть в системы управления инфраструктурными объектами и навредить им. Для современных людей, которые даже электричество и воду не могут подать в дома без компьютеров и информационных технологий, подобная угроза может казаться вполне серьезной.

Критика законопроекта, впрочем, заключалась не в относительной степени опасности таких происшествий, а в потенциальной неэффективности: высказывались мнения, что закон не окажет никакого фактического влияния на безопасность SCADA-систем. Тем не менее, сторонники проекта, похоже, считают, что любой правовой акт лучше отсутствия такового. Не сумев добиться поддержки законодательной власти, они рассчитывают теперь на власть исполнительную. С этим проблем не будет – президент является сторонником соответствующих мер и вряд ли будет возражать против подписания такого указа.

Остается лишь добавить, что Белый дом косвенно подтвердил данную информацию, сообщив, что вопрос об издании указа рассматривается президентом.

 

Эпизод 1. Скрытая угроза

Французский исследователь по имени Джонатан Броссар написал новую страницу в истории вредоносных программ, способных поражать базовую систему ввода-вывода (т.е. BIOS). Внесение изменений в эту микропрограмму – неплохой способ обеспечить тайный запуск инфекции, и создатели разного рода буткитов проявляют к нему вполне определенный интерес. Если злоумышленнику удается обеспечить старт вредоносного кода еще до того, как запустится операционная система со всеми ее защитными решениями, то вирус получит решающее преимущество – обнаружить и уничтожить его будет весьма сложно.

Основное отличие концепт-вируса под названием Rakshasa от множества его «коллег» состоит в одном специфическом умении: подгружать вредоносный код в оперативную память удаленно, через Интернет. Таким образом, если ранее опасные программы все-таки хранились резидентно - записывались в загрузочный сектор жесткого диска, - то теперь их будет не найти и там. Инфекция не оставит практически никаких следов, за которые можно было бы зацепиться при исследовании компьютера. Поэтому некоторые специалисты считают такой вирус особо опасным – в том числе с учетом необходимости последующей перепрошивки BIOS. Кстати, Rakshasa совместим с более чем двумястами моделями материнских плат. Хорошо поработал француз, ничего не скажешь.

Пока основной защитой пользователей остается главным образом тот факт, что Rakshasa – это лабораторный концепт для демонстрации потенциального изъяна. Однако особенно рассчитывать на его вечное сохранение в тайне, скорее всего, не приходится. Речь, естественно, не о том, что автор-исследователь будет продавать свое изобретение злоумышленникам, а о том, что узнавшие о событии вирусописатели примутся вести свои разработки в этом же направлении. Как говорят многие программисты, «если он смог – то и я смогу». Да и утечка информации полностью не исключена, хоть и маловероятна.

Буткиты, как правило, представляют определенную сложность в противодействии и лечении, однако хотелось бы верить, что поставщики антивирусных решений найдут способ противостоять Rakshasa. В целом же это как раз тот случай, когда профилактика явно лучше лечения.

Олимпийский конь

Как Олимпийские игры, так и троянский конь суть греческие изобретения. Недавно то и другое соединилось в своеобразный симбиоз: во вторник мы рассказывали о вредоносной программе для платформы Android под названием London Olympics Widget. Изделие сие было какое-то время доступно в магазине Google Play и успело попасть на некоторое количество пользовательских устройств.

Вполне естественно, что столь громкий информационный повод, как Олимпийские игры, не мог оставить злоумышленников равнодушными –появление чего-то подобного было вполне ожидаемо. На этот раз троянского коня маскировали под полезную программу, загружающую из Сети последние новости главного спортивного события года. Кстати, таким образом (притворяясь полезным ПО) распространялись и первые троянцы для Windows, за что и получили свое родовое имя.

На самом деле программа занималась сбором и отправкой конфиденциальных сведений: текстов SMS-сообщений, контактов, уникальных номеров устройств и геолокационных данных. Практически стандартный набор: почти любой Android-шпион собирает все, до чего может дотянуться, в надежде, что среди похищенного найдется полезная и потенциально прибыльная информация.

Об угрозе общественность проинформировала компания Webroot, эксперты которой рассказали о «виджете» в корпоративном блоге. Там же указано, что цифровой сертификат приложения свидетельствует о его создании в Нью-Дели. Действительно ли злоумышленник находился там, или же сумел каким-то образом получить чужое удостоверение – доподлинно не известно.

«Честно говоря, данная новость не очень однозначна для того, чтобы ее комментировать», - ответил на наш вопрос эксперт Anti-Malware.ru, руководитель направления разработки для мобильных устройств «Лаборатории Касперского» Виктор Яблоков. – «Дело в том, что Symantec еще в своем июльском отчете написал о малваре, точь-в-точь совпадающей с той, о которой написано в блоге Webroot. Есть ощущение, что Webroot только сейчас написал о довольно давно известной модификации Opfake».

Стоит, правда, заметить, что в упомянутом отчете Symantec рассказывается об инфекции, которая маскируется под игровую программу и отсылает SMS-сообщения на платные номера (т.е. является не шпионом, а вором). Впрочем, известно, что злоумышленники быстро адаптируют свои разработки для новых условий и новых задач, так что – быть может, это и впрямь Opfake. В самой Symantec от комментариев воздержались.

 

I seek you

Ну и, наконец, в среду внимание участников и гостей Anti-Malware.ru сконцентрировалось на известиях о том, что компания Entensys выпустила бесплатное решение UserGate IM Control. Этот продукт предназначен для контроля систем мгновенного обмена сообщениями через Интернет на уровне предприятия, устанавливается на шлюз-сервер под управлением Linux и позволяет администратору регламентировать использование сотрудниками пейджеров ICQ, AIM, [email protected] и некоторых других. Для полноты картины не хватает разве что Skype, возможность контроля которого ныне широко востребована в корпоративном секторе.

Согласно имеющимся данным, продукт обеспечивает разрешение или запрет отправки сообщений, а также ведение истории переписки независимо от внутренних настроек клиента. Содержимое сообщений просматривается морфологическим анализатором; в нем ищутся ключевые слова и выражения, что дает возможность бороться с утечками информации по этому каналу. В общем, функционал традиционный и привычный, у некоторых вендоров стоящий на вооружении уже довольно давно. Но в любом случае сообщения о пополнении защитного функционала – благие вести, поскольку чем больше поставщиков предлагает свои решения для контроля определенных каналов, тем выше в конечном счете защищенность их клиентов.

Одно время системы мгновенного обмена сообщениями как будто отошли на второй план под натиском социальных сетей: доходило до того, что специализированные IM-антивирусы исчезали из состава защитных продуктов от самых крупных поставщиков. Однако теперь, судя по всему, Интернет-пейджеры вновь активизируются, и интерес к ним разного рода злоумышленников частично восстанавливается – хотя социальные сети по-прежнему являются одним из главных аккумуляторов спама, вредоносных приложений и ссылок и прочих результатов творчества вирусописателей.

"Через IM происходит очень небольшая доля утечек", - говорит главный аналитик InfoWatch Николай Федотов. - "Настолько небольшая, что не поддаётся измерению. Тем не менее, в каждой зрелой организации имеется политика использования таких мессенджеров, без такой политики организацию нельзя считать зрелой. А для всех DLP-систем написаны модули перехвата и анализа популярных IM-протоколов, без этого DLP не считается полноценной. Кроме утечек с IM-и связаны иные риски: распространение вредоносных программ, неосторожные слова, влекущие ущерб деловой репутации, а также непроизводительная трата рабочего времени.

Нам пока ничего не известно о функциональных возможностях обсуждаемого продукта и даже о лицензии, под которой он выпущен. Поэтому остаётся лишь с удовлетворением отметить: хорошо, что такой продукт есть. IM-ы не теряют популярности на протяжении десятилетий (уже можно так сказать, поскольку первая Аська появилась в начале 1990-х). Поэтому любая фильтрация трафика выше 3-го (сетевого) уровня просто обязана знать все эти протоколы, уметь их разбирать и отправлять на лингвистический анализ. Лучше поздно, чем никогда."

Такой была предыдущая информационная неделя в глазах редакторов и экспертов Anti-Malware.ru. Благодарим вас за внимание к нашим аналитическим обзорам, и ждем вас ровно через неделю, в это же самое время и на том же месте. Пароль прежний – «Новостной радар».

До новых встреч!

Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru