Новостной радар Anti-Malware.ru. Выпуск 4, ноябрь 2012

Новостной радар Anti-Malware.ru подводит итоги ноября. Последняя информационная неделя предпоследнего месяца последнего года в истории человечества (если верить множеству толкователей туманных пророчеств древних народов) была богата событиями. Взломщики атаковали веб-сайты по всему миру, террористы пренебрегали азами DLP, а вредоносные программы осваивали новые ареалы.

 

Карта Новостного радара


Просмотреть Новостной радар - Выпуск 16 на карте большего размера

 

Деструктивная реклама

В наши дни хакерского произвола стать распространителем вредоносных программ может любой сайт в Интернете. Особо дальновидные эксперты еще несколько лет назад предупреждали, что вскорости в Сети не останется ресурсов, которые можно было бы назвать доверенными. В конце прошлой недели этот тезис в очередной раз подтвердился: на протяжении нескольких часов вредоносный сценарий атаковал компьютеры пользователей, посещавших новостной портал на официальном сайте компании Opera Software.

Сам по себе ресурс безопасен, на него никто не проникал, и специалисты по его защите делали свою работу хорошо и ответственно. Злоумышленникам удалось внедрить опасное содержимое в ротацию рекламной сети, чье окно было установлено на страницах сайта; код в баннере открывал невидимый IFRAME, через который подгружалось нежелательное содержимое. Компьютер жертвы проверялся на наличие уязвимостей при помощи пакета эксплойтов Blackhole, и обнаруженные изъяны использовались для заражения операционной системы свежим образцом вредоносной программы. Угрозу обнаружили специалисты компании BitDefender, которые классифицировали упомянутое ПО как Trojan.Zbot.HXT.

Инцидент вновь высветил актуальную проблему сегодняшней сетевой безопасности: всякий сайт, устанавливающий рекламные окна от глобальных сетей вроде AdRiver или Google AdWords, впускает на свои страницы постороннее динамическое содержимое, которое он не может контролировать. При этом, если злоумышленникам удается разместить вредоносное объявление, то репутационные потери от таких инцидентов несет как раз сам сайт, а не рекламная сеть - хотя в действительности ответственность должна быть возложена именно на последнюю. Можно сказать, что в данном случае потенциальный риск перевешивает удобство использования, и от практики размещения нетекстовой динамической рекламы стоило бы отказаться.

"Удивительно, как уже отработанная схема атаки безупречно продолжает действовать и наверняка приносить доход  ее авторам", - отмечает эксперт Anti-Malware.ru Михаил Кондрашин. - "Индустрия безопасности уже сформулировала свой технологический ответ данному виду угроз, это репутационные технологии, которые позволяют блокировать подключение браузером к вредоносному сайту, куда ведет внедренная злоумышленниками ссылка. В сложившейся ситуации хочется видеть партнерство между владельцами рекламных сетей и поставщиками репутационных сервисов. При таком подходе, появляется возможность блокировать сомнительные рекламные объявления еще до показа их посетителю рекламной площадки."

 

... и мстя моя страшна

Группировка Anonymous живо отреагировала на военные действия, развернутые Израилем против сектора Газа. Проявляя свою гражданскую позицию, взломщики нацелили ионные пушки на различные ресурсы в израильской области Интернета и объявили о начале акции возмездия под названием "Операция Израиль". По данным газеты The New York Times, DDoS-атакам подверглись сайты премьер-министра еврейского государства, Армии обороны Израиля, а также ряда представителей крупного бизнеса: холдингов, банков, авиакомпаний и так далее.

В традиционном пафосном обращении к миру, которое члены группировки опубликовали на ресурсе AnonPaste, говорится, что они "слишком долго наблюдали за варварскими действиями Израиля по отношению к палестинскому народу, проживающему на так называемых оккупированных территориях, захваченных Армией обороны Израиля", и что после недавних бомбардировок сектора Газа их терпение подошло к концу. По ходу операции анонимы размещали в разных местах ссылки на атакованные ими ресурсы, а также выкладывали в общий доступ "пакеты инструментов", с помощью которых всякий желающий житель Газы смог бы восстановить себе доступ к Интернету в случае его блокировки со стороны Израиля.

Вряд ли, впрочем, Anonymous так уж сочувствуют жителям сектора Газа. Как показывает история их деятельности, в любой подобной истории главной для них является скорее возможность напомнить о себе и продемонстрировать собственную значимость. Наносимый ими ущерб, как правило, не особенно существенен, совершить настоящий взлом им удается относительно редко, а DDoS-атаками ЦАХАЛ не испугаешь. В общем, все довольны: анонимы фигурируют в новостях, а Израиль спокойно продолжает военные действия. Что же касается жителей Газы, то логика подсказывает, что сейчас их в большей степени заботит эвакуация куда-либо подальше от израильских бомб, нежели возможность выйти в Интернет.

В настоящее время мы ожидаем комментария по этой новости от эксперта Anti-Malware.ru Виталия Янко.

 

Читер

В США судят голландского взломщика, который вместе с группой сообщников неоднократно проникал на серверы многопользовательской онлайн-игры Outwar, мешая тем самым их нормальному функционированию и производя разнообразные несанкционированные действия вроде блокировки чужих персонажей или присвоения себе определенных сумм в игровой валюте. В общей сложности компания-производитель Rampid Interactive лишилась по их вине ста тысяч долларов потенциальной выгоды. Кроме того, злоумышленники похитили исходные коды игры и на их основе создали свою собственную, под названием Outcraft. Обширной аудитории им собрать не удалось, однако доход в объеме 10 тысяч долларов за месяц они извлекали стабильно. 

Махинациями взломщиков заинтересовалось Федеральное бюро расследований США; произошло это после того, как лидер группировки начал направлять в Rampid Interactive письма с угрозами. В итоге главарь был задержан; ему предъявлено обвинение во взломе и вымогательстве, что в сумме может обеспечить ему пребывание за решеткой в течение семи лет. Деятельность его сообщников в деле не рассматривается, хотя у обвинения имеются сведения как минимум об одном из них; известно, что он еще не достиг совершеннолетия и проживает в Великобритании.

Если для Соединенных Штатов расследование преступлений подобного рода уже является в целом привычной практикой, то в России органы охраны правопорядка пока лишь присматриваются к киберпреступности и ведут первые прецедентные дела по различным аспектам вредоносной сетевой деятельности. Опыт, связанный, к примеру, с недавним вступлением в силу закона о блокировке запрещенных ресурсов, наглядно показывает, что в отечественной государственной машине господствуют довольно наивные представления об информационных технологиях в целом и об Интернете - в частности. Впрочем, не так давно прошла официальную регистрацию первая Интернет-партия, а это дает надежду на появление в госаппарате некоторого количества компетентных специалистов в соответствующей области.

Мы надеялись заинтересовать этим событием эксперта Cisco Алексея Лукацкого, однако, к сожалению, надеждам нашим не суждено было сбыться.

 

It happens

Пресс-секретарь движения "Талибан" разослал очередное информационное сообщение списку получателей, забыв поместить адреса в поле скрытой копии. В результате каждому его корреспонденту, помимо очередного пресс-релиза, достался полный набор электронных адресов всех остальных пользователей. Не смертельно, конечно, но неприятно. Впрочем, с кем не бывает...

В итоге было скомпрометировано примерно 500 записей, в числе которых были адреса журналистов, политиков, ученых и активистов движения. Сообщается, что лица, затронутые этой своеобразной утечкой, в основном никак не отреагировали на произошедшее (что и неудивительно), однако нашелся один недовольный журналист, который без лишних условностей заявил, что произошедшее подвергает риску его жизнь и безопасность. Еще бы - в списке значилось сразу четыре принадлежащих ему адреса. Надо полагать, теперь он сменит внешность, бросит работу и переедет в другую страну.

Традиционно утечки электронных адресов считаются не особенно опасными инцидентами. Извлечь из них выгоду сложно, информации о владельце они практически не дают, компрометацией учетных записей не угрожают, да и обслуживаются адреса чаще всего у бесплатных операторов, что позволяет быстро и безболезненно сменить их в случае необходимости. Основная опасность, исходящая от таких происшествий, заключается в возможности проведения целевых мошеннических атак против конкретных людей (что, как известно, существенно эффективнее обычного спама). Однако для внимательного и осторожного пользователя эта угроза не формирует особенных рисков. Помимо этого, утечка могла частично деанонимизировать активистов "Талибана", однако вряд ли эта угроза для них так уж существенна.

 

Конкиста

Вредоносная программа Zeus активно осваивает новые территории. Одних лишь компьютеров и мобильных устройств ей уже мало: на этой неделе был описан случай, когда эта инфекция поразила цифровой видеомагнитофон.

Оператор вирусных ловушек, аналитическая компания Norse зафиксировала значительный объем вредоносного трафика, исходящий из локальной сети некоторой финансовой организации. Расследование выявило, что ЛВС буквально кишит вирусами, а входными воротами для инфекции оказалось устройство для приема и записи потоков IP-телевидения. Поскольку соответствующая информация передается по сетевым коммуникациям общего назначения, неудивительно, что вредоносная программа смогла проникнуть на видеомагнитофон, а затем распространиться с него по всей сети организации.

Мало кому придет в голову воспринимать подобные устройства как угрозу (в том числе и самим производителям), поэтому они, как правило, не располагают встроенными средствами защиты, а администраторы безопасности не обращают на них внимания. Тем не менее, сейчас такие приборы являются полноценными средствами сетевой коммуникации, умеют выходить в Интернет и подключаться к общим ресурсам в локальных сетях, а, следовательно, являются потенциальными источниками угрозы. То же распространяется на любую технику, которая располагает сетевым соединением и работает под управлением какой-либо операционной системы общего пользования; известны, например, случаи, когда рассадником заразы был цифровой осциллограф с Windows CE на борту.

"В данной новости, которую начали тиражировать профильные СМИ, есть несколько непонятных моментов", - говорит эксперт Anti-Malware.ru Валерий Ледовской. - "Во-первых, нет никаких подробностей о том как именно происходило распространение вредоносной программы, и почему она была названа Zeus (собственно, семейство банковских троянцев для Windows). В общем-то, и в официальном блоге компании NorseCorp нет новости, посвящённой данной теме. Во-вторых, если речь идёт о трояне, то почему предлагается файрволл для решения проблемы, а не антивирус? Файрволл может заблокировать вредоносный трафик с заражённого устройства (приставка к IP TV с возможностью записи на DVR), а причина (троянская программа) будет продолжать на нём находиться? Возможно, причина такого предложения кроется в том, что компания NorseCorp предлагает на рынке именно решения для контроля сетевого трафика в сетях предприятий. Все эти факты позволяют сделать предположение, что господин Томми Стиансен использовал данный инфоповод в интервью для того, чтобы сделать акцент на продукции своей компании. При этом угроза, о которой он высказался, возможно, и имеет место, но техническая её сторона приведена не вполне точно. При этом это всё не отменяет общей тенденции повышения интереса вирусописателей к цифровым устройствам последних поколений, которые сейчас часто работают под управлением достаточно полноценных операционных систем, и которые могут подключаться к ЛВС предприятий. Т.е. в целом тема достаточно актуальна, и к ней необходимо привлечение внимания."

***

Что ж, это была последняя новость в нашем обзоре. Желаем вам приятных выходных! Встречаемся в декабре.

До свидания!

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru