Год уязвимостей

2010-й год по праву можно назвать «годом уязвимостей»: большинство атак осуществлялось через «лазейки» в браузерах и сторонних приложениях, причем порой одна и та же вредоносная программа может распространяться при помощи десяти различных уязвимостей.

Стоит отметить, что от продуктов корпорации Microsoft интерес злоумышленников плавно смещается к уязвимостям в решениях Apple (Safari, Quicktime, iTunes) и Adobe (Reader, Flash Player). Лидером 2010 года по числу зафиксированных инцидентов с использованием программных уязвимостей стала именно Adobe Systems.

Было обнаружено несколько вредоносных программ, которые используют различные уязвимости не только на стадии первоначального проникновения в систему, но и на всех прочих этапах своей работы. Некоторые из данных программ использовали и уязвимости «нулевого дня».

Почти половина из двадцати наиболее распространенных на компьютерах пользователей уязвимостей были обнаружены до 2010 года (две из них — еще в 2007 году). Из этого следует, что большинство пользователей до сих пор не осознают необходимости регулярно обновлять используемые приложения для защиты своих персональных данных.

Увеличение числа атак и усложнение зловредов

Количество новых вредоносных программ, обнаруженных в течение года, составило 13 миллионов, что не превышает показателей 2009 года. Однако тревожной тенденцией стал отмеченный экспертами «Лаборатории Касперского» рост количества атак: в 2010 году общее число зафиксированных интернет-атак и локальных заражений превысило 1,9 миллиарда инцидентов.

Новые зловреды приобрели большую функциональность и, следовательно, стали представлять большую угрозу для пользователей.

На основе таких сложных и опасных вредоносных программ, как Mariposa, ZeuS, Bredolab, TDSS, Koobface, Sinowal, Black Energy 2.0 построены ботнеты, каждый из которых объединяет миллионы зараженных компьютеров по всему миру. Некоторые из самых сложных угроз оказались первопроходцами в области вредоносных программ для 64-битных платформ, многие распространялись при помощи 0-day уязвимостей.

Главной же новостью в сфере информационной безопасности стала атака червя Stuxnet — уникальной программы, знаменующей переход вирусописательства на качественно новый уровень. Эта вредоносная программа использовала пять уязвимостей, плюс была задействована одна уязвимость в ПО Siemens WinCC, связанная с паролями для доступа по умолчанию. Деструктивная активность червя оказалась нацелена не на массовое заражение обычных пользователей, а на контроль над системами управления промышленными объектами.

Не сдал своих позиций нашумевший червь Kido (Conficker), оставшись самой распространенной вредоносной программой, блокируемой на компьютерах пользователей. Не наблюдается и снижения количества вызванных им инцидентов — напротив, был отмечен двукратный рост случаев заражения этим зловредом.

P2P-сети и социальные сети

P2P-сети стали в 2010 году одним из основных источников проникновения вредоносных программ на компьютеры, и, по нашим оценкам, в настоящий момент этот метод распространения является вторым по количеству инцидентов, уступая только атакам через браузер.

Социальные сети также не остались без внимания киберпреступников. Во всех популярных социальных сетях, включая российские Вконтакте и Одноклассники, распространялись ссылки на вредоносные программы. Также злоумышленники использовали уязвимости в Twitter и Facebook.

Целевые атаки

2010 год ознаменовался двумя нашумевшими целевыми кибератаками. Одна из них, атака червя Stuxnet, о которой мы писали выше — первый получивший широкую огласку пример настоящей кибердиверсии в промышленности, способной нанести серьезный ущерб.

Объектами второй атаки, известной как «Aurora», стали крупные компании, в том числе Google и Adobe. Злоумышленники планировали получить не только конфиденциальные данные пользователей, но и исходные коды ряда корпоративных проектов. На момент обнаружения обеих угроз и Stuxnet, и эксплойт, который был основным инструментом атаки «Aurora», эксплуатировали 0-day уязвимости.

Сертификаты

Одной из особенностей червя Stuxnet стало использование цифровых сертификатов компаний Realtek и JMicron. Как именно закрытые ключи перешли в руки злоумышленников, неизвестно. Они могли приобрести их при содействии инсайдеров, либо похитить — например, кража сертификатов является одной из функций распространенного троянца Zbot (ZeuS).

До недавнего времени сертификация приложений играла важную роль в сфере информационной безопасности, подтверждая их легальность. Эта технология позволяет разработчикам антивирусных решений уменьшать количество ложных срабатываний, а также экономить ресурсы при сканировании компьютеров пользователей. Однако в 2010 году был отмечен повышенный интерес к цифровым подписям со стороны киберпреступников.

События показали, что злоумышленник может получить цифровой сертификат вполне легальным образом, как обычный разработчик софтверных решений. К примеру, создавая «ПО для удаленного управления компьютером без GUI», которое, по сути, является бэкдором, он получит от центра сертификации необходимый ключ.

На данный момент можно утверждать, что репутация некоторых сертификационных центров серьезно пострадала, а сама идея цифровой сертификации программ оказалась дискредитирована.

Блокеры

В 2010 году серьезной проблемой для пользователей из России и СНГ стали SMS-блокеры. Эти вредоносные программы, распространявшиеся несколькими способами (в том числе через популярные социальные сети и файлообменные ресурсы), при запуске компьютера блокировали работу операционной системы, требуя отправить SMS на платный premium-номер для получения «кода разблокировки».

Число пострадавших оказалось столь велико, что ситуация попала в поле зрения правоохранительных органов и получила широкое освещение в СМИ. К борьбе с мошенниками подключились мобильные операторы, введя новые правила регистрации и работы коротких номеров, а также блокируя мошеннические аккаунты.

В последнее время, наряду с платными SMS, злоумышленники стали «внедрять» и другие способы оплаты за код разблокировки (например, с помощью электронных платежных систем или через терминалы оплаты услуг мобильной связи).

Мобильные угрозы

Не стоит забывать, что кроме компьютерных, активно развиваются и мобильные угрозы — так, в прошлом году были обнаружены первые вредоносные программы для iPhone и Android.

К счастью, в 2010 году инцидентов с реальными угрозами для iPhone отмечено не было. Однако появилось несколько программ, функционалом которых могут воспользоваться киберпреступники. Например, мобильному приложению SpyPhone открыт доступ практически к любым персональным данным: местоположению устройства, истории интернет-поиска, логинам и паролям, друзьям пользователя и т.д. Все эти сведения могут быть незаметно отосланы на удаленный сервер.

Для платформы Android в 2010 году были обнаружены вполне реальные троянцы, которые действовали по уже привычной схеме, отсылая SMS на платные номера. Все это в очередной раз подтверждает простой факт — мобильные устройства сегодня так же нуждаются в информационной защите, как и персональные компьютеры.

Статистика

Статистика любой антивирусной компании прежде всего базируется на информации, получаемой от клиентов. «Лаборатория Касперского» подводит итоги 2010 года на основе информации, собранной через распределенную облачную сеть Kaspersky Security Network. Все данные предоставлены пользователями, подтвердившими свое согласие на их передачу.

Если рассматривать атаки как совокупность зафиксированных инцидентов, то необходимо выделить четыре основных вида:

атаки через Интернет (зафиксированные при помощи веб-антивируса);
локальные инциденты (зафиксированные на пользовательских компьютерах);
сетевые атаки (зафиксированные при помощи IDS);
инциденты в электронной почте (подробнее см. в итоговом спам-отчете).

Вредоносные программы в Интернете

Использование атак через браузер в 2010 году стало доминирующим способом проникновения вредоносного ПО на компьютеры пользователей, и в ближайшем будущем данная ситуация, скорее всего, не изменится.

В течение года было зафиксировано 580 371 937 атак через браузер, тогда как в 2009 году — всего 73 619 767. Такой рост связан с широким распространением наборов эксплойтов, позволяющих осуществлять атаки по технологии drive-by-download. Также не стоит забывать о самораспространяющихся веб-инфекциях, таких как Gumblar или Pegel.

Более половины наиболее активных онлайн-зловредов, попавших в TOP 20, либо сами являются эксплойтами, либо используются в атаках с применением эксплойтов к уязвимостям.

TOP 20 стран, на веб-ресурсах которых были размещены вредоносные программы, претерпел значительные изменения. Год назад более 52% всех обнаруженных в Интернете вредоносных программ были размещены на китайских хостингах. Однако в 2010 году власти КНР убрали из локального киберпространства многие вредоносные хостинги, а также ужесточили правила регистрации доменов в зоне .cn. В итоге Китай (13,1% от всех веб-атак) перестал быть главным источником интернет-угроз, уступив первенство США (25,9%) и России (15,1%).

Наблюдается тревожная тенденция к росту количества атак с территории Соединенных Штатов (7% в 2008, 19% в 2009 и 26% в 2010). Эта ситуация не изменилась даже после ряда громких закрытий нелегальных хостингов. Не слишком обнадеживает и ситуация в России — за год процент атак с интернет-ресурсов, размещенных в нашей стране, вырос почти в шесть раз (с 2,6% до 15,1%).

Локальные заражения

Важным показателем является статистика локальных заражений ПК. В эти данные попадают вредоносные объекты, попавшие на компьютеры не через Web, почту или сетевые порты.

На компьютерах, участвующих в Kaspersky Security Network, было обнаружено 1 325667443 вирусных инцидента; в общей сложности заблокировано 1 590 861 разных вредоносных и потенциально нежелательных программ.

В TOP 20 зловредов, обнаруженных на компьютерах пользователей в 2010 году, вошли, в частности, червь Kido, вирус Sality, а также один из вариантов червя Palevo, ответственного за создание ботнета Mariposa.

Сетевые атаки

В 2010 году система IDS отразила 1 311 156 130 сетевых атак. Аналогичный показатель 2009 года составлял 219 899 678 инцидентов.

Картина мира

Чтобы сравнить степень риска потенциального заражения, которому подвергаются компьютеры пользователей в разных странах мира, в каждой из стран мы подсчитали процент пользователей KSN, которые сталкивались со срабатыванием антивирусной программы в течение 2010 года.

Среди стран, пользователи которых чаще всего сталкивались с атаками через браузер лидирует Ирак: в этой стране веб-инциденты зафиксированы у 61,8% пользователей. В России с веб-атаками столкнулся каждый второй пользователь (53,7%). В США этот показатель составил 46,1%. В TOP 20 также попали Белоруссия (48%), Казахстан (43,2%), Украина (42,6%), Азербайджан (41%) и Туркменистан (40%).

Самые относительно безопасные страны мира — Германия, Япония, Люксембург, Австрия и Норвегия. Их показатель варьирует от 19% до 20,8%.

TOP 20 стран, с наибольшим процентом компьютеров, на которых были заблокированы локальные угрозы, состоит из развивающихся стран Азии и Африки. Это обусловлено низкой компьютерной грамотностью пользователей, а также отсутствием серьезного опыта борьбы с киберугрозами в этих странах.

Странами с самым высоким уровнем защищенности пользователей от локальных заражений оказались Япония, Германия, Люксембург, Австрия и Швейцария. Их показатель варьирует от 8,6% до 10,1%.

Еще раз отметим, что эта статистика основана на информации, полученной от пользователей продуктов «Лаборатории Касперского».

Прогнозы

В 2011 году, возможно, произойдет значительное изменение в составе организаторов кибератак и их целей. По значимости это изменение будет сравнимо с исчезновением вредоносных программ, написанных исключительно из хулиганских побуждений или с целью самоутверждения, и рождением современной киберпреступности. Атака червя Stuxnet продемонстрировала, что возможности такого рода инструментов весьма впечатляющи, а противостояние им может оказаться крайне сложной задачей для защищающейся стороны. Не исключено, что теперь программы, подобные Stuxnet, возьмут на вооружение некие специальные кибер-службы и коммерческие компании.
Помимо получения денежной прибыли, целью создания вредоносных программ и проведения атак станет кража и дальнейшее использование любой доступной информации.
Появится новый класс вредоносных программ — т.н. Spyware 2.0, — который будет нацелен на тотальную кражу любых данных. Spyware 2.0 станет инструментом не только традиционной киберпреступности, но и новых организаторов атак.
Традиционная киберпреступность будет все чаще атаковать корпоративных пользователей, постепенно отказываясь от прямых атак на домашних пользователей.
Уязвимости останутся главным путем осуществления атак, при этом разнообразие используемых злоумышленниками уязвимостей и быстрота их использования значительно возрастут.
Из-за роста популярности 64-битных платформ увеличится число работающих на них зловредов.
Развитие мобильных угроз в первую очередь затронет платформу Android.
Возрастет число атак на пользователей социальных сетей.
Актуальной угрозой станет рост числа вредоносных файлов с цифровыми сертификатами.
Основные доход злоумышленникам по-прежнему будут приносить кража учетных записей систем онлайн-банкинга, рассылка спама и организация DDoS-атак.