Отчет по угрозам за 2009 год: кратко Напомним, что в 2007-2008 годах вредоносное ПО практически перестало создаваться в некоммерческих целях. Основным видом вредоносных программ стали троянцы, занимающиеся кражей информации – в основном данных участников онлайн-игр: их паролей, игровых персонажей и виртуальных ценностей. В 2009 году заметно уменьшился темп роста новых вредоносных программ. Среди причин подобной стабилизации эксперты выделяют возросший уровень конкуренции на этом рынке, общее снижение активности троянских программ (прежде всего, игровых), а также действия игроков антивирусной индустрии по созданию новых технологий, призванных улучшить качество защиты. К 2009 году стандартное антивирусное решение образца 90-х годов прошлого века (сканер и монитор) стало неактуальным и было практически полностью вытеснено «комбайнами» – продуктам класса Internet Security, соединяющими в себе множество технологий многоуровневой защиты. Помимо антивирусных вендоров, в 2009 году значительный вклад в борьбу с вирусописателями внесли правоохранительные органы, надзорные структуры и телекоммуникационные компании, в результате чего были закрыты UkrTeleGroup, RealHost и 3FN, активно потворствующие киберпреступникам. За последние 3-4 года Китай стал ведущим поставщиком вредоносных программ. В 2009 году «Лабораторией Касперского» было зафиксировано 73 619 767 сетевых атак, более половины из которых – 52,70% – были проведены с интернет-ресурсов, размещенных в Поднебесной. Однако за последний год процент атак, проведенных с китайских веб-ресурсов, уменьшился с 79% до 53%. Китайская киберпреступность оказалась способна производить такое количество вредоносных программ, что последние два года все без исключения антивирусные компании тратили большую часть своих усилий на противостояние этому потоку Первая пятерка стран, с веб-ресурсов которых производились атаки, не изменилась по сравнению с 2008 годом: на втором месте по-прежнему США, при этом доля зараженных серверов на территории этой страны значительно выросла – с 6,8% до 19%. Россия, Германия и Голландия занимают 3-е, 4-е и 5-е места соответственно, и их доли выросли незначительно. В 2009 году изменил свое направление вектор атак: Китай по-прежнему лидирует по числу потенциальных жертв, но его доля уменьшилась на 7%. А вот другие лидеры прошлого года – Египет, Турция, Вьетнам – стали заметно менее интересны киберпреступникам. Одновременно с этим значительно выросло число атак на граждан США, Германии, Великобритании и России. За прошедший год технологии вирусописателей серьезно усложнились. Программы, оснащенные руткит-функционалом, не только получили широкое распространение, но и значительно продвинулись в своей эволюции. Среди них особенно выделяются такие угрозы, как Sinowal (буткит), TDSS и Clampi. Весной 2009 года наши эксперты отметили очередную волну распространения Sinowal. Хорошо скрывающий свое присутствие в системе, не обнаруживаемый большинством современных антивирусов буткит на тот момент представлял собой самую продвинутую вредоносную программу. Sinowal распространялся в основном через взломанные сайты, порно-ресурсы и сайты, с которых можно загрузить пиратское ПО. 1 Другая вредоносная программа, TDSS, была реализацией сразу двух наиболее сложных технологий: она заражала системные драйверы Windows и создавала собственную виртуальную файловую систему, в которой прятала свой основной вредоносный код. TDSS – первая вредоносная программа, способная внедряться в систему на таком уровне. До нее таких вредоносных программ не было. Наш прошлогодний прогноз об увеличении числа эпидемий полностью оправдался. В 2009 году уровня глобальных эпидемий смогли достичь не толькоTDSS, Clampi и Sinowal, но и еще целый ряд опасных вредоносных программ. Главной же эпидемией года стал червь Kido (Conficker), поразивший миллионы компьютеров по всему миру. Червь использовал несколько способов проникновения на компьютер жертвы: подбор паролей к сетевым ресурсам, распространение через флеш-накопители, использование уязвимости Windows MS08-067. Каждый зараженный компьютер становился частью зомбисети. Борьба с созданным ботнетом осложнялась тем, что в Kido были реализованы самые современные и эффективные технологии вирусописателей. Kido противодействует обновлению программ защиты и отключает службы безопасности, блокирует доступ к сайтам антивирусных компаний и т. д. В ноябре количество зараженных Kido систем превысило 7 000 000. Эпидемия Kido продолжалась на протяжении всего 2009 года. Необходимо отметить, что для борьбы со столь распространенной угрозой была создана специальная группа Conficker Working Group, объединившая антивирусные компании, Интернет-провайдеров, независимые исследовательские организации, учебные заведения и регулирующие органы. Это первый пример столь широкого международного сотрудничества, вышедшего за рамки обычных контактов между антивирусными экспертами, и он может послужить хорошей основой для постоянно действующей организации по борьбе с угрозами, терроризирующими весь мир. Мы неоднократно писали о технологии drive-by-download. При ее использовании заражение компьютера происходит незаметно для пользователя во время обычной работы в Интернете. В 2009 году число подобных атак, зафиксированных нами, увеличилось примерно в 3 раза. При этом следует понимать, что речь идет о десятках миллионов атак. Одной из крупнейших эпидемией в Интернете, затронувшей десятки тысяч веб-ресурсов, стали несколько волн Gumblar-атак. Gumblar представляет собой полностью автоматизированную систему – фактически, мы имеем дело с новым поколением самостроящихся ботнетов. Нельзя обойти вниманием и эпидемию вируса Virut. Особенностью Virus.Win32.Virut.ce является его мишень – веб-серверы – и способ распространения – в пиринговые сети вместе с зараженными генераторами серийных ключей и дистрибутивами популярных программ. В 2009 году все более разнообразными становятся и мошеннические схемы, используемые в Интернете. К традиционному и весьма распространенному фишингу (по итогам работы KSN было зафиксировано 14 899 238 попыток доступа к фишинговым и вредоносным сайтам, которые были успешно заблокированы нашими продуктами) добавились различные сайты, предлагающие платный доступ к «услугам». Пальма первенства здесь принадлежит, увы, России. Именно российские мошенники поставили на поток создание сайтов с предложением «узнать местоположение человека через GSM», «прочитать приватную переписку в социальных сетях», «собрать информацию» и т. д. 2 Максимально число подобных сервисов достигало нескольких сотен. Обеспечением их работы занимались десятки «партнерских программ». Для привлечения доверчивых пользователей использовались как традиционный спам в электронной почте, так и спам в социальных сетях и сервисах мгновенного обмена сообщениями. Вероятность того, что пользователь социальной сети запустит предлагаемый ему «друзьями» файл или пройдет по присланной от имени «друга» ссылке примерно в 10 раз выше, чем если бы этот файл или ссылка пришли к нему по электронной почте. В 2009 году у мошенников продолжала расти популярность псевдоантивирусов. Задача псевдоантивирусов – убедить пользователя в наличии на его компьютере угрозы (на самом деле несуществующей) и заставить его уплатить деньги за активацию «антивирусного продукта». Сегодня для распространения фальшивых антивирусов используются не только другие вредоносные программы (как, например, Kido), но и реклама в Интернете. По оценкам, представленным в ноябре 2009 года американским ФБР, на лжеанитивирусах преступники в общей сложности заработали 150 млн. долларов США. В 2009 году система IDS (Intrussion Detection System), входящая в состав Kaspersky Internet Security, отразила 219 899 678 млн. сетевых атак. Аналогичный показатель 2008 года составил чуть более 30 млн. инцидентов. Из общего числа обнаруженных и заблокированных попыток заражения компьютеров 32 млн. атак пришлись на долю червя Kido (Conficker). В Сети продолжает существовать и червь Helkern (Slammer). Несмотря на то, что ему исполняется уже 7 лет, он продолжает находиться в лидерах – на него пришлось 23 млн. заблокированных попыток заражения. В целом, по итогам работы системы анализа уязвимостей, в 2009 году нами было обнаружено 404 различных уязвимости. При этом общее количество уязвимых файлов и приложений на компьютерах пользователей составило 461 828 538. Бреши в программных продуктах остаются наиболее серьезной проблемой безопасности. Они могут предоставить злоумышленникам возможность обойти имеющиеся средства защиты и атаковать компьютер. Больше всего уязвимостей было обнаружено в решениях четырех производителей: Microsoft, Apple, Adobe и Sun. По числу файлов и приложений, обнаруженных на пользовательских компьютерах, самыми распространенными в 2009 году стали уязвимости в продукте компании Apple – QuickTime 7.x. Мобильные ОС и Mac OS, привлекают все больше внимания со стороны вирусописателей. В 2009 году на вирусные угрозы для Mac внимание обратила даже компания Apple, встроившая некое подобие антивирусного сканера в новую версию ОС. Кроме этого, в 2009 году произошли давно прогнозируемые события: для iPhone были обнаружены первые вредоносные программы (черви Ike), для Android была создана первая шпионская программа, а для Symbian-смартфонов были зафиксированы первые инциденты с подписанными вредоносными программами. В 2009 году нами было обнаружено 39 новых семейств и 257 новых модификаций вредоносных программ для мобильных устройств. Для сравнения: в 2008 году было обнаружено 30 новых семейств и 143 новые модификации. Уникальным событием 2009 года стало обнаружение троянской программы Backdoor.Win32.Skimer, первой вредоносной программы, нацеленной на банкоматы. После успешного заражения злоумышленник, используя специальную карточку доступа, может снять все деньги, находящиеся в банкомате, или получить данные о кредитных картах пользователей, производивших транзакции через зараженный банкомат. 3 Прогнозы В 2010 году будет наблюдаться постепенное смещение вектора с веб-атак в сторону атак через файлообменные сети. Уже в 2009 году ряд массированных вирусных эпидемий поддерживался распространением вредоносных файлов через торренты. Таким образом распространялись не только такие заметные угрозы, как TDSS и Virut, но и первые бэкдоры для MacOS. В 2010 году мы ожидаем значительное увеличение подобных инцидентов в P2Pсетях. Киберпреступники все активнее пытаются легализовать свой бизнес. Если сейчас борьба за трафик ботнетов идет в основном между однозначно криминальными сервисами, то в будущем на рынке ботнет-услуг ожидается появление серых схем. Так называемые «партнерские программы» предоставляют возможность владельцам ботнетов «монетизировать» их работу – даже без услуг явно криминального характера, таких как рассылка спама, DoS-атаки, распространение вирусов. Основными причинами возникновения эпидемий по-прежнему будут обнаруженные уязвимости, причем не только в программах сторонних для Microsoft производителей (Adobe, Apple), но и недавно вышедшей на рынок Windows 7. Надо отметить, что последнее время сторонние производители стали уделять гораздо больше внимания поискам ошибок в своем ПО. Если серьезных уязвимостей обнаружено не будет, 2010 год может стать одним из самых спокойных за последние годы. Ситуация, аналогичная падению активности игровых троянцев, повторится на этот раз с поддельными антивирусами. Эти программы были причастны к ряду крупных эпидемий. В настоящий момент рынок фальшивых антивирусов перенасыщен. Пристальное внимание к деятельности подобных программ со стороны антивирусной индустрии и правоохранительных органов также усложняет их существование. В области веб-сервисов темой года должен стать Google Wave и атаки через данный сервис. Несомненно, их развитие будет проходить по уже стандартной схеме: сначала спам, затем фишинг-атаки, потом использование уязвимостей и распространение вредоносных программ. Большой интерес представляет и выход сетевой ChromeOS, но в следующем году мы не ожидаем значительного внимания со стороны киберпреступников к данной платформе. Для iPhone и Android год ожидается достаточно сложным. Появление в 2009 году первых угроз для них свидетельствует о росте внимания киберпреступников к этим платформам. Причем, если для iPhone-пользователей группу риска составляют только пользователи взломанных устройств, то для Android такого ограничения нет – приложения могут устанавливаться из любых источников. Растущая популярность телефонов на базе этой ОС в Китае и слабая технология контроля публикуемых приложений повлечет за собой в 2010 году ряд заметных вирусных инцидентов. 4