«Лаборатория Касперского» подвела итоги 2008 года
История развития компьютерных вирусов и спама в течение годаВирусные итоги
На прошедшей в Москве ежегодной конференции «Лаборатория Касперского» подвела итоги 2008 года и рассказала о главных тенденциях в развитии вредоносных программ, компьютерных угроз и спама.
О «рынке» программ-вредителей рассказал руководитель центра глобальных исследований и анализа угроз Александр Гостев.
Александр Гостев начал с анализа главных событий прошедшего года, а именно со сравнения их с прошлогодними прогнозами «Лаборатории Касперского». Как он сообщил, все прогнозы сбылись, а именно:
киберпреступность становится своеобразным «сервисом»: постепенно проходят времена «умельцев», создававших какие-то уникальные вирусы;2008 год стал периодом небывалой активности хакеров, специализирующихся на взломе сайтов и серверов;главными нарушителями спокойствия в сети стали китайские программисты;продолжают развиваться и распространяться руткиты;возродились файловые вирусы, распространяемые на переносных носителях, теперь их местом пребывания стали флэш-носители;популярность социальных сетей не была оставлена без внимания и со стороны взломщиков: значительно возросла частота атак на них;новая «платформа» для программ-нарушителей: онлайн-игры.
Он также поблагодарил всех, кто не поленился активировать в своих антивирусах технологию Kaspersky Security Network (KSN). Это новшевство позволяет «Лаборатории Касперского» получать информацию о вирусных угрозах и отслеживать их развитие.
Итак, продолжается развитие тенденции комерциализации вредоносного ПО. Подавляющее большинство обнаруженных в 2008 году троянцев и вирусов были разработаны для перепродажи их другим лицам. Активно использовались услуги по технической поддержке таких продаж, в том числе обходу антивирусных продуктов. Образуется четкое разделение на «заказчиков» и «исполнителей»: киберпреступность становится результатом слаженной работы группы людей, каждый из которых занят своим видом деятельности.
Китайские хакеры решили не ограничиваться собственными продуктами и приступили к локализации иностранных вирусных решений. C апреля по октябрь 2008 года китайцами были инициированы две масштабные атаки, нацеленные на взлом веб-сайтов. В ходе первой из них, прошедшей в апреле-июне 2008 года, было взломано более двух миллионов интернет-ресурсов по всему миру.
Пока китайские программисты создавали небольшие, но массовые продукты, их русскоязычные коллеги продолжали активно развивать серьезные проекты. Наиболее четко это проявилось в историях с двумя опаснейшими руткитами, обнаруженными в 2008 году, — Rustock.C и SInowal. В них были реализованы инновационные технологии, равных которым антивирусная индустрия еще не встречала, по своей масштабности и сложности превосходящие продемонстрированные червями Zhelatin и Warezov.
В 2008 году прекратилась почти двухлетняя история червя Zhelatin (Storm Worm). Червь, по некоторым оценкам достигавший двух миллионов машин, не показал всей своей потенциальной мощности, а ожидавшиеся гигантские спам-рассылки и DDoS-атаки не произошли. Одной из причин этого «Лаборатория Касперского» называет фактическое закрытие киберкриминального хостинга RBN (Russian Business Network).
Что касается файловых вирусов, то они, несомненно, «прибавили в весе» к традиционному функционалу заражения файлов теперь присоединились функции кражи информации и возродилась традиция распространения на сменных накопителях. Черви на «флэшках» оказались способны обойти традиционные почтовые антивирусы, межсетевые экраны и антивирусы на файловых серверах.
Среди приятных новостей — несколько серьезных шагов, направленных против киберпреступности: были закрыты компании Atrivo\Intercage, EstDomains и McColo. Закрытие последней привело к тому, что количество спама в интернете сократилось более чем на 50%. Произошло это из-за того, что прекратили свою работу множество ботнетов, управлявшихся с закрытых ресурсов. «Они просто не знали, что им делать дальше», — сказал Александр Гостев.
Популярность социальных сетей не давала покоя создателям вирусов и авторам вредоносных атак на протяжении всего года. Атаки «на и через» социальные сети из единичных инцидентов стали обыденным и очень опасным фактом. По оценкам «Лаборатории Касперского», эффективность распространения вредоносного кода в социальных сетях составляет около 10%, что значительно превышает эффективность классического метода распространения вредоносных программ по электронной почте (менее 1%). В июле 2008 года был обнаружен червь Koobface, нацеленный на пользователей социальных сетей Facebook и MySpace, но уже к декабрю он стал способен атаковать пользователей еще одной популярной социальной сети — Bebo.
Рост числа вредоносных программ в социальных сетях
Одной из тенденций 2008 года стал стремительный рост числа вредоносных программ, нацеленных на онлайн-игры: за год было обнаружено 100 397 новых «игровых» троянцев, что в три раза превышает показатель 2007 года (32 374). Нарушители киберпорядка решили извлечь выгоду из теоретической возможности продажи логинов, паролей и прочих виртуальных игровых ценностей.
Александр Гостев также привел некоторые прогнозы на уже начавшийся 2009 год:
глобальные эпидемии как следствие мирового экономического кризиса;снижение активности игровых вирусов;использование распределенных вредоносных систем;фишинг и мошенничество, направленное на пользователей интернет-банков;дифференциация платформ: распространение вредоносного кода на альтернативные ОС.
Впрочем, «Лаборатория Касперского» также отмечает, что существующие на сегодняшний день угрозы и в 2009 году никуда не исчезнут: продолжатся атаки на игроков в онлайн-игр и пользователей социальных сетей, ожидается усложнение вирусных технологий и рост числа ботнетов, а также развитие киберпреступности как бизнеса и сервисов.
Александр Гостев отметил, что экономический кризис окажет влияние на большинство тенденций вирусной индустрии. Так, к примеру, из-за сокращения штата «мирных» разработчиков ПО, программисты могут заняться написанием вредоносного кода для зарабатывания денег. Но поскольку «вирусный рынок труда» в целом и так не пустует, будет наблюдаться значительный рост конкуренции и увеличение масштабов атак. Эксперты «Лаборатории Касперского» не исключают ряд серьезных инцидентов, которые по своим масштабам могут превзойти ситуацию прошлых лет. Распространение сетевого червя Kido — первый пример подобных эпидемий.
Рынок вирусов, распространяемых посредством онлайн-игр, практически насытился. Доходы, получаемые от продажи логинов и паролей постепенно снижаются, антивирусные компании и производители игр научились эффективно бороться с игровыми червями, да и сами пользователи игровых сообществ со временем становятся предусмотрительнее.
Концепция функционирования гигантских распределенных систем-ботнетов, придуманная русскоязычными хакерами и реализованная во вредоносных программах Rustock.C, Sinowal (буткит) и нескольких других, продемонстрировала свою высокую эффективность и надежность. Злоумышленники, которые смогут создавать собственные системы, будут определять общий уровень угроз и связанных с ними проблем в будущем. На смену script-kiddies придут серьезные специалисты, способные создавать и поддерживать концепцию Malware 2.5.
Мошенничество в Сети и фишинг будут набирать обороты, а атаки злоумышленников станут более изощренными и интенсивными. Фишинг станет своеобразным «пристанищем» для хакеров и программистов, которые не выдержат конкуренции более сильных игроков.
Появление в вирусной индустрии программистов, ранее не задействованных в этой области, приведет к распространению вредоносного ПО на альтернативные платформы. Дифференциация коснется всех без исключения платформ и операционных систем, отличных от Microsoft Windows, но в первую очередь Mac OS и мобильных платформ. Ранее эти платформы использовались в основном для экспериментов, однако сейчас их доля на рынке уже достаточно велика для того, чтобы они стали представлять интерес для злоумышленников.
Итоги спама
О развитии и основных тенденциях распространения спама рассказал Андрей Никишин, директор лаборатории контентной фильтрации.
Главные темы спама 2008 года:
новый вид мошенничества: с использованием коротких номеров SMS;спам, касающийся работы социальных сетей;спам «для взрослых»;возврат к истокам: спам, использующий особенности языка html;спам про кризис, выборы и чемпионат по футболу.
Немного статистики: средняя доля спама за 2008 год выросла на 2,1% по сравнению с предыдущим годом и составила 82,1%. Минимальная доля спама в почтовом трафике составила 50,5% и была зафиксирована 13 ноября, а максимальная составила 97,8%, произошло это 1 марта.
2008 год вывел Россию в лидеры среди стран — источников спама в Рунете, доля русского спама составила 22%, сместив США с их 16% на второе место. За США с большим отрывом следуют остальные страны. При этом прослеживается неравномерный вклад в распространение спама по месяцам, к примеру, доля испанского спама в отдельные месяцы достигала 10%.
Новый вид мошенничества с использованием SMS позволил получить неплохую возможность заработка. Арендовавшие премиум-номера спамеры получали прибыль за счет высокой цены посланных SMS-сообщений. Технология проста: вам предлагается некая услуга или возможность, получить которую можно, отправив короткое сообщение на указанный номер, причем разнообразие подобных предложений ограничивается лишь воображением спамеров.
Социальные сети и в электронной почте стали возмутителями спокойствия. В июне прошла массовая рассылка писем, имитирующих уведомления с ресурса «Одноклассники.ru». Ссылка в сообщениях вела на страницу подложного сайта, содержащего троянскую программу. В октябре спамеры провели рассылки от имени ресурса «ВКонтакте», рекламируя новый вид «услуг», якобы предлагаемый администрацией сайта. При переходе по ссылке, содержащейся в письме, открывалась поддельная страница, имитирующая регистрационное окно сайта «ВКонтакте». Введенные пользователем логин и пароль попадали к фишерам.
2008 год возродил традиции html-спама. Среди использованных приемов было зашумление текста случайными фразами, помещенными в html-тэги (тэги-комментарии, тэги-цвета и т. д.). Большинство почтовых клиентов считают такие тэги вспомогательными и не показывают пользователям, которые видят только рекламный спамерский текст. Встречался метод под названием «Мона Лиза»: контактная информация показывается пользователю в виде картинки, состоящей из символов. Если раньше символами выступали буквы и пробелы, то в 2008 году спамеры комбинировали черные и белые ячейки html-таблицы.
Использование метода «Мона Лиза»
Как и прежде, спамеры используют «горячие» темы для привлечения внимания пользователей к рассылаемой рекламе. В этом году они не обошли вниманием всемирный чемпионат по футболу, выборы президента в США, а также мировой кризис. Во второй половине года слово «кризис» можно было встретить в рекламе любых товаров и услуг.
В течение года в спаме возникали новые тематические рубрики и менялись тематики-лидеры. Во втором полугодии на 6% сократилась доля спама рубрики «Другие товары и услуги», более чем на 15% увеличилась доля спама «для взрослых», который рассылается в том числе для так называемой «накачки трафика».
Специалисты «Лаборатории Касперского» подсчитали примерный уровень доходов спамеров. Объем рынка спам-рассылок в России составил не менее 150-200 млн. долл. за 2008 год.
Что касается прогнозов на 2009 год, Андрей Никишин обратил внимание на следующие моменты:
особо популярен будет спам криминального характера;возродится фишинг;количество спама вернется на прежний уровень;спам станет для многих компаний единственным типом доступной рекламы;все новые технологии в спам-рассылках будут в системах управления бот-сетями.
В заключение приведем ответ Александра Гостева на вопрос о методах защиты компьютера (помимо антивирусных программ, фильтрации спама и установки свежих патчей к программам): «Не пользуйтесь Internet Explorer — переходите на другие браузеры! Не пользуйтесь MS Windows — переходите на другие системы. Лично я уже перешел».
Марина Эль
9 февраля 2009 г.