Записи с меткой «зловред»

новости от «Лаборатории Касперского»

https://i1.wp.com/pconsumibles.com/productos/f.1372096736.jpg

«Лаборатория Касперского» и крупнейший в Рунете регистратор доменных имен RU-CENTER объявляют о сотрудничестве и объединении усилий с целью предотвращения использования злоумышленниками доменов русскоязычного сегмента Сети в своих преступных интересах.

В рамках заключенного соглашения эксперты «Лаборатории Касперского» будут выявлять случаи использования доменных имен в целях фишинга, для несанкционированного доступа в информационные системы, а также для распространения вредоносных программ и управления ботнетами. Затем эти данные будут передаваться компании RU-CENTER с тем, чтобы регистратор мог оперативно прекратить делегирование доменов, используемых в противоправных целях.

Эффективность подобного сотрудничества уже была подтверждена недавним инцидентом, в рамках которого в Сети был обнаружен клон доменного имени известного в России интернет-магазина. В фальшивом домене буква «m» в его названии была заменена злоумышленниками сочетанием букв rn», что делало его визуально похожим на легальный веб-сайт магазина. При этом «лжедомен» использовался злоумышленниками для нелегального получения конфиденциальных данных пользователей и коммерческой информации. После выявления нарушения регистратор RU-CENTER прекратил делегирование фишингового домена.

«Как аккредитованный регистратор мы регулярно получаем от уполномоченных Координационным центром экспертных организаций обращения о снятии доменных имен-нарушителей с делегирования. Подобное взаимодействие дает нам возможность оперативно пресекать деятельность злоумышленников в Сети. Домены оперативно разблокируются, если причина их отключения устранена владельцем, — рассказывает Андрей Воробьев, директор департамента по связям с общественностью и взаимодействию с органами государственной власти RU-CENTER. — Мы рады, что теперь в числе наших партнеров «Лаборатория Касперского» с ее широким опытом и экспертизой в распознавании и устранении киберугроз».

«При существующем сегодня многообразии и сложности киберугроз борьба с ними должна вестись не только локально на компьютере пользователя, но и более глобально, в частности в рамках сотрудничества с организациями, имеющими отношение к IT и цифровому контенту. Обнаружение угрозы на уровне домена позволит не только избежать многочисленных инцидентов, но также закроет для киберпреступников этот канал распространения зловредов. Уверен, что объединение усилий с крупнейшим в Рунете регистратором доменных имен позволит нам добиться хороших результатов в борьбе с киберугрозами в Сети», — отметил Руслан Стоянов, руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского».

Ранее подобное соглашение о защите интернет-пространства на уровне доменов «Лаборатория Касперского» заключила с Координационным центром национального домена сети Интернет. В рамках этого сотрудничества стороны предотвращают несанкционированное использование доменных имен верхнего уровня .ru и .рф.

О RU-CENTER

RU-CENTER (ЗАО «Региональный Сетевой Информационный Центр») — первый в России и крупнейший профессиональный регистратор доменов и один из ведущих хостинг-провайдеров. RU-CENTER является аккредитованным регистратором доменных имен в 23 доменах верхнего уровня: RU, РФ, SU, NET, COM и других доменах, обеспечивает регистрацию в 62 геодоменах России и стран СНГ, а также в доменах COM.RU, PP.RU, ORG.RU и NET.RU. RU-CENTER работает на рынке регистрации доменов уже больше 10 лет и в настоящее время обслуживает свыше 3 млн доменных имен. С июня 2012 года RU-CENTER входит в состав Группы компаний Hosting Community, объединяющей крупнейших российских хостинг-провайдеров и регистраторов доменных имен. Более подробная информация о компании представлена на официальном сайте http://nic.ru.

О «Лаборатории Касперского»

«Лаборатория Касперского» — крупнейшая в мире частная компания, специализирующаяся в области разработки программных решений для обеспечения IT-безопасности. Компания входит в четверку ведущих мировых производителей защитных систем класса Endpoint Security*. Вот уже более шестнадцати лет «Лаборатория Касперского» предлагает эффективные защитные решения для крупных корпораций, предприятий среднего и малого бизнеса и домашних пользователей. Ключевым фактором успеха компании является инновационный подход к обеспечению информационной безопасности. Технологии и решения «Лаборатории Касперского» защищают более 300 миллионов пользователей почти в 200 странах и территориях мира. Более подробная информация доступна на официальном сайте www.kaspersky.ru.


*Компания заняла четвертое место в рейтинге аналитического агентства IDC «Выручка вендоров от продажи решений класса Endpoint Security» (Worldwide Endpoint Security Revenue by Vendor) за 2012 год. Рейтинг был включен в отчет IDC «Прогноз развития мирового рынка решений класса Endpoint Security на 2013-2017 гг. и доли вендоров в 2012 г.» (Worldwide Endpoint Security 2013—2017 Forecast and 2012 Vendor Shares), опубликованный в августе 2013 года (IDC #242618). В основу рейтинга легли данные о выручке от продаж решений класса Endpoint Security в 2012 году.

Реклама

https://i1.wp.com/www.lacnet.ru/itservice/kaspersky/Kaspersky_rus.gif

79% родителей хотели бы обезопасить своих детей в Сети с помощью специальных защитных решений

Когда речь заходит о детях в Интернете, то всеобщая доступность Сети превращается в источник не только полезной информации и развлечений, но и угроз об этом свидетельствуют результаты исследования*, проведенного «Лабораторией Касперского» совместно с аналитическим агентством B2B International.

Более трети (36%) российских родителей признают, что их дети подвергались риску в Сети. Из них 20% сталкивались с нежелательным контентом, а 5% вступали в переписку с незнакомцами. В целом 79% взрослых согласились с тем, что эффективные средства для защиты детей в Интернете были бы очень полезны и востребованы ими. Однако, как показали результаты исследования, использовать их мамы и папы не спешат: каждый пятый родитель в России  не предпринимает никаких действий для того, чтобы обезопасить своего ребенка в Интернете. Помимо этого, 18% регулярно разрешают детям пользоваться своим смартфоном или планшетом без присмотра за этим процессом.

Те взрослые, которые все же решили обезопасить своего ребенка, выбирают различные методы защиты. Так, 39% родителей ограничивают время, которое дети проводят в Интернете, а 30% регулярно проверяют историю браузера. При этом лишь 26% используют защитное ПО с функциями родительского контроля. Многие даже не подозревают, что неконтролируемый серфинг в Сети может иметь множество последствий, которые не ограничиваются банальным заражением используемого устройства зловредами. Например, ребенок может оплатить услуги с помощью кредитной карты родителей или удалить рабочие документы.

«Не имея достаточного опыта работы с компьютерами и мобильными устройствами, дети ненамеренно совершают ошибки, за которые часто приходится платить родителям. 17% опрошенных мам и пап в России понесли финансовые убытки, либо потеряли важные данные из-за действий ребенка. В основном, дети случайно удаляли важные сведения и без спроса пользовались платежными средствами», — говорит Константин Игнатьев, руководитель группы анализа веб-контента «Лаборатории Касперского».

Для обеспечения надежной защиты ребенка в Интернете «Лаборатория Касперского» разработала модуль «Родительский контроль», доступный в защитном решении Kaspersky Internet Security для всех устройств. Благодаря ему вы сможете блокировать сайты с нежелательным контентом, вводить ограничения на распространение персональных данных, ограничивать время, которое ребенок проводит за  компьютером и многое другое.

Как подписаться на новостные блоки и отписаться от них

Если вы хотите подписаться на другие новостные блоки «Лаборатории Касперского» пройдите, пожалуйста, по ссылке: http://www.kaspersky.ru/subscribe/.

Отменить подписку на данный новостной блок можно, посетив сайт компании по следующему адресу: http://www.kaspersky.ru/subscribe/news/unsubscribe?p=$BGtsgWtcEpfH_6INjfrHrR-v2wznmVo2NhFEHGFJErq$

Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся под новости «Лаборатории Касперского», сообщаем, что оригинальные сообщения поставляются исключительно в формате html и никогда не содержат вложенных файлов. Если вы получили письмо, не удовлетворяющее этим условиям, пожалуйста, ни в коем случае не открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

В случае возникновения трудностей с получением новостей вы можете связаться с нами по адресу webmaster@kaspersky.com.

Для получения консультации по вопросам технической поддержки продуктов «Лаборатории Касперского» воспользуйтесь, пожалуйста, сервисом Личный кабинет. Перед отправкой запроса в службу техподдержки рекомендуем просмотреть наши ответы на часто задаваемые вопросы в Базе знаний: http://support.kaspersky.ru/.

****

Служба новостей «Лаборатории Касперского»

новости от «Лаборатории Касперского» Kaspersky Lab News Agent <news@kaspersky.com> <news@kaspersky.com>

В отношении информационной безопасности 2013 год  стал в определенной степени годом сенсаций и переосмысления ситуации. К такому заключению пришли эксперты «Лаборатории Касперского» в процессе анализа всех киберинцидентов, случившихся в уходящем году.

В течение последних 12 месяцев киберпреступники продолжали осуществлять крупномасштабные атаки и шпионские кампании, активно использовать эксплойты для проникновения в информационные системы, совершать атаки на мобильные устройства и охотиться за персональной и конфиденциальной информацией пользователей. Вместе с тем на этой арене появились новые игроки и наметились новые тенденции, а проблемы защиты частной жизни приобрели особую остроту.

2013 год ознаменовался появлением «кибернаемников» — небольших хакерских групп, специализирующихся на проведении молниеносных атак на заказ. Эти злоумышленники скрупулезно выбирают своих жертв и с хирургической точностью наносят удары, а затем искусно заметают следы. Одним из примеров успешно выполненной атаки с помощью наемных хакеров стала операция Icefog, в наибольшей степени затронувшая различные южнокорейские организации. По мнению экспертов «Лаборатории Касперского», в следующем году эта тенденция будет только набирать обороты, и к услугам кибернаемников будут прибегать самые разнообразные компании с целью экономического кибершпионажа и получения конкурентного преимущества.

Среди множества таргетированных атак, зафиксированных в этом году, отдельного внимания заслуживают атаки на софтверные компании. Так, раскрытая «Лабораторией Касперского» кампания киберкриминальной группы Winnti была нацелена на кражу исходных кодов ряда разработчиков компьютерных игр, а жертвой еще одной подобной атаки стала компания Adobe, у которой были украдены исходники программ. Кража подобного рода данных дает злоумышленникам прекрасную возможность найти уязвимость в программном обеспечении или же модифицировать его, добавив, например, бэкдоры. Именно поэтому в 2014 году возможен рост атак на разработчиков софтверных продуктов. И весьма вероятно, что в зоне особого риска окажутся создатели мобильных приложений.

Мобильные угрозы в принципе стали невероятно актуальной темой уходящего года. Как и в предыдущем году, количество зловредов для смартфонов росло в геометрической прогрессии. Наибольший удар, как и следовало ожидать, пришелся на Android — на эту платформу нацелено уже 98,05% всех известных мобильных угроз. Вместе с этим настороженность у экспертов вызывает усложнение мобильных зловредов. Ярким примером этой тенденции стал обнаруженный в июне троянец Obad, являющийся на сегодняшний день самой сложной многофункциональной угрозой. Этот зловред не только хорошо маскируется и выполняет множество вредоносных команд, но также использует новые методы распространения — например, через мобильные ботнеты. И, как полагают эксперты «Лаборатории Касперского», в новом году мобильные ботнеты получат еще большее распространение, а вредоносные программы для мобильных ОС продолжат усложняться.

Большой интерес в этом году как у интернет-пользователей, так и у киберпреступников вызывала электронная валюта биткойн. Ее быстрое распространение в Сети, фантастический рост стоимости, превысивший к декабрю отметку в 1000 долларов США, и периодические обрушения курса создали немало новостных поводов. Вместе с тем популярность биткойнов закономерно привлекла к ним внимание киберпреступников. Атаки на платежные системы, биржи и простых владельцев биткойн-кошельков в 2014 году наверняка станут одной из самых громких тем. Однако эксперты «Лаборатории Касперского» предупреждают и о другой опасности: нестабильная ситуация, сложившаяся вокруг этой валюты, может привести к тому, что в следующем году биткойн просто рухнет.

Очевидной тенденцией 2013 года стало смещение акцентов в средствах достижения злоумышленниками своих целей: вместо применения широкого набора вредоносного ПО для заражения компьютера киберпреступники стали все чаще полагаться на так называемый человеческий фактор. Об этом свидетельствуют, к примеру, участившиеся атаки типа watering hole, когда злоумышленники преднамеренно заражают часто посещаемый пользователем веб-ресурс, даже если этот ресурс и этот пользователь не являются их конечной целью. Такой подход дает преступникам высокие шансы успешно проникнуть в корпоративную сеть при минимальных трудозатратах. Именно атаки типа watering hole позволили злоумышленникам успешно провести кампанию, нацеленную на сайты тибетских и уйгурских активистов. Также этот метод был задействован в рамках крупной кибершпионской кампании NetTraveler.

«Некоторые из открытий 2013 года заставили нас по-новому посмотреть на то, как мы используем Интернет и с какими видами рисков нам приходится сталкиваться. Особо сильный удар был нанесен доверию пользователей и к Всемирной сети в целом, и к отдельным интернет-сервисам в частности. Способствовали этому разоблачения Эдварда Сноудена, усложнение угроз, появление новых категорий киберзлодеев, компрометация ряда сервисов и сайтов, — комментирует итоги года Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — Мы предполагаем, что через весь 2014 год красной нитью пройдет тема восстановления этого пошатнувшегося доверия. В стремлении сохранить тайну частной жизни пользователи все чаще буду обращаться к сервисам шифрования информации. Вместе с тем под угрозой окажутся облачные сервисы и хранящиеся там данные, поскольку хакерам гораздо проще взломать облачного провайдера и украсть или модифицировать терабайты данных любой компании или нескольких компаний сразу».

На фоне всего этого многообразия угроз эксперты «Лаборатории Касперского» отмечают, что Интернет в его привычном глобальном понимании может исчезнуть, а на его место придут десятки отдельных национальных сетей с ограниченным доступом к иностранным ресурсам. До недавнего времени подобной закрытостью сети отличался только Китай, но уже сегодня ряд стран, включая Россию, приняли или готовятся принять законы, запрещающие использование иностранных сервисов в ряде случаев. С учетом постоянного роста и усложнения угроз эти стремления будут только нарастать, и законодательные ограничения неизбежно приведут к техническим запретам.

Подробнее о самых значимых киберинцидентах и тенденциях 2013 года, а также о вероятных направлениях развития отрасли информационной безопасности в наступающем 2014 году читайте в традиционном ежегодном отчете «Лаборатории Касперского» по адресу: http://www.securelist.com/ru/analysis/208050823/Kaspersky_Security_Bulletin_2013_Razvitie_ugroz_v_2013_godu.

Видеокомментарий главного антивирусного эксперта «Лаборатории Касперского» Александра Гостева можно посмотреть здесь: http://www.youtube.com/watch?v=iFVPZEJkCys.

Не нравится: под видом программы для взлома «ВКонтакте» распространяется зловред с кросс-платформенными возможностями

Posted: Ноябрь 27, 2013 in Антивирус, Известность, Касперский, Личность, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, люди, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, человечество, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Kaspersky Lab

Эксперты «Лаборатории Касперского» обнаружили образец вредоносного ПО, написанный с использованием кроссплатформенной среды для запуска приложений Adobe AIR. В одном из выявленных случаев этот зловред, обладающий функционалом бэкдора и содержащий компоненты для проведения DDoS-атак, был выложен на файлообменном ресурсе под видом программы для взлома популярной социальной сети «ВКонтакте». Одной из целей разработчиков этого ПО было создание ботнета, а использование технологий Adobe AIR делает его угрозой для всех популярных платформ.

Специалисты «Лаборатории Касперского» предполагают, что у авторов вредоносной программы не возникло проблем с ее распространением: возможно, ссылка на выложенный файл с дистрибутивом передавалась по каналам внутри самой социальной сети «ВКонтакте» и предназначалась незащищенным пользователям, интересующимся чужой личной перепиской.

Дистрибутив вредоносной программы скачивался жертвами с файлообменного ресурса

Для усыпления бдительности пользователя установщик создавал папки, содержащие файлы, которые не несли никакой полезной нагрузки. В то же время в системной директории Windows появлялся рабочий каталог вредоноса с необходимыми для функционирования файлами. После этого запускался скрытый процесс, скачивающий с командного сервера набор дополнительных компонентов, предназначенных для проведения DDoS-атак и увеличения количества просмотров видео на хостинге YouTube, — таким образом зараженный компьютер присоединялся к ботнету злоумышленников.

Особая опасность подобных вредоносных программ, написанных с использованием AIR, заключается в том, что они могут быть запущены на нескольких платформах, для которых компания Adobe и ее партнеры реализуют среду выполнения — Microsoft Windows, Mac OS X, Linux и Android. Несмотря на то что пока специалистам «Лаборатории Касперского» удалось зарегистрировать только реализацию под Windows, не исключена вероятность появления идентичных по функционалу версий, предназначенных для других платформ, что приведет к созданию кросс-платформенного ботнета.

«Чтобы уберечь свой компьютер от этой и других угроз, мы настоятельно рекомендуем помимо использования защитного решения с актуальными антивирусными базами игнорировать ссылки, полученные от неизвестных пользователей, и, по возможности, скачивать файлы только с доверенных ресурсов», — заключил Святослав Торопчанин, антивирусный эксперт «Лаборатории Касперского».

На данный момент все решения «Лаборатории Касперского» детектируют вредоносное ПО и его компоненты как Backdoor.SWF.Airtube.a и Trojan-DDos.SWF.Airtube.a соответственно. Подробное описание особенностей организации ботнета с использованием Adobe AIR доступно по адресу: www.securelist.com/ru/blog/207768971/Airtube_mnimyy_vzlomshchik_VKontakte_na_baze_Adobe_AIR.

Предновогодние хлопоты злоумышленников: «Лаборатория Касперского» предупреждает о возможных атаках с использованием нового банковского троянца

Новый банковский троянец Neverquest может стать причиной волны атак на финансы интернет-пользователей в преддверии праздничного сезона. К такому выводу пришли эксперты «Лаборатории Касперского» после внимательного изучения этого зловреда, еще не успевшего получить большую популярность у киберпреступников, но имеющего широкий вредоносный функционал и готового, по уверениям его создателей, к атаке на «любой банк любой страны».

Вредоносная программа Neverquest содержит модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков через браузеры Internet Explorer и Mozilla Firefox. Вредоносный код внедряется в страницы банковских сайтов при их загрузке в указанные браузеры. Список сайтов, с которыми «работает» троянец, уже сегодня включает в себя порталы известных банков и платежных систем. Более того, дополнительный функционал Neverquest позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень.

Когда пользователь зараженного компьютера заходит на любой веб-сайт из этого списка, Neverquest, контролируя соединение браузера с сервером, дает злоумышленникам возможность модифицировать содержимое загружаемой веб-страницы и перехватить все введенные пользователем данные, включая логин и пароль. Получив таким образом доступ к банковскому счету, киберпреступники переводят деньги пользователя на свои счета или, для запутывания следов, — на счета других жертв.

Neverquest также обладает возможностями самораспространения. Помимо реквизитов доступа к веб-банкингу троянец крадет данные учетных записей от FTP-серверов, с которым работает пользователь. Затем злоумышленники с помощью эксплойтов используют учетные записи для распространения Neverquest другим жертвам. В функционал этой вредоносной программы входит также кража данных от учетных записей электронной почты пользователя, которые впоследствии применяются злоумышленниками для рассылки спама с вложенной программой-установщиком троянца Neverquest. Как правило, подобные сообщения подделываются под официальные уведомления различных сервисов.

Помимо всего прочего, аналитики «Лаборатории Касперского» обнаружили, что широкий функционал Neverquest дает возможность сбора данных для доступа к аккаунтам популярных социальных сервисов: Facebook, ВКонтакте, Flickr, Twitter, MySpace и др. Такая опция предоставляет киберпреступникам дополнительные каналы для распространения троянца. До настоящего времени случаев распространения Neverquest через эти сервисы замечено не было, однако ничто не мешает злоумышленникам воспользоваться такой возможностью.

Еще одной настораживающей особенностью нового зловреда является то, что он поддерживает практически все способы обхода защиты систем онлайн-банкинга. Все эти факторы и продуманные вредоносные возможности Neverquest теоретически могут привести к резкому увеличению числа жертв этой программы.

«Этот зловред появился относительно недавно, и злоумышленники работают с ним еще не в полном объеме. Однако с учетом возможности Neverquest по самораспространению число атакованных пользователей может значительно вырасти за небольшой промежуток времени, — рассказывает Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». — Канун Нового года и Рождества — период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам. В свете этой тенденции мы не исключаем, что ближе к концу года могут начаться массовые атаки Neverquest, поэтому пользователям стоит проявлять особую осмотрительность в Сети и непременно обеспечивать безопасность своих финансовых транзакций специальными защитными решениями».

Более подробно о функционале нового банковского троянца Neverquest, способах его распространения и опасностях, которым он может подвергнуть интернет-пользователей, читайте в аналитической статье Сергея Голованова на сайте www.securelist.com/ru/analysis/208050821/Novaya_ugroza_dlya_onlayn_banka.

Борьба Севера и Юга? «Лаборатория Касперского» раскрывает новую кампанию кибершпионажа против Южной Кореи

«Лаборатория Касперского» обнаружила новую кампанию
кибершпионажа, нацеленную преимущественн

о на южно-корейские
государственные структуры и научно-исследовательские институты.
Операция, получившая название Kimsuky, ограничена и таргетирована
— как показал анализ, ее целями являлись 11 организаций в Южной
Корее и 2 — в Китае. В частности, атаке подверглись Сечжонский
Институт, Корейский Институт Защитного Анализа (KIDA), Министерство
Объединения, логистическая компания Hyundai Merchant Marine и сторонники
объединения республики Кореи.

Признаки активности были замечены 3 апреля 2013 года, а первые образцы
троянца Kimsuky стали доступны 5 мая. Эту относительно несложную
шпионскую программу отличает наличие ошибок в коде, а также
осуществление коммуникаций с помощью болгарского бесплатного почтового
сервера mail.bg.

Хотя точный способ заражения еще не установлен, эксперты
«Лаборатории Касперского» уверены, что распространение
Kimsuky происходило посредством рассылки целевых фишинговых писем. Этот
троянец обладает таким функционалом, как слежение за нажатием клавиш,
составление и кража списка файлов во всех каталогах, удаленное
управление компьютером и хищение документов формата HWP, повсеместно
используемого в южнокорейских госучреждениях в составе пакета Hancom
Office. Наличие последнего функционала дает все основания полагать, что
кража HWP-файлов — одна из основных задач троянца. Также атакующие
используют модифицированную версию легитимного приложения удаленного
управления компьютером TeamViewer в качестве бэкдора, с помощью которого
затем получают любые файлы с зараженной машины.

Улики, обнаруженные экспертами «Лаборатории Касперского»,
дают возможность предполагать наличие «следа» Северной
Кореи. Прежде всего, список целей атаки говорит сам за себя —
южнокорейские университеты, занимающиеся изучением международных
отношений и разработкой государственной оборонной политики, национальная
логистическая компания и группы политических активистов, выступающих за
объединение республики Корея. Во-вторых, строка кода зловреда содержит
корейские слова, которые переводятся как «атака» и
«финал».

Наконец, два почтовых адреса iop110112@hotmail.com и
rsh1213@hotmail.com, на которые зараженные компьютеры отправляют
уведомления о своем статусе и пересылают украденные данные во вложениях,
зарегистрированы на имя Kim: kimsukyang и Kim asdfa. И, несмотря на то,
что эта регистрационная информация не раскрывает ничего о
злоумышленниках, их IP-адреса дополняют картину: 10 зарегистрированных
IP-адреса принадлежат сети китайских провинций Гирин и Ляонин,
граничащих с Северной Кореей. По различным данным, поставщики услуг,
предоставляющие доступ в Интернет в этих провинциях, также имеют
проложенную сеть в некоторых регионах Северной Кореи.

Еще один интересный геополитический аспект Kimsuky в том, что он обходит
только защитные продукты южнокорейской антивирусной компании AhnLab. В
свою очередь продукты «Лаборатории Касперского» детектируют
и нейтрализуют эти угрозы, классифицируя их как Trojan.Win32.Kimsuky, а
модифицированные компоненты TeamViewer как Trojan.Win32.Patched.ps.

«Безусловно, Kimsuky — еще одно доказательство того, что
кибершпионаж становится все более популярным инструментом на
международной арене. Однако эта кампания интересна еще и тем, что
троянец написан с откровенными ошибками и обладает довольно простым
функционалом. Это говорит о том, что уже сегодня даже небольшая группа
людей при помощи относительно несложного вредоносного кода может
совершить атаку на крупные организации и государственные структуры. На
основании этого мы можем ожидать в скором будущем появления еще большего
количества подобных кампаний — возможно, не самых профессиональных
с точки зрения технического исполнения, но от того не менее
опасных», — прокомментировал Дмитрий Тараканов, антивирусный
эксперт «Лаборатории Касперского».

Ознакомиться с подробными результатами исследования кампании Kimsuky
можно, пройдя по ссылке: www.securelist.com/ru.

Черная дыра стала ближе: «Лаборатория Касперского» изучила распространенный эксплойт-пак BlackHole

Уязвимости в легитимном ПО являются одним из самых популярных у
злоумышленников способов заражения пользовательских устройств и
корпоративных сетей. По статистике «Лаборатории
Касперского», чаще всего компьютеры атакуют эксплойты,
использующие уязвимости в Java. При этом киберпреступники, как правило,
задействуют не один эксплойт, а целые наборы подобных зловредов —
эксплойт-паки. Эксперты «Лаборатории Касперского»
внимательно изучили один из таких наборов — широко
распространенный BlackHole, исследовав как процесс заражения компьютера
с помощью этого эксплойт-пака, так и механизмы защиты от него и подобных
ему зловредов, использующих уязвимости в ПО.

Любовь злоумышленников к эксплойт-пакам объясняется просто: в отличие от
отдельных вредоносных программ такие наборы значительно повышают
результативность атаки, поскольку наличие сразу нескольких разных
эксплойтов увеличивает шансы на то, что подходящая уязвимость в ПО будет
найдена. В частности, в эксплойт-пак BlackHole входят 3 эксплойта для
Oracle Java и 4 для Adobe Flash Player и Adobe Reader. При этом для
поддержания этого «инструмента» в рабочем состоянии
злоумышленники постоянно меняют набор эксплойтов, а также вносят
изменения в код для того, чтобы усложнить детектирование зловредов
антивирусными решениями.

Как правило, эксплойт-пак содержит стартовую страницу, которая
используется для того, чтобы определить параметры компьютера (версию
операционной системы и браузера, наличие плагинов и определенных
программ и т.п.) и подобрать соответствующие эксплойты для атаки. Затем,
если зловред находит подходящую брешь в программном обеспечении,
начинается непосредственный запуск эксплойта.

Эксперты «Лаборатории Касперского» отмечают, что
злоумышленники предпринимают немалые усилия для того, чтобы усложнить
задачу разработчикам защитного ПО. В частности они шифруют программный
код и периодически меняют этот шифр, а также добавляют мелкие,
незначительные изменения в код, которые могут помешать сигнатурному
детектированию.

Но несмотря на все эти уловки современные защитные решения могут
эффективно противостоять атакам с использованием эксплойтов, причем
распознавание угроз и их предупреждение осуществляется на всех этапах
срабатывания эксплойт-пака. К примеру, решения «Лаборатории
Касперского» блокируют возможность перехода на зараженный сайт,
ведущий на стартовую страницу эксплойта, а также распознают зловредов,
сверяя код всех запускаемых программ с обширной базой данных
вредоносного ПО или анализируя поведение программ. Кроме того, отдельная
технология «Защита от эксплойтов», встроенная в продукты
«Лаборатории Касперского», позволяет вовремя распознать
эксплойт среди всех других программ и предотвратить его запуск на
компьютере.

«Эксплойт-паки — это комплексная система проникновения на
компьютер жертвы. И если раньше эксплойты и загружаемые с их помощью
вредоносные программы создавались одними и теми же людьми, то сегодня в
этой киберпреступной индустрии наблюдается распределение труда: кто-то
создает и продает эксплойт-паки, кто-то обеспечивает приход
пользователей на стартовые страницы эксплойтов, кто-то пишет
распространяемые в ходе атак вредоносные программы. Так что теперь
злоумышленнику, желающему заразить компьютеры пользователей, достаточно
просто купить готовый эксплойт-пак и сопутствующие ему
«сервисы». В таких условиях качественное защитное ПО,
обладающее проактивными технологиями защиты, становится жизненно
необходимым», — рассказывает Вячеслав Закоржевский,
руководитель группы исследования уязвимостей «Лаборатории
Касперского».

Подробнее о том, как действуют эксплойт-паки, почему злоумышленники
шифруют код и какие приемы они для этого используют, как происходит
заражение компьютера и каким образом антивирусное ПО может распознать
эксплойт и защитить пользователя, читайте в статье Вячеслава
Закоржевского на сайте
www.securelist.com/ru/analysis/208050809/Kak_zakryt_chernuyu_dyru.

Зловред зловреда везет: мобильные троянцы теперь распространяются и через сторонние мобильные ботнеты

Эксперты «Лаборатории Касперского» впервые зафиксировали
новый способ распространения мобильных троянцев — через мобильные
ботнеты, созданные на основе другой вредоносной программы. По крайней
мере, именно этот метод, среди прочих традиционных, избрали
злоумышленники, стоящие за самым сложным мобильным троянцем Obad с
широкими вредоносными функциями и хорошо зашифрованным кодом.

Использование сторонних мобильных ботнетов для распространения зловреда
резко увеличивает возможную «область поражения», чего трудно
добиться привычными способами типа традиционных спам-рассылок или
перенаправления на взломанные сайты. Чаще всего жертвами этого опасного
троянца становятся пользователи устройств на платформе Android в России
(более 83% случаев), Узбекистане, Казахстане, Белоруссии и на Украине.

Сам троянец Obad был обнаружен специалистами «Лаборатории
Касперского» в мае этого года. После внимательного изучения
эксперты не только полностью расшифровали код вредоносной программы, но
и проанализировали избранные злоумышленниками способы ее распространения
в мобильной среде Android. В частности, они выяснили, что создатели Obad
стали первыми, кто использовал для распространения своего троянца
возможности ботнетов, созданных на основе других мобильных зловредов.

Obad распространяется с мобильных ботнетов на базе другого
«популярного» в России и других странах СНГ троянца Opfake.
После активации на зараженном мобильном устройстве Opfake может по
команде, поступающей от сервера, начать рассылку SMS с вредоносной
ссылкой по всем контактам жертвы. Если пользователь перейдет по
предлагаемой ссылке, то на его устройство автоматически загрузится
вредоносная программа. Как правило, таким образом Opfake распространяет
ссылки на самого себя. Однако экспертами «Лаборатории
Касперского» были зафиксированы и массовые рассылки сообщений со
ссылками на Obad. Мощности ботнета на базе Opfake позволяют быстро и
резко увеличивать объемы подобных SMS-рассылок и, как следствие, число
инфицированных троянцем Obad мобильных устройств.

«Мы впервые сталкиваемся с тем, что для распространения мобильных
троянцев используются сторонние мобильные ботнеты. Это факт говорит о
том, что киберпреступники продолжают адаптировать отработанные приемы
заражения ПК для других набирающих популярность платформ, —
рассказывает Роман Унучек, ведущий антивирусный эксперт
«Лаборатории Касперского». — Всего за три месяца
исследований мы обнаружили 12 версий троянца Obad. Все они обладают
схожим функционалом, характеризуются высокой степенью зашифрованности
кода и используют уязвимость в ОС Android, которая позволяет зловреду
скрывать свое присутствие, что крайне усложняет его удаление. Однако
новый продукт Kaspersky Internet Security для Android
«хитрее» этого троянца и легко удаляет Obad из любой версии
Android».

Подробнее об использовании возможностей мобильных ботнетов для
распространения самого сложного мобильного троянца Obad, а также о
других способах попадания этого зловреда на смартфоны и планшеты на базе
Android читайте в аналитической статье Романа Унучека на сайте
www.securelist.com/ru/blog/207768923/Rasprostranenie_troyantsa_Obad_a_teper_i_mobilnye_botnety

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — первой разработала утилиту, успешно справляющуюся с последствиями вредоносных действий троянца-шифровальщика Trojan.Encoder.252. Новая версия представителя известного семейства троянцев-энкодеров опасна тем, что шифрует данные пользователей и вымогает у них деньги за расшифровку пострадавших файлов. Этот троянец попадает на компьютеры жертв через спам-рассылку якобы от арбитражного суда.

Один из выявленных способов распространения этой вредоносной программы — почтовая рассылка с вложением, отправляемая якобы от арбитражного суда. Запустившись на компьютере жертвы, троянец сохраняет свою копию в одной из системных папок под именем svhost.exe, модифицирует отвечающую за автоматическую загрузку приложений ветвь системного реестра и запускается.

Троянец Trojan.Encoder.252 шифрует файлы только в том случае, если инфицированный компьютер подключен к Интернету. При этом вредоносная программа последовательно обходит дисковые накопители от С: до N: и получает список файлов с заданными расширениями (.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf), который сохраняет в текстовый файл. Затем Trojan.Encoder.252 проверяет доступность своих серверов, на которые впоследствии отсылается ключ шифрования. Если данные серверы недоступны, троянец выводит на экран сообщение якобы от арбитражного суда с предложением проверить настройки подключения к Интернету. В случае успешного завершения шифрования к именам файлов дописывается строка Crypted, а в качестве обоев Рабочего стола Windows устанавливается следующее изображение:

screenshot

Также на компьютере жертвы появляется текстовый файл ПРОЧТИЭТО.txt, содержащий ID для расшифровки файлов, уникальный для каждого компьютера.

Несмотря на то, что на нескольких тематических ресурсах в Интернете сообщалось о невозможности расшифровки файлов в силу особенностей используемых троянцем Trojan.Encoder.252 алгоритмов шифрования, специалисты компании «Доктор Веб» разработали специальную утилиту, успешно справляющуюся с этой задачей. Правда, для подбора ключей потребуется компьютер с мощной аппаратной конфигурацией: на обычных домашних ПК этот процесс может занять около месяца, однако на сервере, оснащенном 24 процессорными ядрами, был поставлен своеобразный рекорд: ключ удалось подобрать за 20 часов. Данная утилита стала своего рода испытательным полигоном для множества инновационных идей, рожденных вирусными аналитиками «Доктор Веб» — все эти идеи будут применяться и в будущем для расшифровки файлов, пострадавших от действия троянцев-энкодеров файлов. Исследования в области разработки новых методов борьбы с шифровальщиками тем временем продолжаются.

Если вы стали жертвой вредоносной программы Trojan.Encoder.252, придерживайтесь простых правил, которые помогут вам вернуть зашифрованные файлы:

  • не меняйте расширение зашифрованных файлов;
  • не переустанавливайте операционную систему — в этом случае вернуть данные будет уже невозможно;
  • не пытайтесь «чистить» или лечить операционную систему с использованием различных утилит и специальных приложений;
  • не запускайте утилиты Dr.Web самостоятельно, без консультации с вирусным аналитиком;
  • напишите заявление о совершенном преступлении в правоохранительные органы;
  • обратитесь в антивирусную лабораторию компании «Доктор Веб», прислав зашифрованный троянцем DOC-файл и дождитесь ответа вирусного аналитика.

Помните, что в связи с большим количеством запросов персональная помощь в расшифровке файлов оказывается только лицензионным пользователям продукции Dr.Web. Специалисты компании призывают пользователей не пренебрегать необходимостью регулярного резервного копирования хранящейся на дисках вашего компьютера информации.

Источник

Сегодня уже никого не удивишь таким способом кражи денег у владельцев
Android-смартфонов, как отправка коротких сообщений на платные номера.
Многие пользователи хорошо проинформированы о таких угрозах и привыкли
следить за своим мобильным счетом. Однако специалисты ‘Лаборатории
Касперского обнаружили принципиально новую схему работы мобильных
зловредов, которая позволяет злоумышленникам быстро и незаметно украсть
у ничего не подозревающей жертвы значительную сумму денег.

Особенность текущей схемы работы SMS-троянцев, рассылающих сообщения на
премиум-номера, заключается в том, что при монетизации украденных
средств, значительная часть денег уходит ‘посредникам’, зачастую ни о
чем не подозревающим: оператору сотовой связи, контент-провайдеру и
организаторам партнерской программы. Поэтому чаще всего зловред
старается отправить сразу 2-3 дорогих сообщения на весомую сумму,
например, 1000 рублей, что привлекает внимание жертвы. В такой ситуации
появление новых способов отъема денег у населения было лишь вопросом
времени.

В июле эксперты ‘Лаборатории Касперского обнаружили троянец, задачей
которого было выполнение инструкций, поступающих с удаленного командного
сервера. Это характерное поведение для вредоносов такого класса, однако,
дальнейшее расследование показало, что новый SMS-зловред предоставлял
своим владельцам возможность хищения денег не с мобильного, а c
банковского счета жертвы.

Данный троянец лишен самостоятельности и, связываясь с управляющим
сервером, только транслирует команды злоумышленника, пересылая обратно
результат. Специалистам ‘Лаборатории Касперского’ удалось перехватить
несколько поступивших команд. В ходе выполнения одной из них троянец
отправил SMS со словом ‘BALANCE’ на номер сервиса ‘Мобильного Банка’
Сбербанка России. Получив ответ от банка с информацией о подключенном
счете и его балансе, зловред передавал его преступникам. Ответ
мобильного банка на запрос троянца

Такое поведение троянца позволяет предположить, что следующим шагом
будет перевод любой доступной в ‘Мобильном банке’ суммы на мобильный
номер злоумышленников. Далее украденные деньги могут быть использованы
или обналичены. Например, большая тройка операторов сотовой связи
позволяет переводить деньги с мобильного счета на QIWI кошелек, откуда
впоследствии их можно вывести на банковскую карту и обналичить. А для
того чтобы жертва как можно дольше оставалась в неведении, троянец
тщательно заметает следы своей деятельности, перехватывая SMS и звонки
со стороны банка.

‘Мы хотим напомнить, что мобильные зловреды постоянно эволюционируют,
реализовывая принципиально новые схемы атак, — комментирует появление
новой схемы кражи денежных средств Виктор Чебышев, ведущий антивирусный
эксперт ‘Лаборатории Касперского’. — Быть готовым к новым угрозам можно
только в случае если ваше Android-устройство защищено антивирусным
приложением с регулярно обновляемыми базами — таким, как Kaspersky
Internet Security для Android’.

Ознакомиться с полной версией статьи можно по адресу
www.securelist.com/ru/blog/207768886/Grabitel_s_ruchnym_upravleniem.

Аналитики «Лаборатории Касперского» спустя чуть более
полугода зафиксировали новое массовое целенаправленное заражение крупных
информационных ресурсов Рунета. Сайты сразу нескольких популярных
российских СМИ содержали вредоносный код, перенаправлявший пользователей
на домен с эксплойтами с целью последующей кражи их конфиденциальных
данных. По информации «Лаборатории Касперского», за каждые
сутки таких атак риску заражения подвергались около 1500 пользователей.

Взломанные информационные ресурсы были обнаружены в конце октября 2012
года. Злоумышленники планомерно заражали одни и те же сайты на
непродолжительное время — от 30 до 90 минут в середине дня —
с целью как можно дольше оставаться незамеченными для администраторов
веб-порталов. В процессе этих атак на компьютер пользователя
устанавливался давно знакомый в мире киберугроз бот Lurk, который на
этот раз был запрограммирован на кражу паролей от FTP-серверов. Зловред
воровал пароли, сохраненные пользователями в программах, работающих с
FTP-серверами.

«Мы уже не в первый раз встречаемся с таргетированными заражениями
крупных интернет-ресурсов. Подобные атаки — это удобный способ
получить большое количество потенциальных жертв заражения. Объединяет
все эти целенаправленные атаки то, что при их проведении злоумышленники
проявляют настоящие чудеса маскировки, умудряясь не привлекать внимание
веб-администраторов на протяжении долгого времени. Защитить от подобных
атак может только надёжный антивирус», — отметил Вячеслав
Закоржевский, антивирусный эксперт «Лаборатории
Касперского».

В настоящее время администраторы пострадавших веб-ресурсов,
проинформированные о заражении, приняли соответствующие меры. Детали
этой волны целенаправленных атак на сайты СМИ можно прочитать в
блогпосте, подготовленном экспертами «Лаборатории
Касперского», на сайте www.securelist.com/ru.

Цифры квартала

  • По данным KSN, во втором квартале 2012 года продукты «Лаборатории Касперского» обнаружили и обезвредили более 1 млрд вредоносных объектов.
  • Зафиксировано распространение вредоносных программ с 89,5  миллионов URL.
  • Обнаружено 14 900 файлов вредоносных программ под Android.
  • Обзор ситуации

Вредоносное ПО для мобильных устройств

Во втором квартале 2012 г. по сравнению с показателями первого квартала практически втрое увеличилось количество Android-троянцев. За три месяца в нашу коллекцию было добавлено более 14 900 вредоносных программ.


Количество обнаруженных модификаций вредоносного ПО для Android OS

Столь активное развитие Android-зловредов говорит о том, что все больше вирусописателей переключаются на разработку вредоносных программ под мобильные устройства. Как и в случае с windows-зловредами, развитие мобильных вредоносных программ привело к формированию черного рынка услуг по их распространению. Основными каналами распространения являются неофициальные магазины приложений и партнерские программы. Нельзя не отметить, что мобильные вредоносные программы становятся все сложнее: злоумышленники активно развивают технологию обфускации и защиты кода, усложняющие анализ зловредов.

Практически половина (49%) обработанных «Лабораторией Касперского» во втором квартале 2012 вредоносных файлов — это различные многофункциональные троянцы, которые крадут с телефона данные (имена контактов, почтовые адреса, телефоны и т.д.), а также могут загружать дополнительные модули с серверов злоумышленников.

Четверть обнаруженных вредоносных программ для Android OS приходится на SMS-троянцев. Эти зловреды выкачивают деньги со счетов жертв, отправляя без ведома хозяев мобильных устройств SMS на платные номера. Пару лет назад такие программы можно было встретить лишь в республиках бывшего СССР, в  Юго-Восточной Азии и Китае. Сейчас же они расползаются по всему миру: во втором квартале 2012 г. мы защитили от SMS-зловредов пользователей в 47 странах.

18% обнаруженных во втором квартале Android-зловредов — бэкдоры, дающие злоумышленникам возможность полного контроля над зараженным устройством. На основе таких программ создаются мобильные ботнеты.


Распределение обнаруженных в Q2 вредоносных программ под Android OS по поведениям

Пока что среди вредоносных программ под Android доля Trojan-Spy невелика – лишь два процента. Однако именно эти программы представляют наибольшую опасность для пользователей. Ведь они охотятся за самой ценной информацией, открывающей злоумышленникам доступ к банковским счетам пользователей.

В июне эксперты «Лаборатории Касперского» обнаружили новую версию мобильной вредоносной программы, занимающейся кражей входящих SMS. Программа маскировалась под Android Security Suite Premium. Однако примечателен этот троянец по другой причине: все серверы управления этой вредоносной программой были зарегистрированы на одного человека. Конечно, это были фальшивые данные, но точно такие же данные были использованы и для регистрации ряда управляющих доменов Zbot (ZeuS). Отсюда можно сделать вывод, что кража SMS нацелена именно на получение кодов авторизации банковских транзакций и зловред относится к семейству Trojan-Spy.AndroidOS.Zitmo.

Мас-зловреды

Количество обнаруженных Mac-зловредов по сравнению с первым кварталом 2012 г. уменьшилось: в наши антивирусные базы были добавлены записи, детектирующие 50 вредоносных программ для Mac OS X.

После обнаружения в прошлом квартале ботнета FlashFake, состоявшего более чем из 700 000 Mаc-компьютеров, компания Apple активнее занялась вопросами безопасности своей операционной системы. Примерами могут служить и выпуски критических патчей для Oracle Java одновременно с их windows-версиями, и анонсированные функции защиты следующей версии Mac OS X: настроенная по умолчанию установка программ только из официального магазина плюс использование песочницы для программ, загруженных из магазина, автоматическая установка обновлений и т.д.


Количество новых записей для платформы Mac OS X, добавленных в антивирусные базы ЛК.
Второй квартал 2012

Прогноз, согласно которому атаки на Mac-пользователей продолжатся во втором квартале, оправдался. В конце июня 2012 года наши антивирусные радары зафиксировали новую целевую атаку, направленную против уйгурских Mac-пользователей в Китае. В отличие от предыдущей атаки злоумышленники не использовали для доставки зловреда на атакуемые компьютеры никаких эксплойтов. На этот раз определенному кругу лиц были разосланы письма с zip-архивом. Архив содержал jpg-файл и приложение для Mac, имеющее иконку текстового документа. Это классический пример социальной инженерии. Основным компонентом атаки стал исполняемый файл, замаскированный под текстовый документ, — бэкдор для Mac OS Х, работающий как на архитектуре i386, так и на PowerPC, и детектируемый нашими продуктами как Backdoor.OSX.MaControl.b. Был обнаружен также Windows-бэкдор, который использовался в этой же атаке.

Бэкдор выполняет множество функций, в частности позволяет получать файлы с зараженной машины. Данные с конфигурацией серверов управления зашифрованы достаточно простым способом, поэтому удалось установить, что сервер управления находится в Китае.

Продукты компании Apple пользуются популярностью у многих влиятельных политических деятелей и крупных бизнесменов, и информация, хранящаяся на устройствах этих людей, представляет интерес для определенной категории злоумышленников. Это означает, что APT-атаки, нацеленные на Mac-пользователей, продолжатся. Эволюция целевых атак может пойти по пути развития кроссплатформенных зловредов, которые будут иметь похожий код и работать под несколькими наиболее распространенными операционными системами.

Утечка данных LinkedIn и пароли

Во втором квартале в заголовки новостей в связи с утечкой базы хешей паролей попали несколько популярных онлайн-сервисов. Одной из самых громких стала новость о том, что часть базы (6,5 миллионов хешей паролей) популярной социальной сети LinkedIn, попала в открытый доступ. 6 июня, через день после публикации этой информации, компания подтвердила утечку и сообщила, что в результате быстро принятых мер опубликованные пароли от учетных записей были аннулированы и пользователи должны были создать новые пароли.

К сожалению, к моменту публикации этого заявления больше половины паролей уже были извлечены из базы хешей. Почему так быстро? Все дело в том, что LinkedIn почему-то хранила хеши без так называемой соли – строки случайных символов, добавляемой к исходному паролю перед хешированием. Так как эта технология не использовалась, то SHA-1 хеши были очень быстро подобраны с помощью перебора по предварительно посчитанным хешам популярных паролей из словарей. Столь быстрый подбор паролей стал возможен еще и потому, что пароли более половины пользователей были очень простыми, и подобрать их не составило большого труда. После инцидента LinkedIn сообщила, что теперь для хранения паролей используется хеш и соль.

Для того чтобы не стать жертвой подобной атаки, пользователям в первую очередь стоит использовать действительно длинные и сложные пароли, которые затруднительно подобрать по словарю. И нельзя забывать, использование одного и того же пароля для разных сервисов резко увеличивает возможный ущерб при его краже.

Администраторам сайтов мы советуем для хранения паролей использовать как минимум хеш и соль. Однако использование быстрого алгоритма хеширования (например, SHA-1 или MD5) и соли при тех мощностях, которые сейчас при подборе паролей дают GPU, может не спасти от легкого взлома. Более эффективным решением будет использование таких алгоритмов, как PBKDF2 (Password-Based Key Derivation Function 2) или bcrypt, которые не только используют соль по умолчанию, но и позволяют замедлить процесс подбора паролей.

Flame – продолжение истории о кибершпионаже

Наиболее заметным событием, связанным с кибершпионажем, стало обнаружение червя Flame.

«Лаборатория Касперского» проводила исследование по запросу Международного союза электросвязи (МСЭ) о содействии в поиске неизвестной вредоносной программы, которая удаляла конфиденциальные данные с компьютеров, расположенных в странах Ближнего Востока. В процессе поиска мы и обнаружили новый образец вредоносного ПО, который был назван нами Worm.Win32.Flame.

Хотя Flame имеет иной функционал, чем уже известные образцы кибероружия Duqu и Stuxnet, у этих вредоносных программ много общего: география атак, узкая целевая направленность в сочетании с использованием специфических уязвимостей в ПО. Это ставит Flame в один ряд с ними и другим кибернетическим супероружием, развертываемым на Ближнем Востоке неизвестными злоумышленниками.

Flame значительно превосходит по сложности Duqu и представляет собой весьма хитрый набор инструментов для проведения атак. Размер зловреда — почти 20 мегабайт. Это троянская программа-бэкдор, имеющая также черты, свойственные червям:  она может распространяться по локальной сети и через съемные носители при получении соответствующего приказа хозяина. Самым опасным способом распространения Flame является репликация в уже зараженной локальной сети под видом обновлений Windows. При этом код был подписан сертификатами, которые изначально были выписаны компанией Microsoft. Нелегитимное использование цифровой подписи было обнаружено Microsoft, после чего сертификат был немедленно отозван. Компания сразу же опубликовала информационное сообщение об угрозе (security advisory) и выпустила обновление KB2718704.

С зараженных компьютеров, расположенных на Ближнем Востоке (в Иране, Судане, Сирии и т.д.) Flame крадет различную информацию, в том числе видео- и аудиофайлы, а также чертежи AutoCAD.

На сегодняшний день Flame является одной из самых сложных киберугроз. Программа имеет большой размер и невероятно сложную структуру и очень хорошо показывает, как могут проводиться шпионские операции в XXI веке.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Угрозы в интернете

Статистические данные, рассматриваемые в этой главе, получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.

Детектируемые объекты в интернете

Во втором квартале 2012 года было отражено 434 143 004 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира. Всего в данных инцидентах было зафиксировано 145 007 уникальных модификаций вредоносных и потенциально нежелательных программ.

TOP 20 детектируемых объектов в интернете

Место Название* % от всех атак**
1 Malicious URL 85,80%
2 Trojan.Script.Iframer 3,90%
3 Trojan.Script.Generic 2,70%
4 Exploit.Script.Blocker 0,60%
5 Trojan.JS.Popupper.aw 0,40%
6 Trojan.Win32.Generic 0,40%
7 Trojan-Downloader.JS.Iframe.cxk 0,30%
8 Trojan-Downloader.JS.Expack.sn 0,20%
9 Exploit.Script.Generic 0,20%
10 Trojan-Downloader.Script.Generic 0,20%
11 Trojan-Downloader.JS.Agent.gqu 0,20%
12 Trojan-Downloader.Win32.Generic 0,20%
13 Hoax.HTML.FraudLoad.h 0,10%
14 Trojan-Downloader.SWF.FameGake.a 0,10%
15 Trojan.JS.Iframe.aaw 0,10%
16 Trojan.JS.Agent.bxw 0,10%
17 AdWare.Win32.IBryte.x 0,10%
18 AdWare.Win32.ScreenSaver.i 0,10%
19 Trojan-Downloader.JS.Agent.grd 0,10%
20 Trojan-Downloader.JS.JScript.ag 0,10%

* Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
** Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Первую строчку в рейтинге неизменно занимают вредоносные ссылки из черного списка. По сравнению с предыдущим кварталом их доля выросла на 1,5% и в итоге они составляют 85,8% от всех детектов. В список в первую очередь попадают различные сайты, на которые перенаправляются пользователи. Напомним, что чаще всего на вредоносные сайты пользователи попадают со взломанных легитимных ресурсов с внедренными вредоносными скриптами (drive-by атака). Кроме того, пользователи сами переходят по опасным ссылкам, например при поиске различного пиратского контента. Значительная часть обнаруженных Malicious URL по-прежнему приходится на сайты, связанные с эксплойт-паками.

13 позиций в рейтинге занимают вредоносные программы, которые эксплуатируют бреши в программном обеспечении и используются для доставки вредоносных программ на компьютер пользователя, в их числе две программы, обнаруженные эвристиками: Exploit.Script.Blocker и Exploit.Script.Generic.

Продолжает уменьшаться в рейтинге количество рекламных программ, детектируемых как AdWare: во втором квартале таких программ только две. Эти программы работают как расширения для браузеров: добавляют новую поисковую панель и меняют начальную страницу. Сами по себе они являются легальными программами, за установку которых их создатели платят деньги партнерам-распространителям. Однако находятся распространители, которые готовы получать таким образом деньги, не спрашивая разрешения пользователя на установку.

Приложения, в которых злоумышленники используют уязвимости

Большинство атак через интернет осуществляется с помощью эксплойтов, которые используют ошибки в ПО, – для того чтобы запуск вредоносной программы произошел  без ведома пользователя.

Какие же приложения чаще всего используют эксплойты? Ответ представлен на диаграмме: это Adobe Acrobat Reader, Java, Android Root и Adobe Flash Player. Пользователям в первую очередь стоит обновить именно эти программы, а еще лучше — озаботиться их автоматическим обновлением.


Приложения, уязвимости в которых использовали веб-эксплойты
Второй квартал 2012

Страны, на ресурсах которых размещены вредоносные программы

Для определения географического положения источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического положения данного IP-адреса (GEOIP).

85% веб-ресурсов (на 1% больше, чем в прошлом квартале), используемых для распространения вредоносных программ, во втором квартале 2012 года были размещены в десяти странах мира.


Распределение веб-ресурсов, на которых размещены вредоносные программы, по странам.
Второй квартал 2012

Состав TOP 10 не претерпел изменений, в него вошли те же страны, что и в прошлом квартале. За прошедшие три месяца заметно выросла доля хостингов, расположенных в США (+7%). Это произошло в первую очередь за счет уменьшения доли остальных стран десятки: России (-1,5%), Германии (-1,9%), Голландии (-1,2%), Англии (-1%) и Франции (-1,7%). Россия заняла в этом рейтинге второе место (14%), вытеснив на третью позицию Голландию (12%).

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи в каждой стране сталкивались со срабатыванием веб-антивируса.


20 стран, где пользователи подвергаются наибольшему риску заражения через интернет*. Второй квартал 2012 г.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

В TOP 20 преобладают страны — республики бывшего СССР, а также страны Африки и Юго-Восточной Азии.

Все страны можно разбить на несколько групп.

  1. Группа повышенного риска. В эту группу с результатом 41-60% вошли 18 стран из TOP 20, в том числе Россия (59,5%), Казахстан (54%), Украина (47,3%), Индия (48%), Индонезия (42,2%) и Малайзия (41,8%).
  2. Группа риска. В эту группу с показателями 21-40% попали 103 страны, в том числе Испания (37,8%), Италия (34,8%), Канада (36%), США (35,7%) и Англия (31,6%).
  3. Группа самых безопасных при серфинге в интернете стран. В эту группу вошли 16 стран с показателями 12,3-20%.

Меньше всего процент пользователей, атакованных при просмотре страниц в интернете, на Тайване (15,2%), в Японии (18,1%), Дании (18,9%), Люксембурге (19,7%) и Чехии (20%). Отметим, что в эту группу входят и страны Южной Африки, однако в них не все благополучно с точки зрения локальных заражений.


Риск заражения через интернет компьютеров пользователей в странах мира.
Второй квартал 2012 г.

В среднем 39,7% компьютеров всех пользователей KSN, т.е. четыре из десяти компьютеров в мире, в течение квартала хотя бы раз подвергались атаке при серфинге в интернете. Отметим, что средний процент атакованных машин по сравнению с предыдущим кварталом увеличился на 11 процентных пунктов.

Локальные угрозы

Здесь мы анализируем статистические данные, полученные на основе работы модуля антивируса, сканирующего файлы на жестком диске в момент их создания или при обращении к ним, и статистику по сканированию различных съемных носителей информации.

Объекты, обнаруженные на компьютерах пользователей

Во втором квартале 2012 года наши антивирусные решения успешно заблокировали 1 041 194 194 попыток локального заражения на компьютерах пользователей, участвующих в Kaspersky Security Network.

Всего при попытке запуска на компьютерах пользователей с помощью on-access scanner было зафиксировано 383 667 уникальных модификаций вредоносных и потенциально нежелательных программ.

Объекты, обнаруженные на компьютерах пользователей: TOP 20

Место Название % уникальных атакованных пользователей*
1 Trojan.Win32.AutoRun.gen 17,80%
2 Trojan.Win32.Generic 17,.40%
3 DangerousObject.Multi.Generic 16,10%
4 Trojan.Win32.Starter.yy 7,40%
5 Virus.Win32.Sality.bh 6,70%
6 Virus.Win32.Virut.ce 5,40%
7 Net-Worm.Win32.Kido.ih 5,10%
8 Virus.Win32.Sality.aa 4,20%
9 HiddenObject.Multi.Generic 3,60%
10 Virus.Win32.Nimnul.a 3,10%
11 Trojan.WinLNK.Runner.bl 2,20%
12 Worm.Win32.AutoRun.hxw 2,00%
13 Trojan.Win32.Hosts2.gen 1,40%
14 Virus.Win32.Sality.ag 1,40%
15 Worm.Win32.Mabezat.b 1,00%
16 AdWare.Win32.GoonSearch.b 0,80%
17 AdWare.Win32.BHO.aqbp 070%
18 Trojan-Dropper.Script.Generic 0,50%
19 AdWare.Win32.HotBar.dh 0,30%
20 Trojan-Downloader.WMA.Wimad.ag 0,30%

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODSантивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

Первую строчку в рейтинге с показателем 17,8% занял обновленный эвристический детект зловредов, распространяющихся через съемные носители информации, чаще всего флешки. Появление этого вердикта на первой строке говорит о том, что количество съемных носителей информации, на которых были обнаружены следы работы вредоносных программ, очень велико.

Вторую строчку рейтинга занимает вердикт, выдаваемый эвристическим анализатором при проактивном детектировании множества вредоносных программ, — Trojan.Win32.Generic (17,4%).

Вредоносные программы, обнаруженные с помощью «облачных» технологий (16,1%) спустились с первой на третью строчку рейтинга. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, зато у антивирусной компании «в облаке» уже есть информация об объекте. В этом случае детектируемому объекту присваивается имя DangerousObject.Multi.Generic.

16-е, 17-е и 20-е место заняли рекламные программы. Здесь появился один новичок – семейство AdWare.Win32.GoonSearch (0,8%). Эти программы являются надстройкой для IE, однако зафиксированы случаи их появления на компьютерах без согласия пользователей, при этом программы противодействуют антивирусным средствам.

Net-Worm.Win32.Kido (5,1%) продолжает терять свои позиции в рейтинге. В то же время рейтинг пополнился еще одним представителем файловых инфекторов: во втором квартале помимо вирусов Virus.Win32.Sality.bh, Virus.Win32.Sality.аа, Virus.Win32.Nimnul.a и Trojan.Win32.Starter.yy в рейтинг попал и небезызвестный Virus.Win32.Virut.ce (5,4%), создающий из зараженных машин крупный ботнет, через который распространяются другие вредоносные программы.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Полученные цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. На 36,5% компьютеров всех пользователей KSN в мире, предоставляющих нам информацию, хотя бы раз был найден вредоносный файл (на компьютере или на съемном носителе, подключенном к нему) – по сравнению с прошлым кварталом на 5,7% меньше.


TOP 20: процент компьютеров пользователей, на которых были обнаружены вредоносные программы, от общего количества пользователей ЛК в стране*. Второй квартал 2012 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Первая двадцатка практически полностью состоит из стран Африки и Юго-Восточной Азии. В Бангладеш наши продукты столкнулись с вредоносными программами на 98 из 100 компьютеров, на которых они установлены.

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

  1. Максимальный уровень заражения (более 60%): 20 стран, преимущественно и из азиатского региона (Индия, Вьетнам, Монголия и др.), Ближнего Востока (Ирак, Афганистан) и Африки (Судан, Ангола, Нигерия, Камерун и др.).
  2. Высокий уровень заражения (41-60%): 51 страна, в том числе Индонезия (58,3%), Казахстан (46,1%), Китай(43,9%), Эквадор (43,8%), Россия (42,6%) и ОАЭ (42,3%).
  3. Средний уровень заражения (21-40%): 43 страны, в том числе Турция, Мексика, Израиль, Латвия, Португалия, Италия, США, Австралия, Франция.
  4. Наименьший уровень заражения: 23 страны, среди которых Канада, Новая Зеландия, Пуэрто-Рико, 13 европейских стран (в том числе Норвегия, Финляндия, Голландия, Ирландия, Германия, Эстония), а также Япония и Гонконг.


Риск локального заражения компьютеров в странах мира.
Второй квартал 2012 г.

В десятку стран, самых безопасных по уровню локального заражения, попали:

Место Страна % уникальных пользователей
1 Дания 12%
2 Реюньон 13,4%
3 Чехия 13,6%
4 Япония 14,6%
5 Люксембург 15%
6 Швеция 15%
7 Швейцария 16,2%
8 Финляндия 16,3%
9 Германия 17,2%
10 Голландия 17,7%

Дания, Люксембург, Чехия и Япония одновременно находятся в списке самых безопасных стран при серфинге в интернете. Но даже в Дании мы обнаружили вредоносные объекты на 12 компьютерах из 100.

Уязвимости

Во втором квартале 2012 года на компьютерах пользователей KSN было обнаружено 31 687 277 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали 9 различных уязвимостей.

TOP 10 уязвимостей представлена в таблице ниже.

Secunia
ID
уникальный
идентификатор
уязвимости
Название
и ссылка
на описание
уязвимости
Возможности,
которые
дает
использование
уязвимости
злоумышленникам
Процент
пользо-
вателей,
у которых
была
обнаружена
уязвимость*
Дата
публи-
кации
Уро-
вень
опас-
ности
уязви-
мости
1 SA 48009 Oracle Java JDK / JRE / SDK Multiple Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Получение доступа к конфиденциальным данным. Манипулирование данными. DoS-атака « 31,40% 4/10/2012 Highly Critical
2 SA 48281 Adobe Flash Player Two Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Получение доступа к конфиденциальным данным. « 20,90% 4/10/2012 Highly Critical
3 SA 48500 VLC Media Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. 19,30% 3/21/2012 Highly Critical
4 SA 49472 Oracle Java Multiple Vulnerabilities «DoS-атака. Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Cross-Site Scripting. Получение доступа к конфиденциальным данным. Манипулирование данными. « 16,50% 7/18/2012 Highly Critical
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. 14,40% 1/11/2012 Extremely Critical
6 SA 23655 Microsoft XML Core Services Multiple Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. DoS –атака (отказ в обслуживании). XSS. « 13,50% 7/13/2011 Highly Critical
7 SA 49086 Adobe Shockwave Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 11,40% 5/10/2012 Highly Critical
8 SA 47447 Apple QuickTime Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 11,30% 6/29/2012 Highly Critical
9 SA 47932 Adobe Shockwave Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 9,80% 2/15/2012 Highly Critical
10 SA 49388 Adobe Flash Player Multiple Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Обход системы защиты. « 9,20% 6/18/2012 Highly Critical

*За 100% взяты пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость

На первом месте, как и в прошлом квартале, находится уязвимость в продукте Java от компании Oracle. Она была обнаружена на 31% уязвимых компьютеров. Всего же в нашем рейтинге присутствуют 2 уязвимости в Java.

Пять из 10 позиций рейтинга по-прежнему занимают продукты компании Adobe: проигрыватели Flash Playerи Shockwave и популярное приложение для чтения pdf-документов Reader.

Единственным новичком рейтинга стала уязвимость в бесплатном медиаплеере VLC.


Производители уязвимых продуктов из TOP 10 уязвимостей.
Второй квартал 2012

Все уязвимости из TOP10 дают возможность злоумышленнику с помощью эксплойтов получить полный контроль над системой. Три уязвимости позволяют проводить атаки типа «отказ в обслуживании», а также предоставляют злоумышленнику возможность получить доступ к конфиденциальной информации. В рейтинг также попали уязвимости, которые дают возможность манипулировать данными, обходить систему защиты и проводить XSS-атаки.


Распределение уязвимостей из TOP 10 по типу воздействия на систему.
Второй квартал 2012 г.

Заключение

Во втором квартале 2012 года продолжился стремительный рост количества Android-зловредов. За три месяца в нашу коллекцию было добавлено почти 15 тысяч вредоносных dex-файлов. Зловреды для Andoid OS эволюционируют и на качественном уровне: вирусописатели придумывают различные приемы, чтобы усложнить их анализ и детектирование. Это говорит о росте числа вирусописателей, которые переключаются на разработку вредоносных программ для мобильных устройств. К тому же развивается черный рынок услуг по распространению мобильных вредоносных программ, что в ближайшем будущем приведет к увеличению числа атак на пользователей мобильных устройств,  при этом атаки станут более изощренными.

Утечки данных крупных сервисов, которые в результате деятельности различных хактивистов стали регулярными, в прошедшем квартале привели к раскрытию паролей миллионов пользователей. К сожалению, огромное количество пользователей использует одну и ту же комбинацию логина и пароля ко многим сайтам, что увеличивает риск потери ценных данных. Однако стоит заметить, что в быстрой расшифровке хранящихся в базах паролей при таких атаках повинны как сами пользователи, которые любят простые пароли, так и администраторы сайтов, использующие простые техники шифрования. Проблема не нова, и существует несколько способов ее решения. Хочется надеяться, что из-за  регулярных взломов администраторы все же станут использовать более надежные алгоритмы хранения паролей.

В следующем квартале нас ждут две крупные хакерские конференции — BlackHat и Defcon, где по традиции демонстрируется ряд новых техник атак, которые достаточно оперативно находят практическое применение в киберпреступном мире. Так что можно ожидать использования злоумышленниками новых техник уже в третьем квартале.

Основной же темой второго квартала 2012 стало обнаружение кибершпионской программы Flame. Помимо огромного размера и широкого спектра инструментов по извлечению информации с зараженных машин, Flame использует интересный способ распространения в локальной сети через создание поддельного сервера обновлений Windows. К тому же код, аналогичный части коду Flame, был обнаружен в одной из версий нашумевшего червя Stuxnet, датированной 2009 годом. Это говорит о том, что разработчики этих программ связаны друг с другом.

Ситуация с кибероружием напоминает ящик пандоры, который уже невозможно закрыть. Многие страны мира официально заявили о том, что будут разрабатывать доктрины, касающиеся действий в киберпространстве, и создавать специальные подразделения. Следовательно, история кибероружия не ограничится Duqu и Flame. Главной же сложностью в этой ситуации является отсутствие какого-либо сдерживающего фактора в виде международного регулирования в этой сфере.

ИСТОЧНИК

Россия и США — возможные новые цели Madi

Несмотря на отключение командных серверов вредоносной программы Madi
(http://www.securelist.com/ru/blog/207764094/Kampaniya_Madi_Chast_I),
предназначенной для совершения целенаправленных атак на пользователей в
ближневосточном регионе и кражи у них конфиденциальных данных, ее
история пока не закончена. Эксперты «Лаборатории
Касперского» обнаружили
(http://www.securelist.com/ru/blog/207764120/Madi_vozvrashchaetsya_novye_ulovki_i_novyy_komandnyy_server)
новую версию троянца, обладающую расширенным функционалом. В частности
она следит за сайтом VKontakte, а также ищет посетителей страниц,
содержащих в названии элементы «USA» и «gov»,
что может говорить о переориентации злоумышленников на Россию и США.

«Одним из важных изменений также является то, что теперь зловред
не ожидает «команд» от сервера управления, а сразу загружает
на него все украденные данные», — говорит эксперт
«Лаборатории Касперского» Николя Брюле (Nicolas Brulez).
Предыдущие версии Madi управлялись из Ирана и Канады. Новый командный
сервер троянца также находится в Канаде.

Эксперты «Лаборатории Касперского» провели подробный
технический анализ
(http://www.securelist.com/en/analysis/204792237/The_Madi_infostealers_a_detailed_analysis)
Madi, в котором детально описали функционал троянца, механизм его
установки, перехвата нажатия клавиш, взаимодействия с командными
серверами, кражи данных, мониторинга коммуникаций, записи аудио-файлов и
снятия скриншотов с рабочего слота жертвы. Ниже представлены обобщенные
результаты исследования:
* Несмотря на простоту вредоносной самой
программы, а также используемых методов социальной инженерии,
злоумышленникам удалось заразить компьютеры более 800 жертв, в том числе
обладающих конфиденциальной информацией.
* Madi является ярким
примером того, как легкомысленное отношение пользователей к получаемым
сообщениям может привести к утере важных данных.
* В ходе проведения
атаки не были использованы ни эксплойты, ни уязвимости нулевого дня, что
сделало ее результаты еще более неожиданным для экспертов.

Подробный технический анализ Madi доступен на сайте
www.securelist.com/en
(http://www.securelist.com/en/analysis/204792237/The_Madi_infostealers_a_detailed_analysis).

«Лаборатория Касперского» сообщает об обнаружении сложной
вредоносной программы, которая в настоящий момент активно используется в
ряде стран в качестве кибероружия. По сложности и функционалу
вредоносная программа превосходит все ранее известные виды угроз.

Вредоносная программа была обнаружена «Лабораторией
Касперского» во время исследования, инициированного Международным
союзом электросвязи (МСЭ; International Telecommunications Union).
Программа, детектируемая защитными продуктами «Лаборатории
Касперского» как Worm.Win32.Flame, разработана для ведения
кибершпионажа. Она позволяет похищать важные данные, в том числе
информацию, выводимую на монитор, информацию о системах — объектах
атак, файлы, хранящиеся на компьютере, контактные данные пользователей и
даже аудиозаписи разговоров.

Независимое исследование было начато по инициативе МСЭ и
«Лаборатории Касперского» после серии инцидентов с другой,
пока еще неизвестной вредоносной программой под кодовым именем Wiper,
которая уничтожала данные на компьютерах в странах Западной Азии. Эту
вредоносную программу еще только предстоит обнаружить; однако во время
анализа инцидентов специалисты «Лаборатории Касперского» в
сотрудничестве с Международным союзом электросвязи выявили новый вид
вредоносной программы, сейчас известной как Flame. По предварительным
результатам этот зловред активно используется уже более двух лет, с
марта 2010 года. Из-за своей исключительной сложности и направленности
на конкретные цели до настоящего момента он не мог быть обнаружен ни
одним защитным продуктом.

Хотя Flame отличается по своим характеристикам от зловредов Duqu и
Stuxnet, ранее использовавшихся в качестве кибероружия, такие факты как
география атак, использование специфичных уязвимостей в ПО, а также то,
что целью атак становятся только определенные компьютеры, указывают на
то, что Flame относится к той же категории сложного кибероружия.

«Уже на протяжении нескольких лет опасность военных операций в
киберпространстве является одной из самых серьёзных тем информационной
безопасности. Stuxnet и Duqu были звеньям одной цепи кибератак; их
применение вызвало озабоченность в связи возможной перспективой
развязывания кибервойн во всем мире. Зловред Flame, по всей вероятности,
является еще одним этапом такой войны. Важно понимать, что подобное
кибероружие легко может быть обращено против любого государства. Кроме
того, в кибервойнах, в отличие от традиционных, развитые страны
оказываются наиболее уязвимыми», — прокомментировал
обнаружение Flame генеральный директор «Лаборатории
Касперского» Евгений Касперский.

Согласно имеющимся данным, основная задача Flame — кибершпионаж с
использованием информации, украденной с зараженных машин. Похищенные
данные передаются в сеть командных серверов, размещенных в разных частях
света. Вредоносная программа рассчитана на кражу широкого спектра
данных: документов, снимков экрана, аудиозаписей, а также на перехват
сетевого трафика. Это делает ее одним из наиболее сложных и
полнофункциональных средств проведения кибератак из обнаруженных на
сегодняшний день. Вопрос об использованном вредоносной программой
векторе заражения пока остается без ответа. Однако уже сейчас ясно, что
Flame может распространяться по сети несколькими способами, в том числе
путем эксплуатации той же уязвимости в службе диспетчера печати и того
же метода заражения через USB-устройства, который использует червь
Stuxnet.

«Предварительные выводы исследования, проведенного по срочному
запросу МСЭ, подтверждают целевой характер этой вредоносной программы.
Один из наиболее тревожных фактов относительно кибератаки, проводимой с
помощью Flame, состоит в том, что она в данный момент находится в
активной стадии, и те, кто ее проводят, постоянно ведут наблюдение за
зараженными системами, собирают информацию и выбирают новые объекты для
достижения своих, неизвестных нам целей», — комментирует
главный антивирусный эксперт «Лаборатории Касперского»
Александр Гостев.

Эксперты «Лаборатории Касперского» в настоящее время
проводят углубленный анализ Flame. В ближайшие дни планируется
публикация серии материалов, раскрывающих подробности о новой угрозе по
мере их выяснения. На данный момент известно, что вредоносная программа
содержит несколько модулей, насчитывающих в общей сложности несколько
мегабайт исполняемого кода, что почти в 20 раз больше, чем размер червя
Stuxnet. Это означает, что для анализа данного кибероружия потребуется
большая команда высокопрофессиональных экспертов по безопасности со
значительным опытом в области киберзащиты.

МСЭ будет использовать возможности сети IMPACT, состоящей из 142 стран и
нескольких крупных игроков отрасли, включая «Лабораторию
Касперского», для информирования государственных органов и
технического сообщества о данной киберугрозе и обеспечения скорейшего
завершения технического анализа угрозы.

За развитием событий следите в блогпостах антивирусных экспертов
«Лаборатории Касперского» на сайте www.securelist.com/ru .