Записи с меткой «Duqu»

Маски сорваны: «Лаборатория Касперского» раскрывает сложнейшую глобальную кампанию кибершпионажа

Posted: 12 февраля, 2014 in Антивирус, Известность, Касперский, Новости, антивирусы, атака, вирусы, компьютеры, поиск, пользователи, программы, Linux, софт, срочно, техника, угрозы, Trojan
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

новости от «Лаборатории Касперского»

https://i2.wp.com/www.e-media66.ru/img/small/kaspersky.jpg

«Лаборатория Касперского» объявила о раскрытии глобальной сети кибершпионажа «Маска», за которой стоят испаноговорящие злоумышленники. Обнаруженные следы указывают на то, что операция ведется как минимум с 2007 года. Ее выделяет сложность арсенала атакующих, который включает в себя ряд крайне изощренных вредоносных программ, разработанных для различных платформ, включая Mac OS X, Linux и, возможно, iOS.

Действия злоумышленников в первую очередь были направлены на государственные организации, дипломатические офисы и посольства, энергетические и нефтегазовые компании, исследовательские организации и политических активистов. По подсчетам «Лаборатории Касперского» жертвами этой таргетированной атаки стали 380 пользователей из 31 стран по всему миру, включая Ближний Восток, Европу, Африку и Америку.

Главной целью атакующих был сбор ценной информации из зараженных систем, включая различные документы, ключи шифрования, настройки VPN, применяемые для идентификации пользователя на сервере SSH-ключи, а также файлы, используемые программами для обеспечения удаленного доступа к компьютеру.

«Несколько причин заставляют нас думать, что это может быть кампанией, обеспеченной государственной поддержкой. Прежде всего, мы наблюдаем крайне высокий уровень профессионализма в действиях группы, которая обеспечивает мониторинг собственной инфраструктуры, скрывает себя с помощью правил системы разграничения доступа, начисто стирает содержимое журнальных файлов вместо обычного их удаления, а также при необходимости прекращает всякие действия. Такой уровень самозащиты нетипичен для киберпреступников. Все это ставит данную кампанию по уровню сложности даже выше Duqu – можно сказать, это самая сложная угроза такого класса на данный момент», – объяснил Костин Райю, руководитель глобального исследовательского центра «Лаборатории Касперского».

Для жертв заражение может обернуться катастрофическими последствиями. Вредоносное ПО перехватывает все коммуникационные каналы и собирает наиболее важную информацию с компьютера пользователя. Обнаружение заражения чрезвычайно сложно из-за доступных в рутките механизмов скрытия и имеющихся дополнительных модулей кибершпионажа. В дополнение к встроенным функциям, злоумышленники могли закачивать на зараженный компьютер модули, позволяющие выполнить набор любых вредоносных действий.

Тщательное исследование показало, что для авторов этих программ испанский является родным языком – этого ранее не наблюдалось в атаках подобного уровня. Анализ показал, что операция «Маска» активно велась на протяжении 5 лет до января 2014 года (а некоторые образцы вредоносного ПО имели дату сборки 2007 года) – во время проведения исследования управляющие сервера злоумышленников были свернуты.

Заражение пользователей происходило через рассылку фишинговых писем, содержащих ссылки на вредоносные ресурсы. На этих сайтах располагался ряд эксплойтов, которые в зависимости от конфигурации системы посетителя, использовали различные способы атаки его компьютера. В случае успешной попытки заражения, вредоносный сайт перенаправлял пользователя на безвредный ресурс, который упоминался в письме – это мог быть YouTube или новостной портал.

Важно отметить, что сами вредоносные сайты не заражали посетителей автоматически в случае прямого обращения по одному только доменному имени. Злоумышленники хранили эксплойты в отдельных каталогах, ссылки на которые присутствовали только в письмах, – проходя именно по ним, пользователь подвергался атаке. Иногда на этих сайтах злоумышленники использовали поддомены, чтобы полные адреса выглядели более правдоподобными. Эти поддомены имитировали разделы популярных испанских газет, а также несколько международных – «The Guardain» и «Washington Post».

На данный момент продукты «Лаборатории Касперского» распознают и удаляют все известные версии программ «Маска». С подробным отчетом, включающим описание работы механизмов и статистику заражения, можно ознакомиться по адресу http://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions

2012 год стал переломным с точки зрения развития кибервооружений: к его
началу человечество подошло со знанием всего лишь двух вредоносных
программ, к разработке которых, по мнению экспертов, имеют отношения
правительственные структуры — Stuxnet и Duqu. Однако уже в первые
месяцы этого года специалистам «Лаборатории Касперского»
пришлось столкнуться с изучением инцидентов, связанных как минимум еще с
четырьмя видами вредоносных программ, имеющих право быть отнесенными к
классу кибероружия. О том, какая между ними связь и почему их
деятельность в основном ограничена одним и тем же геополитическим
регионом рассказывает главный антивирусный эксперт «Лаборатории
Касперского» Алекандр Гостев в своей статье, посвященной развитию
кибероружия.

Одним из основных событий уходящего года в области информационной
безопасности стало обнаружение экспертами «Лаборатории
Касперского» сложной вредоносной программы Flame, значительно
превосходящей по сложности и функционалу своего
«предшественника» — Duqu. Новый троянец сочетал в себе
свойства бэкдора и червя, имея возможность распространяться по локальной
сети и через съемные носители при получении соответствующего приказа.
После заражения системы Flame приступал к выполнению сложного набора
операций, в том числе к анализу сетевого трафика, созданию снимков
экрана, аудиозаписи разговоров, перехвату клавиатурных нажатий и т.д.
Собранные данные передавались на серверы Flame. Детальный анализ
вредоносной программы позволил исследователям установить, что ее
разработка началась еще в 2008 году и активно продолжалась вплоть до
момента обнаружения в мае 2012 года. Кроме того, выяснилось, что один из
модулей платформы Flame был использован в 2009 году для распространения
червя Stuxnet.

Дальнейшие поиски привели исследователей к обнаружению еще одной сложной
вредоносной программы, созданной на платформе Flame, однако отличающейся
по функционалу и ареалу распространения. Сложный комплекс инструментов
для осуществления кибершпионажа Gauss обладал модульной структурой и
функционалом банковского троянца, предназначенного для кражи финансовой
информации пользователей зараженных компьютеров. Многочисленные модули
Gauss использовались для сбора информации, содержащейся в браузере,
включая историю посещаемых сайтов и пароли, используемые в
онлайн-сервисах. Жертвами вредоноса стали клиенты ряда ливанских банков,
таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и
Credit Libanais, а также Citibank и пользователи электронной платежной
системы PayPal. Стоит отметить, что при всей многочисленности различных
модулей в составе Gauss отсутствовал модуль, предназначенный для кражи
денег — троянец лишь собирал и передавал на командные серверы
подробные данные обо всех транзакциях, но не мог производить их
самостоятельно.

Впоследствии эксперты обнаружили еще один интересный модуль, созданный
на платформе Flame — miniFlame. Обладающий полноценным шпионским
функционалом, он был предназначен для кражи информации и обеспечения
непосредственного доступа к зараженной системе. Примечательно, что для
его функционирования наличие в системе основных модулей Flame было
совсем необязательно. Кроме того, было установлено, что миникибершпион
мог использоваться в комплекте с банковским троянцем Gauss. Судя по
функционалу бэкдора и незначительному количеству инфицированных машин,
miniFlame использовался очень точечно, для получения наиболее ценных
сведений.

Подводя итоги кибервооруженных конфликтов, имевших место в 2012 году,
нельзя не упомянуть «мистическую» вредоносную программу
Wiper, которая в апреле удалила всю информацию с компьютеров ряда
промышленных объектов нефтегазовой отрасли ближневосточного региона.
Именно в процессе поиска Wiper эксперты «Лаборатории
Касперского» обнаружили Flame, Gauss и miniFlame. Детальный анализ
образов жестких дисков, подвергшихся атаке Wiper, позволил почти
полностью восстановить картину того, как происходило заражение системы и
ее последующее уничтожение. Однако, несмотря на все усилия экспертов,
найти файлы самого «стирателя» пока так и не удалось.
(http://www.kaspersky.ru/images/news/map2012.png) География применения кибероружния в 2012 году

«В 2012 году произошло расширение территории применения
кибероружия: если раньше зоной кибервоенных конфликтов считался Иран, то
теперь она расширилась на весь прилегающий к нему регион Западной Азии.
Подобная динамика является точным отражением политических процессов,
происходящих в этом регионе, давно уже являющемся «горячей
точкой», — уверен Александр Гостев. — И без того
непростую обстановку в регионе, которая сложилась из-за иранской ядерной
программы, в 2012 году дополнили политические кризисы в Сирии и Египте.
Ливан, Палестинская автономия, волнения в ряде стран Персидского залива
дополняют общую картину нестабильности. В этих условиях стремление
других государств мира, имеющих интересы в регионе, использовать для
достижения своих целей все возможные инструменты — в том числе
высокотехнологичные — вполне логично».

Полная версия статьи Александра Гостева, посвященная развитию
кибероружия в 2012 году, доступна на сайте
www.securelist.com/ru/analysis/208050779/Kaspersky_Security_Bulletin_2012_Kiberoruzhie.

ИСТОЧНИК

Евгений Касперский: «Пора дать отпор кибероружию»

Евгений Касперский, генеральный директор «Лаборатории
Касперского», назвал международное сотрудничество и
усовершенствование технологий защиты основными условиями выживания в
эпоху гонки кибервооружений. В своей речи на конференции ITU Telecom
World 2012 (http://world2012.itu.int/) в Дубае Евгений рассказал об
опасностях кибероружия и о подходе компании к обеспечению защиты
критически важных промышленных систем.

«В долгосрочной перспективе кибероружие, несомненно, причинит вред
всем: и нападающим, и жертвам, и просто сторонним наблюдателям. В
отличие от традиционного вооружения, элементы кибероружия могут быть
легко перепрограммированы противником. Выживание в таких условиях может
гарантировать только новая, более совершенная парадигма безопасности для
критически важных информационных систем»,  — подчеркнул
Евгений Касперский.      Основные тезисы доклада
Евгения Касперского
*  Традиционное вредоносное ПО уже оказывает
побочное воздействие на критически важную инфраструктуру
(http://www.securelist.com/ru/threats/detect?chapter=117)
*  Причиной
таких инцидентов, как отключение энергоснабжения в США и Канаде в 2003
году, становятся сбои в работе ПО и отсутствие возможности отслеживать
реальное состояние энергосистем.
*  Продолжающаяся гонка
кибервооружений делает проблему защиты критической инфраструктуры еще
более серьезной:
*  В 2010 и 2011 годах были обнаружены червь Stuxnet
(http://www.securelist.com/ru/blog?topic=199193773) и троянец Duqu
(http://www.securelist.com/ru/blog?topic=199193785);
*  В течение 2012
года уже обнаружены вредоносные программы Gauss
(http://www.securelist.com/ru/blog/207764132/Gauss_gosudarstvennyy_kibershpionazh_plyus_bankovskiy_troyanets)
и Flame
(http://www.securelist.com/ru/blog/207763998/Flame_chasto_zadavaemye_voprosy),
а также miniFlame
(http://www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya).

*  Кибероружие универсально, оно не знает границ. Его воздействие на
критически важные промышленные системы может быть разрушительным.

*  Надлежащая защита уязвимых промышленных систем должна стать
приоритетом номер один.

В ходе своего выступления Евгений Касперский описал основные меры,
обеспечивающие защиту промышленных систем управления. Новая, надёжная
система для получения достоверной информации о работе промышленного
объекта должна стать первым шагом на пути к эффективной защите от
кибероружия. Именно поэтому «Лаборатория Касперского» в
настоящее время работает над созданием безопасной операционной системы,
способной стать доверенным узлом в промышленной системе
управления.

Узнайте больше о позиции «Лаборатории Касперского» в
отношении безопасности промышленных систем управления, а также о
требованиях к безопасной операционной системе:

в блог-посте Евгения Касперского:
http://eugene.kaspersky.ru/2012/10/16/secure-os-for-industrial-control-system-scada/
(http://eugene.kaspersky.ru/2012/10/16/secure-os-for-industrial-control-system-scada/).

в аналитической статье, подготовленной департаментом защиты промышленных
систем «Лаборатории Касперского», на сайте:
www.securelist.com/ru/analysis/208050772/Bezopasnost_klyuchevykh_sistem_informatsionnoy_infrastruktury_tochka_doveriya
(http://www.securelist.com/ru/analysis/208050772/Bezopasnost_klyuchevykh_sistem_informatsionnoy_infrastruktury_tochka_doveriya).

«Кибероружие угрожает не только государствам и компаниям, но и
простым людям. Мы не можем позволить кибервооружению остановить
технологический прогресс. Наша цель — не допустить, чтобы
киберугрозы влияли на работу критически важных информационных систем. И
эта задача должна решаться при участии всех заинтересованных сторон, на
международном уровне», — заявил в финале своего выступления
Евгений Касперский.

«Лаборатория Касперского» объявила об обнаружении miniFlame
(http://www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya)
— небольшой и очень гибкой вредоносной программы, предназначенной
для кражи данных и управления зараженными системами в ходе точечных
атак, проводимых с целью кибершпионажа.

Программа miniFlame, известная также как SPE, была обнаружена экспертами
«Лаборатории Касперского» в июле 2012 года и первоначально
была идентифицирована как модуль вредоносной программы Flame. В сентябре
2012 года, после изучения серверов управления Flame, стало ясно, что
модуль miniFlame является интероперабельным и может применяться
одновременно и в качестве автономной вредоносной программы, и в качестве
плагина для вредоносных программ Flame
(https://www.securelist.com/ru/blog/207763998/Flame_chasto_zadavaemye_voprosy)
и Gauss (http://www.kaspersky.ru/news?id=207733820). Обнаружение

miniFlame был обнаружен в ходе детального анализа вредоносных программ
Flame и Gauss. В июле 2012 года эксперты «Лаборатории
Касперского» выявили дополнительный модуль Gauss под кодовым
названием «John» и обнаружили ссылки на аналогичный модуль в
конфигурационных файлах Flame. Последующий анализ серверов управления
Flame
(http://www.securelist.com/ru/blog/207764193/Polnyy_analiz_komandnykh_serverov_Flame),
осуществленный в сентябре 2012 года, позволил прийти к заключению, что
вновь обнаруженный модуль является в действительности отдельной
вредоносной программой, несмотря на то, что он может работать совместно
как с Gauss, так с Flame. На серверах управления Flame программа
miniFlame значилась под кодовым названием SPE.

«Лаборатория Касперского» обнаружила шесть различных
вариантов miniFlame, причем все датируются 2010-2011 годами. В то же
время, анализ miniFlame указывает на еще более раннюю дату начала
разработки — не позднее 2007 года. Возможность использования
miniFlame в качестве плагина как к Flame, так и к Gauss ясно указывает
на взаимодействие между группами разработчиков, ответственных за
создание этих вредоносных программ. Поскольку связь между Flame и
Stuxnet/Duqu уже установлена, можно сделать вывод, что все эти программы
созданы на одной и той же «фабрике кибероружия». Функционал

Учитывая подтвержденную взаимосвязь между miniFlame, Flame, и Gauss,
вероятно, что miniFlame устанавливался на компьютерах, уже зараженных
Flame или Gauss. Проникнув в систему, miniFlame выполняет функции
бэкдора, позволяя оператору вредоносной программы получить с зараженной
машины любой файл. В число дополнительных возможностей, связанных с
кражей данных, входит создание снимков экрана зараженного компьютера при
работе в отдельных программах и приложениях, таких как браузеры,
программы Microsoft Office, Adobe Reader, сервисы мгновенного обмена
сообщениями и FTP-клиенты. miniFlame передает украденные данные,
соединившись со своим сервером управления (который может быть выделенным
или общим с Flame). Кроме того, по запросу оператора сервера управления
miniFlame на зараженную систему может быть загружен дополнительный
модуль для кражи данных, заражающий USB-накопители и использующий их для
хранения данных, собранных на зараженных машинах, в отсутствие
интернет-соединения.

«miniFlame представляет собой инструмент для проведения
высокоточных атак. Вероятнее всего, это кибероружие с четко
обозначенными целями, применяемое в ходе того, что можно назвать второй
волной кибератаки, — комментирует главный антивирусный эксперт
«Лаборатории Касперского» Александр Гостев. — Вначале
используется Flame или Gauss для заражения как можно большего числа
жертв и сбора значительного объема информации. После этого собранные
данные анализируются, определяются и идентифицируются потенциально
интересные жертвы, и уже на их компьютерах устанавливается miniFlame для
осуществления углубленной слежки и кибершпионажа. Обнаружение miniFlame
дало нам дополнительные доказательства взаимодействия между создателями
наиболее примечательных вредоносных программ, применяемых в качестве
кибероружия: Stuxnet, Duqu, Flame и Gauss». Основные результаты
исследования
*  miniFlame, известный также как SPE, основан на той же
архитектурной платформе, что и Flame. Он способен функционировать как
самостоятельная программа для осуществления кибершпионажа или в качестве
компонента, входящего в состав как Flame, так и Gauss.
*  Этот
инструмент кибершпионажа выполняет функции бэкдора, обеспечивая
возможность кражи данных и непосредственного управления зараженными
системами.
*  Судя по всему, разработка miniFlame началась еще в 2007
году и продолжалась до конца 2011 года. Скорее всего было  создано
большое число модификаций программы. На сегодняшний день
«Лаборатории Касперского» удалось выявить шесть вариантов,
принадлежащих двум основным поколениям: 4.x and 5.x.
*  В отличие от
Flame и Gauss, на счету которых большое число заражений, количество
систем, зараженных miniFlame, значительно меньше. Исходя из имеющихся у
«Лаборатории Касперского» данных, число заражений находится
в диапазоне от 10 до 20 машин; при этом общее число зараженных miniFlame
компьютеров по всему миру оценивается в 50-60 машин.
*  Малое число
компьютеров, зараженных miniFlame, в сочетании с функционалом кражи
данных и гибкими возможностями применения свидетельствует о том, что
вредоносная программа использовалась лишь для узкоцелевых операций,
связанных с кибершпионажем и, вероятно, развертывалась на машинах, уже
зараженных Flame или Gauss.

Дополнительную информацию о miniFlame можно найти на сайте:
www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya
(http://www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya).

«Лаборатория Касперского» обнаружила банковского троянца государственного масштаба

«Лаборатория Касперского» обнаружила на Ближнем Востоке еще
одну сложную вредоносную программу, которую эксперты отнесли к классу
кибероружия. Особенность нового троянца, названного по имени немецкого
математика Иоганна Карла Фридриха Гаусса, состоит в том, что он, помимо
прочего шпионского функционала, направлен на кражу финансовой информации
пользователей зараженных компьютеров. Gauss скрытно пересылает на
сервера управления пароли, введенные или сохраненные в браузере, файлы
cookie, а также подробности конфигурации инфицированной системы.

Наличие в Gauss функционала банковского троянца является уникальным
случаем, ранее никогда не встречавшимся среди вредоносных программ,
которые принято относить к классу кибероружия.

Gauss был обнаружен в ходе масштабной кампании, инициированной
Международным союзом электросвязи (International (http://www.itu.int/)
Telecommunication (http://www.itu.int/) Union (http://www.itu.int/),
ITU) после выявления Flame (http://www.kaspersky.ru/news?id=207733770).
Ее глобальной целью является сокращение рисков, связанных с применением
кибероружия, и сохранение мира в киберпространстве. С помощью экспертной
поддержки, осуществляемой специалистами «Лаборатории
Касперского», ITU предпринимает важные шаги в направлении
укрепления глобальной кибербезопасности — при активной поддержке
со стороны ключевых партнеров по инициативе ITU-IMPACT, правительств и
частных организаций, а также гражданского общества.

Обнаружение Gauss экспертами «Лаборатории Касперского» стало
возможным благодаря наличию в троянце ряда черт, объединяющих его со
сложной вредоносной программой Flame. Сходства прослеживаются в
архитектуре, модульной структуре, а также способах связи с серверами
управления.

Новая вредоносная программа была обнаружена «Лабораторией
Касперского» в июне 2012 года. Ее основной шпионский модуль был
назван создателями (которые пока остаются неизвестными) в честь
немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца
также носят имена известных математиков: Жозефа Луи Лагранжа и Курта
Гёделя. Проведенное исследование показало, что первые случаи заражения
Gauss относятся к сентябрю 2011 года. Однако командные сервера
вредоносной программы прекратили свою работу только в июле 2012
года.

Многочисленные модули Gauss предназначены для сбора информации,
содержащейся в браузере, включая историю посещаемых сайтов и пароли,
используемые в онлайн-сервисах. Кроме того, атакующие получали детальную
информацию о зараженном компьютере, в том числе подробности о сетевых
интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss
может красть конфиденциальную информацию у клиентов ряда ливанских
банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank
и Credit Libanais. Кроме того, его целью являются клиенты Citibank и
пользователи электронной платежной системы PayPal.
(http://www.kaspersky.ru/images/news/great2012_pic01.png) 3 основные страны, подвергшиеся
заражению Gauss

Еще одной важной особенностью Gauss является то, что он заражает
USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и
Flame. Однако процесс инфицирования флэшек отличается от
предшественников наличием определенной интеллектуальной составляющей.
Так, используя съемный накопитель для хранения собранной информации в
одном из скрытых файлов, при определенных условиях Gauss может удалить
себя и все украденные данные. Еще одной характерной чертой троянца
является установка специального шрифта Palida Narrow. Однако ее смысл
пока не ясен.

Несмотря на то, что Gauss и Flame имеют много общего по своей структуре,
их география заражения серьезно разнится. Максимальное количество
компьютеров, пораженных Flame, приходится на Иран, тогда как большинство
жертв Gauss находится в Ливане. Число зараженных также значительно
отличается. По данным облачной системы мониторинга Kaspersky Security
Network, Gauss заразил порядка 2,5 тысяч компьютеров, в то время как
жертв Flame было всего около 700.

Хотя точный способ заражения еще не установлен, эксперты уверены, что
распространение Gauss происходит по иному сценарию, нежели Flame или
Duqu. Однако стоит отметить, что также как и у более ранних кибершпионов
процесс распространения троянца является строго контролируемым, что
говорит о намерении как можно дольше оставаться незамеченным.

«Gauss очень похож на Flame по структуре и коду. Собственно именно
это и позволило нам его обнаружить, — говорит Александр Гостев,
главный антивирусный эксперт «Лаборатории Касперского».
— Также как Flame и Duqu, Gauss представляет собой сложную
программу, предназначенную для ведения кибершпионажа с особым акцентом
на скрытность действий. Однако цели недавно обнаруженного троянца совсем
иные: Gauss заражает пользователей в четко определенных странах и крадет
большие объемы данных. Причем особый интерес для него представляет
финансовая информация».

В настоящее время «Лаборатория Касперского» успешно
детектирует, блокирует и удаляет троянца Gauss. В антивирусной базе он
классифицируется как Trojan-Spy.Win32.Gauss.

Подробный анализ вредоносной программы Gauss доступен на сайте
www.securelist.com/en
(http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution).
Факты
* Проведенный анализ показывает, что впервые Gauss начал
действовать в сентябре 2011 года.
* Обнаружить троянца удалось лишь в
июне 2012 года благодаря наличию у него ряда общих черт с Flame.

* Инфраструктура управления Gauss была отключена в июле 2012 года,
вскоре после обнаружения троянца. В настоящее время вредоносная
программа находится в неактивном состоянии, ожидая команд от серверов.

* Начиная с конца мая 2012 года, облачная система мониторинга
«Лаборатории Касперского» обнаружила более 2,5 тыс.
заражений. Общее же количество жертв Gauss может исчисляться десятками
тысяч. Это меньше, чем у червя Stuxnet, но значительно больше, чем у
Flame и Duqu.
* Gauss передает на сервер управления детальную
информацию о зараженном компьютере, включая историю браузера, файлы
cookie, пароли, данные о конфигурации системы.
* Результаты анализа
Gauss показывают, что основной целью троянца являлся ряд ливанских
банков, в том числе Bank of Beirut, EBLF, BlomBank, ByblosBank,
FransaBank и Credit Libanais. Кроме того, он был нацелен на клиентов
Citibank и пользователей электронной платежной системы PayPal.

Цифры квартала

  • По данным KSN, во втором квартале 2012 года продукты «Лаборатории Касперского» обнаружили и обезвредили более 1 млрд вредоносных объектов.
  • Зафиксировано распространение вредоносных программ с 89,5  миллионов URL.
  • Обнаружено 14 900 файлов вредоносных программ под Android.
  • Обзор ситуации

Вредоносное ПО для мобильных устройств

Во втором квартале 2012 г. по сравнению с показателями первого квартала практически втрое увеличилось количество Android-троянцев. За три месяца в нашу коллекцию было добавлено более 14 900 вредоносных программ.


Количество обнаруженных модификаций вредоносного ПО для Android OS

Столь активное развитие Android-зловредов говорит о том, что все больше вирусописателей переключаются на разработку вредоносных программ под мобильные устройства. Как и в случае с windows-зловредами, развитие мобильных вредоносных программ привело к формированию черного рынка услуг по их распространению. Основными каналами распространения являются неофициальные магазины приложений и партнерские программы. Нельзя не отметить, что мобильные вредоносные программы становятся все сложнее: злоумышленники активно развивают технологию обфускации и защиты кода, усложняющие анализ зловредов.

Практически половина (49%) обработанных «Лабораторией Касперского» во втором квартале 2012 вредоносных файлов — это различные многофункциональные троянцы, которые крадут с телефона данные (имена контактов, почтовые адреса, телефоны и т.д.), а также могут загружать дополнительные модули с серверов злоумышленников.

Четверть обнаруженных вредоносных программ для Android OS приходится на SMS-троянцев. Эти зловреды выкачивают деньги со счетов жертв, отправляя без ведома хозяев мобильных устройств SMS на платные номера. Пару лет назад такие программы можно было встретить лишь в республиках бывшего СССР, в  Юго-Восточной Азии и Китае. Сейчас же они расползаются по всему миру: во втором квартале 2012 г. мы защитили от SMS-зловредов пользователей в 47 странах.

18% обнаруженных во втором квартале Android-зловредов — бэкдоры, дающие злоумышленникам возможность полного контроля над зараженным устройством. На основе таких программ создаются мобильные ботнеты.


Распределение обнаруженных в Q2 вредоносных программ под Android OS по поведениям

Пока что среди вредоносных программ под Android доля Trojan-Spy невелика – лишь два процента. Однако именно эти программы представляют наибольшую опасность для пользователей. Ведь они охотятся за самой ценной информацией, открывающей злоумышленникам доступ к банковским счетам пользователей.

В июне эксперты «Лаборатории Касперского» обнаружили новую версию мобильной вредоносной программы, занимающейся кражей входящих SMS. Программа маскировалась под Android Security Suite Premium. Однако примечателен этот троянец по другой причине: все серверы управления этой вредоносной программой были зарегистрированы на одного человека. Конечно, это были фальшивые данные, но точно такие же данные были использованы и для регистрации ряда управляющих доменов Zbot (ZeuS). Отсюда можно сделать вывод, что кража SMS нацелена именно на получение кодов авторизации банковских транзакций и зловред относится к семейству Trojan-Spy.AndroidOS.Zitmo.

Мас-зловреды

Количество обнаруженных Mac-зловредов по сравнению с первым кварталом 2012 г. уменьшилось: в наши антивирусные базы были добавлены записи, детектирующие 50 вредоносных программ для Mac OS X.

После обнаружения в прошлом квартале ботнета FlashFake, состоявшего более чем из 700 000 Mаc-компьютеров, компания Apple активнее занялась вопросами безопасности своей операционной системы. Примерами могут служить и выпуски критических патчей для Oracle Java одновременно с их windows-версиями, и анонсированные функции защиты следующей версии Mac OS X: настроенная по умолчанию установка программ только из официального магазина плюс использование песочницы для программ, загруженных из магазина, автоматическая установка обновлений и т.д.


Количество новых записей для платформы Mac OS X, добавленных в антивирусные базы ЛК.
Второй квартал 2012

Прогноз, согласно которому атаки на Mac-пользователей продолжатся во втором квартале, оправдался. В конце июня 2012 года наши антивирусные радары зафиксировали новую целевую атаку, направленную против уйгурских Mac-пользователей в Китае. В отличие от предыдущей атаки злоумышленники не использовали для доставки зловреда на атакуемые компьютеры никаких эксплойтов. На этот раз определенному кругу лиц были разосланы письма с zip-архивом. Архив содержал jpg-файл и приложение для Mac, имеющее иконку текстового документа. Это классический пример социальной инженерии. Основным компонентом атаки стал исполняемый файл, замаскированный под текстовый документ, — бэкдор для Mac OS Х, работающий как на архитектуре i386, так и на PowerPC, и детектируемый нашими продуктами как Backdoor.OSX.MaControl.b. Был обнаружен также Windows-бэкдор, который использовался в этой же атаке.

Бэкдор выполняет множество функций, в частности позволяет получать файлы с зараженной машины. Данные с конфигурацией серверов управления зашифрованы достаточно простым способом, поэтому удалось установить, что сервер управления находится в Китае.

Продукты компании Apple пользуются популярностью у многих влиятельных политических деятелей и крупных бизнесменов, и информация, хранящаяся на устройствах этих людей, представляет интерес для определенной категории злоумышленников. Это означает, что APT-атаки, нацеленные на Mac-пользователей, продолжатся. Эволюция целевых атак может пойти по пути развития кроссплатформенных зловредов, которые будут иметь похожий код и работать под несколькими наиболее распространенными операционными системами.

Утечка данных LinkedIn и пароли

Во втором квартале в заголовки новостей в связи с утечкой базы хешей паролей попали несколько популярных онлайн-сервисов. Одной из самых громких стала новость о том, что часть базы (6,5 миллионов хешей паролей) популярной социальной сети LinkedIn, попала в открытый доступ. 6 июня, через день после публикации этой информации, компания подтвердила утечку и сообщила, что в результате быстро принятых мер опубликованные пароли от учетных записей были аннулированы и пользователи должны были создать новые пароли.

К сожалению, к моменту публикации этого заявления больше половины паролей уже были извлечены из базы хешей. Почему так быстро? Все дело в том, что LinkedIn почему-то хранила хеши без так называемой соли – строки случайных символов, добавляемой к исходному паролю перед хешированием. Так как эта технология не использовалась, то SHA-1 хеши были очень быстро подобраны с помощью перебора по предварительно посчитанным хешам популярных паролей из словарей. Столь быстрый подбор паролей стал возможен еще и потому, что пароли более половины пользователей были очень простыми, и подобрать их не составило большого труда. После инцидента LinkedIn сообщила, что теперь для хранения паролей используется хеш и соль.

Для того чтобы не стать жертвой подобной атаки, пользователям в первую очередь стоит использовать действительно длинные и сложные пароли, которые затруднительно подобрать по словарю. И нельзя забывать, использование одного и того же пароля для разных сервисов резко увеличивает возможный ущерб при его краже.

Администраторам сайтов мы советуем для хранения паролей использовать как минимум хеш и соль. Однако использование быстрого алгоритма хеширования (например, SHA-1 или MD5) и соли при тех мощностях, которые сейчас при подборе паролей дают GPU, может не спасти от легкого взлома. Более эффективным решением будет использование таких алгоритмов, как PBKDF2 (Password-Based Key Derivation Function 2) или bcrypt, которые не только используют соль по умолчанию, но и позволяют замедлить процесс подбора паролей.

Flame – продолжение истории о кибершпионаже

Наиболее заметным событием, связанным с кибершпионажем, стало обнаружение червя Flame.

«Лаборатория Касперского» проводила исследование по запросу Международного союза электросвязи (МСЭ) о содействии в поиске неизвестной вредоносной программы, которая удаляла конфиденциальные данные с компьютеров, расположенных в странах Ближнего Востока. В процессе поиска мы и обнаружили новый образец вредоносного ПО, который был назван нами Worm.Win32.Flame.

Хотя Flame имеет иной функционал, чем уже известные образцы кибероружия Duqu и Stuxnet, у этих вредоносных программ много общего: география атак, узкая целевая направленность в сочетании с использованием специфических уязвимостей в ПО. Это ставит Flame в один ряд с ними и другим кибернетическим супероружием, развертываемым на Ближнем Востоке неизвестными злоумышленниками.

Flame значительно превосходит по сложности Duqu и представляет собой весьма хитрый набор инструментов для проведения атак. Размер зловреда — почти 20 мегабайт. Это троянская программа-бэкдор, имеющая также черты, свойственные червям:  она может распространяться по локальной сети и через съемные носители при получении соответствующего приказа хозяина. Самым опасным способом распространения Flame является репликация в уже зараженной локальной сети под видом обновлений Windows. При этом код был подписан сертификатами, которые изначально были выписаны компанией Microsoft. Нелегитимное использование цифровой подписи было обнаружено Microsoft, после чего сертификат был немедленно отозван. Компания сразу же опубликовала информационное сообщение об угрозе (security advisory) и выпустила обновление KB2718704.

С зараженных компьютеров, расположенных на Ближнем Востоке (в Иране, Судане, Сирии и т.д.) Flame крадет различную информацию, в том числе видео- и аудиофайлы, а также чертежи AutoCAD.

На сегодняшний день Flame является одной из самых сложных киберугроз. Программа имеет большой размер и невероятно сложную структуру и очень хорошо показывает, как могут проводиться шпионские операции в XXI веке.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Угрозы в интернете

Статистические данные, рассматриваемые в этой главе, получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.

Детектируемые объекты в интернете

Во втором квартале 2012 года было отражено 434 143 004 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира. Всего в данных инцидентах было зафиксировано 145 007 уникальных модификаций вредоносных и потенциально нежелательных программ.

TOP 20 детектируемых объектов в интернете

Место Название* % от всех атак**
1 Malicious URL 85,80%
2 Trojan.Script.Iframer 3,90%
3 Trojan.Script.Generic 2,70%
4 Exploit.Script.Blocker 0,60%
5 Trojan.JS.Popupper.aw 0,40%
6 Trojan.Win32.Generic 0,40%
7 Trojan-Downloader.JS.Iframe.cxk 0,30%
8 Trojan-Downloader.JS.Expack.sn 0,20%
9 Exploit.Script.Generic 0,20%
10 Trojan-Downloader.Script.Generic 0,20%
11 Trojan-Downloader.JS.Agent.gqu 0,20%
12 Trojan-Downloader.Win32.Generic 0,20%
13 Hoax.HTML.FraudLoad.h 0,10%
14 Trojan-Downloader.SWF.FameGake.a 0,10%
15 Trojan.JS.Iframe.aaw 0,10%
16 Trojan.JS.Agent.bxw 0,10%
17 AdWare.Win32.IBryte.x 0,10%
18 AdWare.Win32.ScreenSaver.i 0,10%
19 Trojan-Downloader.JS.Agent.grd 0,10%
20 Trojan-Downloader.JS.JScript.ag 0,10%

* Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
** Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Первую строчку в рейтинге неизменно занимают вредоносные ссылки из черного списка. По сравнению с предыдущим кварталом их доля выросла на 1,5% и в итоге они составляют 85,8% от всех детектов. В список в первую очередь попадают различные сайты, на которые перенаправляются пользователи. Напомним, что чаще всего на вредоносные сайты пользователи попадают со взломанных легитимных ресурсов с внедренными вредоносными скриптами (drive-by атака). Кроме того, пользователи сами переходят по опасным ссылкам, например при поиске различного пиратского контента. Значительная часть обнаруженных Malicious URL по-прежнему приходится на сайты, связанные с эксплойт-паками.

13 позиций в рейтинге занимают вредоносные программы, которые эксплуатируют бреши в программном обеспечении и используются для доставки вредоносных программ на компьютер пользователя, в их числе две программы, обнаруженные эвристиками: Exploit.Script.Blocker и Exploit.Script.Generic.

Продолжает уменьшаться в рейтинге количество рекламных программ, детектируемых как AdWare: во втором квартале таких программ только две. Эти программы работают как расширения для браузеров: добавляют новую поисковую панель и меняют начальную страницу. Сами по себе они являются легальными программами, за установку которых их создатели платят деньги партнерам-распространителям. Однако находятся распространители, которые готовы получать таким образом деньги, не спрашивая разрешения пользователя на установку.

Приложения, в которых злоумышленники используют уязвимости

Большинство атак через интернет осуществляется с помощью эксплойтов, которые используют ошибки в ПО, – для того чтобы запуск вредоносной программы произошел  без ведома пользователя.

Какие же приложения чаще всего используют эксплойты? Ответ представлен на диаграмме: это Adobe Acrobat Reader, Java, Android Root и Adobe Flash Player. Пользователям в первую очередь стоит обновить именно эти программы, а еще лучше — озаботиться их автоматическим обновлением.


Приложения, уязвимости в которых использовали веб-эксплойты
Второй квартал 2012

Страны, на ресурсах которых размещены вредоносные программы

Для определения географического положения источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического положения данного IP-адреса (GEOIP).

85% веб-ресурсов (на 1% больше, чем в прошлом квартале), используемых для распространения вредоносных программ, во втором квартале 2012 года были размещены в десяти странах мира.


Распределение веб-ресурсов, на которых размещены вредоносные программы, по странам.
Второй квартал 2012

Состав TOP 10 не претерпел изменений, в него вошли те же страны, что и в прошлом квартале. За прошедшие три месяца заметно выросла доля хостингов, расположенных в США (+7%). Это произошло в первую очередь за счет уменьшения доли остальных стран десятки: России (-1,5%), Германии (-1,9%), Голландии (-1,2%), Англии (-1%) и Франции (-1,7%). Россия заняла в этом рейтинге второе место (14%), вытеснив на третью позицию Голландию (12%).

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи в каждой стране сталкивались со срабатыванием веб-антивируса.


20 стран, где пользователи подвергаются наибольшему риску заражения через интернет*. Второй квартал 2012 г.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

В TOP 20 преобладают страны — республики бывшего СССР, а также страны Африки и Юго-Восточной Азии.

Все страны можно разбить на несколько групп.

  1. Группа повышенного риска. В эту группу с результатом 41-60% вошли 18 стран из TOP 20, в том числе Россия (59,5%), Казахстан (54%), Украина (47,3%), Индия (48%), Индонезия (42,2%) и Малайзия (41,8%).
  2. Группа риска. В эту группу с показателями 21-40% попали 103 страны, в том числе Испания (37,8%), Италия (34,8%), Канада (36%), США (35,7%) и Англия (31,6%).
  3. Группа самых безопасных при серфинге в интернете стран. В эту группу вошли 16 стран с показателями 12,3-20%.

Меньше всего процент пользователей, атакованных при просмотре страниц в интернете, на Тайване (15,2%), в Японии (18,1%), Дании (18,9%), Люксембурге (19,7%) и Чехии (20%). Отметим, что в эту группу входят и страны Южной Африки, однако в них не все благополучно с точки зрения локальных заражений.


Риск заражения через интернет компьютеров пользователей в странах мира.
Второй квартал 2012 г.

В среднем 39,7% компьютеров всех пользователей KSN, т.е. четыре из десяти компьютеров в мире, в течение квартала хотя бы раз подвергались атаке при серфинге в интернете. Отметим, что средний процент атакованных машин по сравнению с предыдущим кварталом увеличился на 11 процентных пунктов.

Локальные угрозы

Здесь мы анализируем статистические данные, полученные на основе работы модуля антивируса, сканирующего файлы на жестком диске в момент их создания или при обращении к ним, и статистику по сканированию различных съемных носителей информации.

Объекты, обнаруженные на компьютерах пользователей

Во втором квартале 2012 года наши антивирусные решения успешно заблокировали 1 041 194 194 попыток локального заражения на компьютерах пользователей, участвующих в Kaspersky Security Network.

Всего при попытке запуска на компьютерах пользователей с помощью on-access scanner было зафиксировано 383 667 уникальных модификаций вредоносных и потенциально нежелательных программ.

Объекты, обнаруженные на компьютерах пользователей: TOP 20

Место Название % уникальных атакованных пользователей*
1 Trojan.Win32.AutoRun.gen 17,80%
2 Trojan.Win32.Generic 17,.40%
3 DangerousObject.Multi.Generic 16,10%
4 Trojan.Win32.Starter.yy 7,40%
5 Virus.Win32.Sality.bh 6,70%
6 Virus.Win32.Virut.ce 5,40%
7 Net-Worm.Win32.Kido.ih 5,10%
8 Virus.Win32.Sality.aa 4,20%
9 HiddenObject.Multi.Generic 3,60%
10 Virus.Win32.Nimnul.a 3,10%
11 Trojan.WinLNK.Runner.bl 2,20%
12 Worm.Win32.AutoRun.hxw 2,00%
13 Trojan.Win32.Hosts2.gen 1,40%
14 Virus.Win32.Sality.ag 1,40%
15 Worm.Win32.Mabezat.b 1,00%
16 AdWare.Win32.GoonSearch.b 0,80%
17 AdWare.Win32.BHO.aqbp 070%
18 Trojan-Dropper.Script.Generic 0,50%
19 AdWare.Win32.HotBar.dh 0,30%
20 Trojan-Downloader.WMA.Wimad.ag 0,30%

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODSантивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

Первую строчку в рейтинге с показателем 17,8% занял обновленный эвристический детект зловредов, распространяющихся через съемные носители информации, чаще всего флешки. Появление этого вердикта на первой строке говорит о том, что количество съемных носителей информации, на которых были обнаружены следы работы вредоносных программ, очень велико.

Вторую строчку рейтинга занимает вердикт, выдаваемый эвристическим анализатором при проактивном детектировании множества вредоносных программ, — Trojan.Win32.Generic (17,4%).

Вредоносные программы, обнаруженные с помощью «облачных» технологий (16,1%) спустились с первой на третью строчку рейтинга. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, зато у антивирусной компании «в облаке» уже есть информация об объекте. В этом случае детектируемому объекту присваивается имя DangerousObject.Multi.Generic.

16-е, 17-е и 20-е место заняли рекламные программы. Здесь появился один новичок – семейство AdWare.Win32.GoonSearch (0,8%). Эти программы являются надстройкой для IE, однако зафиксированы случаи их появления на компьютерах без согласия пользователей, при этом программы противодействуют антивирусным средствам.

Net-Worm.Win32.Kido (5,1%) продолжает терять свои позиции в рейтинге. В то же время рейтинг пополнился еще одним представителем файловых инфекторов: во втором квартале помимо вирусов Virus.Win32.Sality.bh, Virus.Win32.Sality.аа, Virus.Win32.Nimnul.a и Trojan.Win32.Starter.yy в рейтинг попал и небезызвестный Virus.Win32.Virut.ce (5,4%), создающий из зараженных машин крупный ботнет, через который распространяются другие вредоносные программы.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Полученные цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. На 36,5% компьютеров всех пользователей KSN в мире, предоставляющих нам информацию, хотя бы раз был найден вредоносный файл (на компьютере или на съемном носителе, подключенном к нему) – по сравнению с прошлым кварталом на 5,7% меньше.


TOP 20: процент компьютеров пользователей, на которых были обнаружены вредоносные программы, от общего количества пользователей ЛК в стране*. Второй квартал 2012 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Первая двадцатка практически полностью состоит из стран Африки и Юго-Восточной Азии. В Бангладеш наши продукты столкнулись с вредоносными программами на 98 из 100 компьютеров, на которых они установлены.

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

  1. Максимальный уровень заражения (более 60%): 20 стран, преимущественно и из азиатского региона (Индия, Вьетнам, Монголия и др.), Ближнего Востока (Ирак, Афганистан) и Африки (Судан, Ангола, Нигерия, Камерун и др.).
  2. Высокий уровень заражения (41-60%): 51 страна, в том числе Индонезия (58,3%), Казахстан (46,1%), Китай(43,9%), Эквадор (43,8%), Россия (42,6%) и ОАЭ (42,3%).
  3. Средний уровень заражения (21-40%): 43 страны, в том числе Турция, Мексика, Израиль, Латвия, Португалия, Италия, США, Австралия, Франция.
  4. Наименьший уровень заражения: 23 страны, среди которых Канада, Новая Зеландия, Пуэрто-Рико, 13 европейских стран (в том числе Норвегия, Финляндия, Голландия, Ирландия, Германия, Эстония), а также Япония и Гонконг.


Риск локального заражения компьютеров в странах мира.
Второй квартал 2012 г.

В десятку стран, самых безопасных по уровню локального заражения, попали:

Место Страна % уникальных пользователей
1 Дания 12%
2 Реюньон 13,4%
3 Чехия 13,6%
4 Япония 14,6%
5 Люксембург 15%
6 Швеция 15%
7 Швейцария 16,2%
8 Финляндия 16,3%
9 Германия 17,2%
10 Голландия 17,7%

Дания, Люксембург, Чехия и Япония одновременно находятся в списке самых безопасных стран при серфинге в интернете. Но даже в Дании мы обнаружили вредоносные объекты на 12 компьютерах из 100.

Уязвимости

Во втором квартале 2012 года на компьютерах пользователей KSN было обнаружено 31 687 277 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали 9 различных уязвимостей.

TOP 10 уязвимостей представлена в таблице ниже.

Secunia
ID
уникальный
идентификатор
уязвимости
Название
и ссылка
на описание
уязвимости
Возможности,
которые
дает
использование
уязвимости
злоумышленникам
Процент
пользо-
вателей,
у которых
была
обнаружена
уязвимость*
Дата
публи-
кации
Уро-
вень
опас-
ности
уязви-
мости
1 SA 48009 Oracle Java JDK / JRE / SDK Multiple Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Получение доступа к конфиденциальным данным. Манипулирование данными. DoS-атака « 31,40% 4/10/2012 Highly Critical
2 SA 48281 Adobe Flash Player Two Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Получение доступа к конфиденциальным данным. « 20,90% 4/10/2012 Highly Critical
3 SA 48500 VLC Media Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. 19,30% 3/21/2012 Highly Critical
4 SA 49472 Oracle Java Multiple Vulnerabilities «DoS-атака. Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Cross-Site Scripting. Получение доступа к конфиденциальным данным. Манипулирование данными. « 16,50% 7/18/2012 Highly Critical
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. 14,40% 1/11/2012 Extremely Critical
6 SA 23655 Microsoft XML Core Services Multiple Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. DoS –атака (отказ в обслуживании). XSS. « 13,50% 7/13/2011 Highly Critical
7 SA 49086 Adobe Shockwave Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 11,40% 5/10/2012 Highly Critical
8 SA 47447 Apple QuickTime Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 11,30% 6/29/2012 Highly Critical
9 SA 47932 Adobe Shockwave Player Multiple Vulnerabilities Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя 9,80% 2/15/2012 Highly Critical
10 SA 49388 Adobe Flash Player Multiple Vulnerabilities «Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя. Обход системы защиты. « 9,20% 6/18/2012 Highly Critical

*За 100% взяты пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость

На первом месте, как и в прошлом квартале, находится уязвимость в продукте Java от компании Oracle. Она была обнаружена на 31% уязвимых компьютеров. Всего же в нашем рейтинге присутствуют 2 уязвимости в Java.

Пять из 10 позиций рейтинга по-прежнему занимают продукты компании Adobe: проигрыватели Flash Playerи Shockwave и популярное приложение для чтения pdf-документов Reader.

Единственным новичком рейтинга стала уязвимость в бесплатном медиаплеере VLC.


Производители уязвимых продуктов из TOP 10 уязвимостей.
Второй квартал 2012

Все уязвимости из TOP10 дают возможность злоумышленнику с помощью эксплойтов получить полный контроль над системой. Три уязвимости позволяют проводить атаки типа «отказ в обслуживании», а также предоставляют злоумышленнику возможность получить доступ к конфиденциальной информации. В рейтинг также попали уязвимости, которые дают возможность манипулировать данными, обходить систему защиты и проводить XSS-атаки.


Распределение уязвимостей из TOP 10 по типу воздействия на систему.
Второй квартал 2012 г.

Заключение

Во втором квартале 2012 года продолжился стремительный рост количества Android-зловредов. За три месяца в нашу коллекцию было добавлено почти 15 тысяч вредоносных dex-файлов. Зловреды для Andoid OS эволюционируют и на качественном уровне: вирусописатели придумывают различные приемы, чтобы усложнить их анализ и детектирование. Это говорит о росте числа вирусописателей, которые переключаются на разработку вредоносных программ для мобильных устройств. К тому же развивается черный рынок услуг по распространению мобильных вредоносных программ, что в ближайшем будущем приведет к увеличению числа атак на пользователей мобильных устройств,  при этом атаки станут более изощренными.

Утечки данных крупных сервисов, которые в результате деятельности различных хактивистов стали регулярными, в прошедшем квартале привели к раскрытию паролей миллионов пользователей. К сожалению, огромное количество пользователей использует одну и ту же комбинацию логина и пароля ко многим сайтам, что увеличивает риск потери ценных данных. Однако стоит заметить, что в быстрой расшифровке хранящихся в базах паролей при таких атаках повинны как сами пользователи, которые любят простые пароли, так и администраторы сайтов, использующие простые техники шифрования. Проблема не нова, и существует несколько способов ее решения. Хочется надеяться, что из-за  регулярных взломов администраторы все же станут использовать более надежные алгоритмы хранения паролей.

В следующем квартале нас ждут две крупные хакерские конференции — BlackHat и Defcon, где по традиции демонстрируется ряд новых техник атак, которые достаточно оперативно находят практическое применение в киберпреступном мире. Так что можно ожидать использования злоумышленниками новых техник уже в третьем квартале.

Основной же темой второго квартала 2012 стало обнаружение кибершпионской программы Flame. Помимо огромного размера и широкого спектра инструментов по извлечению информации с зараженных машин, Flame использует интересный способ распространения в локальной сети через создание поддельного сервера обновлений Windows. К тому же код, аналогичный части коду Flame, был обнаружен в одной из версий нашумевшего червя Stuxnet, датированной 2009 годом. Это говорит о том, что разработчики этих программ связаны друг с другом.

Ситуация с кибероружием напоминает ящик пандоры, который уже невозможно закрыть. Многие страны мира официально заявили о том, что будут разрабатывать доктрины, касающиеся действий в киберпространстве, и создавать специальные подразделения. Следовательно, история кибероружия не ограничится Duqu и Flame. Главной же сложностью в этой ситуации является отсутствие какого-либо сдерживающего фактора в виде международного регулирования в этой сфере.

ИСТОЧНИК

14 июн 2012: Спам в мае 2012 года

Доля спама в почтовом трафике по сравнению с апрелем уменьшилась на 3,4%
и составила в среднем 73,8%.

http://www.securelist.com/ru/analysis/208050761/Spam_v_mae_2012_goda

25 май 2012: Анатомия Flashfake. Часть II

В первой части нашего исследования мы рассмотрели механизмы
распространения и заражения вредоносной программы Flashfake…

http://www.securelist.com/ru/analysis/208050759/Anatomiya_Flashfake_Chast_II

21 май 2012: Обзор вирусной активности — апрель 2012

В течение месяца на компьютерах пользователей продуктов
«Лаборатории Касперского»: обнаружено и обезврежено 280 млн
вредоносных программ.

http://www.securelist.com/ru/analysis/208050758/Obzor_virusnoy_aktivnosti_aprel_2012

14 май 2012: Развитие информационных угроз в первом квартале 2012 года

По данным KSN, в Q1 2012 года продукты «ЛК» обнаружили и
обезвредили почти 1 млрд вредоносных объектов…

http://www.securelist.com/ru/analysis/208050757/Razvitie_informatsionnykh_ugroz_v_pervom_kvartale_2012_goda
11 май 2012: Спам в апреле 2012 года

Доля спама в почтовом трафике по сравнению с мартом увеличилась на 2,2%
и составила в среднем 77,2%.

http://www.securelist.com/ru/analysis/208050755/Spam_v_aprele_2012_goda

3 май 2012: Спам в первом квартале 2012

Доля спама составила в среднем 76,6% почтового трафика.

http://www.securelist.com/ru/analysis/208050754/Spam_v_pervom_kvartale_2012

19 апр 2012: Анатомия Flashfake. Часть I

Flashfake — это семейство вредоносных программ для Mac OSX.

http://www.securelist.com/ru/analysis/208050753/Anatomiya_Flashfake_Chast_I

13 апр 2012: Обзор вирусной активности, март 2012

Уже шесть месяцев продолжается наше расследование истории троянской
программы Duqu.

http://www.securelist.com/ru/analysis/208050752/Obzor_virusnoy_aktivnosti_mart_2012
11 апр 2012: Спам в марте 2012 года

Доля спама в почтовом трафике по сравнению с февралем уменьшилась на
3,5% и составила в среднем 75%.

http://www.securelist.com/ru/analysis/208050750/Spam_v_marte_2012_goda

19 мар 2012: Спам в феврале 2012 года

Доля спама в почтовом трафике по сравнению с январем увеличилась на 2,3%
и составила в среднем 78,5%.

http://www.securelist.com/ru/analysis/208050749/Spam_v_fevrale_2012_goda

13 мар 2012: Обзор вирусной активности — февраль 2012

В течение месяца на компьютерах пользователей продуктов
«Лаборатории Касперского»: заблокировано 143 574 335 попыток
заражения через Web

http://www.securelist.com/ru/analysis/208050748/Obzor_virusnoy_aktivnosti_fevral_2012

1 мар 2012: Мобильная вирусология, часть 5

В целом, в 2011 году вредоносные программы перешли на новый качественный
уровень, то есть стали сложнее.

http://www.securelist.com/ru/analysis/208050747/Mobilnaya_virusologiya_chast_5

22 фев 2012: DDoS-атаки второго полугодия 2011 года

Все статистические данные получены с помощью системы мониторинга за
ботнетами «Лаборатории Касперского» и системы Kaspersky DDoS
Prevention.

http://www.securelist.com/ru/analysis/208050745/DDoS_ataki_vtorogo_polugodiya_2011_goda

20 фев 2012: Спам в январе 2012 года

Доля спама в почтовом трафике по сравнению с декабрем не изменилась и
составила в среднем 76,2%.

http://www.securelist.com/ru/analysis/208050742/Spam_v_yanvare_2012_goda

16 фев 2012: Kaspersky Security Bulletin 2011. Развитие угроз в 2011 году

2011 год можно назвать годом «взрывоопасной» безопасности.

http://www.securelist.com/ru/analysis/208050744/Kaspersky_Security_Bulletin_2011_Razvitie_ugroz_v_2011_godu

16 фев 2012: Kaspersky Security Bulletin. Основная статистика за 2011 год

Отчет сформирован на основе данных, полученных и обработанных при помощи
Kaspersky Security Network.

http://www.securelist.com/ru/analysis/208050741/Kaspersky_Security_Bulletin_Osnovnaya_statistika_za_2011_god

16 фев 2012: Kaspersky Security Bulletin. Спам в 2011 году

Почтового мусора меньше, но он становится опаснее.

http://www.securelist.com/ru/analysis/208050743/Kaspersky_Security_Bulletin_Spam_v_2011_godu

23 янв 2012: Поздравляем, вы выиграли! или Что скрывается за лотереями в интернете

Письма с уведомлениями о выигрыше в лотерею с завидной регулярностью
появляются в наших почтовых ящиках.

http://www.securelist.com/ru/analysis/208050739/Pozdravlyaem_vy_vyigrali_ili_Chto_skryvaetsya_za_lotereyami_v_internete

16 янв 2012: Спам в декабре 2011 года

Доля спама в почтовом трафике по сравнению с ноябрем уменьшилась на 4,4%
и составила в среднем 76,2%.

http://www.securelist.com/ru/analysis/208050733/Spam_v_dekabre_2011_goda

28 дек 2011: Stuxnet/Duqu: эволюция драйверов

Два месяца продолжается наше исследование троянца Duqu — истории
его появления, ареала распространения и схем работы.

http://www.securelist.com/ru/analysis/208050731/Stuxnet_Duqu_evolyutsiya_drayverov

20 дек 2011: Спам в ноябре 2011 года

Доля спама в почтовом трафике по сравнению с октябрем увеличилась на
1,4% и составила в среднем 80,6%.

http://www.securelist.com/ru/analysis/208050730/Spam_v_noyabre_2011_goda

12 дек 2011: Троянцы-вымогатели

Троянцы-вымогатели (Trojan-Ransom) — вредоносное ПО, нарушающее
работоспособность компьютера…

http://www.securelist.com/ru/analysis/208050728/Troyantsy_vymogateli

12 дек 2011: Обзор вирусной активности — ноябрь 2011

Ноябрь оказался относительно спокойным месяцем в отношении традиционных
угроз.

http://www.securelist.com/ru/analysis/208050729/Obzor_virusnoy_aktivnosti_noyabr_2011

8 дек 2011: Онлайн-платежи — удобно и безопасно

В цивилизованных странах пластиковые карты очень популярны. Оценили
преимущества пластиковых карт и пользователи интернета.

http://www.securelist.com/ru/analysis/208050727/Onlayn_platezhi_udobno_i_bezopasno

28 ноя 2011: Легальные буткиты

Насколько оправдано использование руткит-технологий в легальном
программном обеспечении?

http://www.securelist.com/ru/analysis/208050726/Legalnye_butkity

24 ноя 2011: Головы Гидры. Вредоносное ПО для сетевых устройств

Сетевые устройства часто плохо настроены и имеют уязвимости, что делает
их мишенью для сетевых атак и позволяет киберпреступникам получить
контроль над сетью.

http://www.securelist.com/ru/analysis/208050725/Golovy_Gidry_Vredonosnoe_PO_dlya_setevykh_ustroystv

17 ноя 2011: Спам в октябре 2011 года

Доля спама в почтовом трафике по сравнению с сентябрем увеличилась на
1,4% и составила в среднем 79,9%.

http://www.securelist.com/ru/analysis/208050724/Spam_v_oktyabre_2011_goda

15 ноя 2011: Развитие информационных угроз в третьем квартале 2011 года

Количество кибератакатак на корпорации растет, Android лидирует по
количеству зловредов, а вирусописатели вспомнили старые методы.

http://www.securelist.com/ru/analysis/208050723/Razvitie_informatsionnykh_ugroz_v_tretem_kvartale_2011_goda

7 ноя 2011: Обзор вирусной активности — октябрь 2011

В течение месяца на компьютерах пользователей продуктов
«Лаборатории Касперского»: отражено 161 003 697 сетевых
атак.

http://www.securelist.com/ru/analysis/208050722/Obzor_virusnoy_aktivnosti_oktyabr_2011

31 окт 2011: Спам в третьем квартале 2011

Доля спама уменьшилась на 2,7% и составила 79,8% почтового трафика.

http://www.securelist.com/ru/analysis/208050721/Spam_v_tretem_kvartale_2011

«Лаборатория Касперского» сообщает об обнаружении сложной
вредоносной программы, которая в настоящий момент активно используется в
ряде стран в качестве кибероружия. По сложности и функционалу
вредоносная программа превосходит все ранее известные виды угроз.

Вредоносная программа была обнаружена «Лабораторией
Касперского» во время исследования, инициированного Международным
союзом электросвязи (МСЭ; International Telecommunications Union).
Программа, детектируемая защитными продуктами «Лаборатории
Касперского» как Worm.Win32.Flame, разработана для ведения
кибершпионажа. Она позволяет похищать важные данные, в том числе
информацию, выводимую на монитор, информацию о системах — объектах
атак, файлы, хранящиеся на компьютере, контактные данные пользователей и
даже аудиозаписи разговоров.

Независимое исследование было начато по инициативе МСЭ и
«Лаборатории Касперского» после серии инцидентов с другой,
пока еще неизвестной вредоносной программой под кодовым именем Wiper,
которая уничтожала данные на компьютерах в странах Западной Азии. Эту
вредоносную программу еще только предстоит обнаружить; однако во время
анализа инцидентов специалисты «Лаборатории Касперского» в
сотрудничестве с Международным союзом электросвязи выявили новый вид
вредоносной программы, сейчас известной как Flame. По предварительным
результатам этот зловред активно используется уже более двух лет, с
марта 2010 года. Из-за своей исключительной сложности и направленности
на конкретные цели до настоящего момента он не мог быть обнаружен ни
одним защитным продуктом.

Хотя Flame отличается по своим характеристикам от зловредов Duqu и
Stuxnet, ранее использовавшихся в качестве кибероружия, такие факты как
география атак, использование специфичных уязвимостей в ПО, а также то,
что целью атак становятся только определенные компьютеры, указывают на
то, что Flame относится к той же категории сложного кибероружия.

«Уже на протяжении нескольких лет опасность военных операций в
киберпространстве является одной из самых серьёзных тем информационной
безопасности. Stuxnet и Duqu были звеньям одной цепи кибератак; их
применение вызвало озабоченность в связи возможной перспективой
развязывания кибервойн во всем мире. Зловред Flame, по всей вероятности,
является еще одним этапом такой войны. Важно понимать, что подобное
кибероружие легко может быть обращено против любого государства. Кроме
того, в кибервойнах, в отличие от традиционных, развитые страны
оказываются наиболее уязвимыми», — прокомментировал
обнаружение Flame генеральный директор «Лаборатории
Касперского» Евгений Касперский.

Согласно имеющимся данным, основная задача Flame — кибершпионаж с
использованием информации, украденной с зараженных машин. Похищенные
данные передаются в сеть командных серверов, размещенных в разных частях
света. Вредоносная программа рассчитана на кражу широкого спектра
данных: документов, снимков экрана, аудиозаписей, а также на перехват
сетевого трафика. Это делает ее одним из наиболее сложных и
полнофункциональных средств проведения кибератак из обнаруженных на
сегодняшний день. Вопрос об использованном вредоносной программой
векторе заражения пока остается без ответа. Однако уже сейчас ясно, что
Flame может распространяться по сети несколькими способами, в том числе
путем эксплуатации той же уязвимости в службе диспетчера печати и того
же метода заражения через USB-устройства, который использует червь
Stuxnet.

«Предварительные выводы исследования, проведенного по срочному
запросу МСЭ, подтверждают целевой характер этой вредоносной программы.
Один из наиболее тревожных фактов относительно кибератаки, проводимой с
помощью Flame, состоит в том, что она в данный момент находится в
активной стадии, и те, кто ее проводят, постоянно ведут наблюдение за
зараженными системами, собирают информацию и выбирают новые объекты для
достижения своих, неизвестных нам целей», — комментирует
главный антивирусный эксперт «Лаборатории Касперского»
Александр Гостев.

Эксперты «Лаборатории Касперского» в настоящее время
проводят углубленный анализ Flame. В ближайшие дни планируется
публикация серии материалов, раскрывающих подробности о новой угрозе по
мере их выяснения. На данный момент известно, что вредоносная программа
содержит несколько модулей, насчитывающих в общей сложности несколько
мегабайт исполняемого кода, что почти в 20 раз больше, чем размер червя
Stuxnet. Это означает, что для анализа данного кибероружия потребуется
большая команда высокопрофессиональных экспертов по безопасности со
значительным опытом в области киберзащиты.

МСЭ будет использовать возможности сети IMPACT, состоящей из 142 стран и
нескольких крупных игроков отрасли, включая «Лабораторию
Касперского», для информирования государственных органов и
технического сообщества о данной киберугрозе и обеспечения скорейшего
завершения технического анализа угрозы.

За развитием событий следите в блогпостах антивирусных экспертов
«Лаборатории Касперского» на сайте www.securelist.com/ru .