Кибервойны: из фантастики в реальность
Лента новостей
О том, чему научил червь Stuxnet, а также о тенденциях киберпреступлений в интервью BFM.ru рассказал директор Центра вирусных исследований и аналитики российского представительства Eset Александр Матросов
На днях компания Microsoft закрыла последнюю из четырех уязвимостей, которые использовал червь Stuxnet.
Напомним, после обнаружения названного вредоносного ПО компания Eset вычислила 4 новых уязвимости в ПО Microsoft, которые и использовал названный червь. Три из них были оперативно закрыты. Четвертая — CVE-2010-3338, использовавшаяся для повышения локальных привилегий до уровня системы в ОС Microsoft Vista и Microsoft Win7. При этом уязвимым компонентом являлся планировщик задач (Task Scheduler), который позволял выполнить специально сформированное задание с правами на уровне системы.
Как отмечает Eset, сотрудники ее российского представительства подготовили демонстрационный программный код, который показывал возможности злоумышленников при использовании указанных уязвимостей. В том числе CVE-2010-3338, которая долгое время оставалась незакрытой. Это позволило киберпреступникам использовать ее и для распространения других вредоносных программ. В частности, подобный случай был зафиксирован в ноябре этого года в программном коде обновленной версии руткита TDL4 (Win32/Olmarik.AIY по классификации Eset).
О том, чему научил червь Stuxnet, а также о тенденциях киберпреступлений в интервью BFM.ru рассказал директор Центра вирусных исследований и аналитики российского представительства Eset Александр Матросов.
— Появление Stuxnet — единичный случай или возникновение новой тенденции на рынке информационной безопасности?
— Сами по себе целевые атаки не являются новой тенденцией, однако в этом году наметился серьезный тренд к их увеличению. Первый подобный случай был замечен в начале этого года — атака под названием «Аврора», осуществленная специализированной троянской программой на десяток компаний из США. В их числе оказалась Google. Причем, по данным самой интернет-компании, атака оказалась успешной.
Вторая атака была зафиксирована летом. Хотя у нас есть информация, которая позволяет предположить, что началась она значительно раньше — как минимум, за полгода до своего обнаружения. Это уже был червь Stuxnet. Кстати, обнаружены и более ранние его модификации, датированные концом весны 2009 года.
«Аврора» была нацелена на конкретные компании, и время ее жизни было достаточно коротким. Во втором случае мы имеем долгосрочную акцию, причем нацеленную не на конкретную компанию или группу компаний, а на определенную IT-инфраструктуру. То есть главная вредоносная составляющая Stuxnet проявлялась, когда червь попадал в сеть, в которой функционировали SCAD-системы от Siemens.
В настоящее время нельзя однозначно утверждать, что целью создания Stuxnet были Бушерская и Натанская АЭС, которые попали под удар. Дело в том, что червь имел возможность обновляться и обновлять свои компоненты. Поэтому в разное время червь мог выполнять различные задания злоумышленников.
Сейчас версию с иранской ядерной программой рассматривают в качестве основной, тем более что масла в огонь подливают политики Ирана. На мой взгляд, здесь действительно слишком много политических моментов.
Целевые атаки показали свою серьезность, что они могут наносить ущерб на суммы с очень большим количеством нулей. Также следует учитывать, что хорошо подготовленная атака, как это произошло в случае со Stuxnet, может быть выявлена не сразу и в таком случае нанесет еще больший ущерб.
Также Stuxnet показал своей технической составляющей, что криминальные группы готовы вкладывать большие средства в разработку вредоносных программ. Дело в том, что в том же Stuxnet реализовано пять векторов атаки — один с использование уязвимости нулевого дня для систем SCADA, а четыре с использованием уязвимостей нулевого дня для Windows. Они стоят не дешево. По нашим оценкам, их общая стоимость может превышать 100 тысяч евро. Плюс разработка самого кода червя, которую Eset оценивает приблизительно в 500 тысяч евро. Причем, судя по всему, над червем работала команда квалифицированных специалистов, один из членов которой специализировался на SCADA-системах.
— Насколько вероятно, что разработка этого червя — дело рук не киберпреступников, а, например, каких-то госструктур?
— Исходя из сумм затрат на создание червя, такое вполне возможно. При этом следует учитывать, что у Stuxnet нет механизма явной монетизации. Непонятно, как с его помощью можно заработать деньги. Да, червь может нанести ущерб, но кому это выгодно — не совсем понятно. Если развивать эту мысль дальше, то становится ясно, что киберпреступникам не выгодно вкладывать деньги в разработку Stuxnet, поскольку с его помощью нельзя получить какой-то доход. А ведь сегодня вся их деятельность направлена именно на извлечение денег. На наш взгляд, Stuxnet вполне мог быть создан какой либо влиятельной организацией, в том числе правительственной. Но вот какой именно — сложно сказать. Особо стоит отметить, что при распространении этого червя использовались подлинные сертификаты электронной цифровой подписи от известных компаний. Это, в принципе, ставит под удар механизм проверки в продуктах многих антивирусных вендоров. То есть ряд антивирусных решений по умолчанию считает, что программа с сертификатом ЭЦП заведомо безопасна. А теперь получается, что сертификатам тоже нельзя доверять полностью. Они могут быть украдены и использованы для распространения вредоносных программ.
— Какие еще устойчивые тенденции 2010 года можно отметить?
— Могу отметить тенденцию, которая имеет непосредственное отношение к нашему региону — России и странам СНГ. Это увеличение уровня мошенничества в системах дистанционного банковского обслуживания (ДБО) с использованием вредоносных программ. Последние могут быть простейшими, предназначенными для изменения некоторых системных файлов, что обеспечивает перенаправление пользователя на фишинговые ресурсы. Причем зачастую пользователь даже не имеет представления, что он попадает на ресурс злоумышленников — они реализуют на своем сайте точную копию подменяемого.
А ведь встречаются гораздо более сложные вредоносные программы, да и сами ДБО не безупречны — они и используемые в них программные компоненты от сторонних разработчиков имеют немало уязвимостей, которыми могут воспользоваться злоумышленники. Отчасти это связано с тем, что на рынке ДБО есть своего рода монополисты. При этом они не очень беспокоятся о качестве программного кода своих продуктов, что и приводит к появлению уязвимостей.
Еще один момент — более сложные вредоносные программы могут внедрять свой код, подменяя или модифицируя компоненты ДБО-системы. В таком случае работа вредоносной программы становится более незаметной. А чем больше вредоносное ПО будет оставаться незамеченным, тем больший вред оно нанесет финансовой организации.
По данным компании Group IB, которая занимается проведением расследований в области информационной безопасности, в месяц злоумышленники, специализирующихся на ДБО, уводят из этих систем десятки миллионов долларов. Причем таким взломом занимаются отнюдь не студенты, а хорошо организованные преступные группы, использующие различные схемы. Вплоть до внедрения инсайдера, например, в случае целевой атаки.
— Во что еще целились киберпреступники в этом году?
— За год нашлось много новых уязвимостей «нулевого дня», нацеленных на клиентское программное обеспечение. То есть когда сам браузер или другие пользовательские приложения имеют уязвимости, которые позволяют устанавливать другие вредоносные программы. Тут многое можно припомнить, но самыми распространенными уязвимыми приложениями являются продукты Adobe — Flash Player и Adobe Reader.
Еще один распространенный канал — уязвимости в Java-платформах. Причем, самих уязвимостей не так много, но соответствующие обновления выпускаются крайне медленно. Да и другие накладки случаются. Так, этой осенью был всплеск использования Java-эксплойтов, число которых превзошло количество инцидентов с продуктами Adobe. Причем, вредоносными программами отрабатывались довольно старые уязвимости. Как оказалось, далеко не все пользователи Java-приложений вовремя получили обновления. Возможно, это было связано с организационными проблемами по включению подразделений Sun Microsystems в соответствующие структуры Oracle.
— В этом году много говорили о кибервойнах — это миф или реальность?
— Раз крупные страны, в частности США, делают на это ставку и вкладывают многомиллионные средства в создание соответствующих подразделений, то, наверное, это имеет смысл. На мой взгляд, такой подход оправдан. Дело в том, что кибервойны — не будущее, а реальность. Хотя большая часть информации о событиях в этой сфере не попадает наружу. Тем не менее, серверы критически важных информационных систем различных государств регулярно подвергаются атакам.
Если говорить про Россию, то ситуация у нас не очень хороша. В государственных органах власти, на предприятиях и т.п. используются операционные системы семейства Windows и соответствующие офисные пакеты. При этом стоит учитывать, что сертификация этого ПО не означает выявления в этих приложениях уязвимостей нулевого дня. Поэтому злоумышленникам при подготовке целевой атаки нет необходимости заниматься изучением новой или модифицированной системы. Перед ними все та же Windows, про которую все хорошо известно. Кроме того, как правило, в органах государственной власти уровень компьютерной грамотности пользователей оставляет желать лучшего.
В наших спецслужбах также имеются соответствующие подразделения. Однако все это у нас поставлено не на такую широкую ногу, в том числе в финансовом плане, как в Северной Корее, Китае или США. В этих странах данное направление считают критически важным для государственной безопасности.
— Как обстоят дела с защитой критически важных систем?
— Один из распространенных способов защиты таких систем — их изоляция от Сети. Кроме того, есть дополнительные элементы контроля. Когда происходит внештатная ситуация, то, например, принятие решения зачастую передается человеку. Насколько я знаю, у нас в этом плане дела обстоят достаточно хорошо. На тех же АЭС имеется много систем дополнительного контроля, которые не позволят произойти какому-либо сбою, который мог бы привести к техногенной катастрофе.
— Какие у компании имеются прогнозы на 2011 год?
— Пока прогнозы достаточно общие. Можно смело предполагать, что число целенаправленных атак будет увеличиваться. Возможно, станет доступной информация о еще каких-либо инцидентах, которые позволят еще раз привлечь внимание к этой проблеме.
Наверняка получит дальнейшее техническое развитие такое вредоносное ПО, как руткиты. В дополнение к таким «решениям», как TDL4, появятся и новые семейства руткитов для операционных систем Windows 7 и Windows Vista. В том числе потому, что число пользователей этих ОС постоянно увеличивается. Это служит для вирусописателей дополнительным стимулом в деле разработки новых вирусов.
Также следует ожидать увеличения уровня мобильных угроз. Ведь количество смартфонов и многофункциональных телефонов постоянно растет, а значит, увеличивается число потенциальных жертв вирусописателей.
Особо отмечу, что в следующем году основным каналом распространения вредоносных программ останется направление «уязвимостей нулевого дня», которому киберпреступники будут уделять повышенное внимание. Ведь спрос на такие уязвимости очень стабилен на черном рынке. Их стоимость может колебаться от 2 до 10 тысяч евро и больше.
Рекомендуем:
Рекомендуем:
