Дальше будет страшнее

11 декабря в Москве представители «Лаборатории Касперского» рассказали о самых ярких инцидентах в сфере информационной безопасности, случившихся в уходящем году, и сделали прогнозы на ближайшее будущее. Обозреватель портала Банки.ру мужественно выслушал «страшилки» экспертов.

Пресс-конференция была стилизована под телевизионное шоу — с обаятельным ведущим, приглашенными экспертами и телерепортажами. «Шоу» вел Сергей Новиков, руководитель Российского исследовательского центра «Лаборатории Касперского», в качестве мудрых аналитиков выступали главный антивирусный эксперт компании Александр Гостев и ведущий антивирусный эксперт Сергей Голованов.

Веселая троица всячески развлекала собравшихся журналистов. Под конецпресс-конференции они даже спели ремейк битловской «Hey Jude», переделав текст песни на тему информационной безопасности. Но в целом тон сообщений и докладов был более чем серьезным, как и их содержание: по данным «Лаборатории Касперского», динамика роста угроз не внушает оптимизма. Кибербандиты становятся все настойчивее, хитрее и опаснее. И банки остаются важными объектами кибератак.

Крупная рыба

Открывший обсуждение Александр Гостев рассказал о наиболее громком событии года в области информационной безопасности — кампании по кибершпионажу Red October («Красный октябрь», по названию подводной лодки из фильма «Охота за «Красным октябрем»). В ходе этой кампании злоумышленникам удалось нанести ущерб сотням жертв по всему миру, в том числе дипломатическим организациям, правительственным учреждениям, научно-исследовательским институтам, компаниям авиакосмической и энергетической отраслей (в том числе в сфере ядерной энергетики), а также торговым организациям.

С точки зрения экспертов, самое интересное в кибершпионаже Red October — его хитроумное устройство. Код вредоносной программы имеет модульную систему, что позволяет злоумышленникам легко подстроить его под определенную цель. Кроме того, он оснащен «модулем воскрешения», который позволяет ему повторно заражать компьютер даже после излечения. Интересно также то, что Red October собирает информацию не только с компьютеров, но и с мобильных устройств жертв. Это показывает, что киберпреступники признают мобильные устройства в качестве цели, достойной атаки.

Эксперты считают, что за Red October ответственна некая группа хакеров, действовавшая не в своих интересах, а работающая по найму. Это косвенно свидетельствует о том, что время взлома ради любви к искусству уходит или уже ушло. Ассоциальные личности с хакерскими талантами находят себе работодателей, отлично знающих, как заработать деньги киберпреступными методами.

Помимо Red October, в этом году «всплыли» еще несколько подобных кампаний. Так, TeamViewer была нацелена на сбор информации с компьютеров крупных политиков и правозащитников СНГ и стран Восточной Европы. NETTraveler, за которой, по некоторым данным, стоит КНР, крадет информацию, относящуюся к исследованию космоса, нанотехнологиям, ядерной энергетике, лазерам, медицине и телекоммуникациям. На счету NETTraveler успешный взлом сетей 650 организаций в 40 странах.

«Лабораторией Касперского» в 2013 году было обнаружено еще несколько масштабных угроз информационной безопасности. Причем пугает не столько их количество, сколько динамика роста: от единственного Stuxnet в 2010 году до минимум пяти мощных кампаний в 2013 году. Очевидно, что киберпреступники хорошо освоили методы массовых атак и научились извлекать из них прибыль — причем это не считая «государственных» хакеров, работающих в интересах правительства какой-либо страны.

Идейные кибербандиты

Кроме хакерских кампаний, получающих известность лишь после их расследования специалистами в области информационной безопасности, на свет вышли группы активистов, зачастую имеющие четко сформулированные политические требования (Сирийская электронная армия, палестинская хакерская группа KDMS), либо исповедующие киберанархические взгляды (движение Anonymous). Правда, далеко не всегда их дела сходятся с проповедуемыми идеями: так, недавняя акция кавказского крыла Anonymous была нацелена на веб-сайты крупных российских банков, что выдает стоящие за ними не столько политические, сколько финансовые интересы. В этом случае «Лаборатория Касперского», как с гордостью сообщил Гостев, смогла не только защитить веб-сайты банков, но и «накрыть» сервер управления и контроля использующегося злоумышленниками ботнета, остановив, таким образом, саму атаку.

Отражение угроз такого масштаба требует вмешательства со стороны государства: мало защититься от атаки, нужны меры воздействия на атакующих, иначе эскалации не избежать. На этом фронте достаточно успешно выступают правоохранительные органы США, арестовавшие нескольких активистов Anonymous, благодаря чему центр их деятельности сместился в сторону Азии.

За пригоршню долларов

Оперируя фактами и цифрами в государственных масштабах, докладчики не забыли и о простых смертных. Так, по данным «Лаборатории Касперского», лишь 5% российских компаний заявляют о том, что у них не было ни одного инцидента, касающегося сферы информационной безопасности, остальные сталкивались с теми или иными угрозами (эксперты прокомментировали, что эти 5% просто не имеют в штате достаточно компетентных ИБ-специалистов, чтобы узнать о факте взлома). Средние потери крупных компаний при инцидентах составили 695 тыс. долларов. Причем к крупным специалисты «Лаборатории Касперского» причисляют все компании с сетью более чем на 250 компьютеров.

По-прежнему основной целью кибермошенников, специализирующихся на прямой краже денег, остаются системы ДБО. Очень часто возможная прибыль многократно перекрывает все расходы на целевое заражение определенного компьютера в определенной компании. Методы вредоносного ПО, с помощью которого непосредственно происходит кража, в 2013 году заметно изменились: если ранее была в ходу атака с подменой реквизитов документа, то сейчас бухгалтер, войдя в систему ДБО и воткнув в USB-портсвой токен, видит «синий экран смерти» (сообщение Windows о неустранимом сбое), вызывает техподдержку и идет пить чай. За это время троянская программа успевает провести все необходимые трансакции с использованием так и не извлеченного токена.

С распространением мобильного банкинга появился смысл и у банковских мобильных троянцев. Конечно, расчетным счетом компании со смартфона обычно не управляют, но можно заработать и на мелкой рыбешке, если пошире раскинуть сеть. В современном мобильном Android банковский троянец SvPeng распространяется посредством СМС-спама и адаптируется под язык операционной системы, установленной на смартфоне. До поры он себя не проявляет, но активируется при запуске приложения мобильного банкинга. SvPeng полностью заменяет изображение на экране, перехватывая логин, пароль и СМС-код, вводимые ничего не подозревающим пользователем. Избавиться от него не так-то просто: троянец блокирует даже функцию сброса состояния устройства к заводским значениям.

Гадание на вирусах

В завершение мероприятия эксперты «Лаборатории Касперского» дали прогнозы на следующий год. Свободному, общедоступному Интернету, по их мнению, осталось жить совсем мало — он уже распадается на локальные сегменты. Крупные государства либо уже закручивают гайки, ограничивая доступ своих граждан к заграничным ресурсам и наоборот, либо им придется это сделать вслед за соседями. Это положительно скажется на способности правоохранительных органов бороться с киберугрозами. Но будет ли это настоящим Интернетом?

Главной темой 2014 года, по мнению Сергея Голованова, станет борьба за приватность и защиту персональных данных — «спасибо» Эдварду Сноудену за его лихие разоблачения деятельности американских спецслужб. Также Голованов ожидает расцвета индустрии кибернаемников и даже попыток их легализации: под видом кибердетективов будут действовать самые настоящие наемные хакеры.

Третьим трендом эксперты назвали рост востребованности биткоинов. С ростом курса BTC растет и интерес к нему со стороны злоумышленников. Все больше зловредов научится красть биткоины из кошельков пользователей, майнерских пулов и торговых площадок, все сложнее будет от них защититься. Потенциал роста биткоина, по мнению Голованова, пока не исчерпан, и он успеет вырасти минимум до 2 тыс. долларов, пока спекулянты не начнут массово фиксировать прибыль.

С ростом объемов облачных хранилищ данных возрастет число атак на них. Безусловно, облачные провайдеры будут защищать свой бизнес всеми доступными средствами. Как считает Голованов, слабым звеном в защите останутся администраторы «облаков» — принудив к сотрудничеству одного из них, бандиты смогут получить любую информацию, хранящуюся у провайдера.

В качестве последнего прогноза на 2014 год эксперты напророчили рост числа атак криптолокеров — программ, шифрующих данные пользователя и требующих деньги за расшифровку. По словам Голованова, из-за того, что все больше людей используют мобильные устройства в работе, эпидемия криптолокеров неизбежно перекинется и на них. Так что, увидев на экране смартфона сообщение в духе «Ваш смартфон заблокирован, для снятия блокировки отправьте СМС на короткий номер XXXX», не удивляйтесь — эксперты это предвидели. Не сказали, правда, куда бежать за помощью.