Кибервойны: из фантастики в действительность

58
Источник:   —  18 декабря 2010, 21:42

О том, чему обучил червь Stuxnet, а еще о тенденциях киберпреступлений в интервью BFM. ru изложил директор Центра вирусных изучений и аналитики русского представительства Eset Александр Матросов.

Кибервойны: из фантастики в действительность

На днях организация Microsoft закрыла последнюю из четырех уязвимостей, которые применял червь Stuxnet.

Напомним, после обнаружения названного вредного ПО организация Eset вычислила четыре новых уязвимости в ПО Microsoft, которые и применял названный червь. Три из них были быстро закрыты. Четвертая — CVE-две тысячи десятого-3338, применявшаяся для возрастания локальных привилегий до уровня системы в ОС Microsoft Vista и Microsoft Win7. При этом уязвимым компонентом являлся планировщик задач (Task Scheduler), который разрешал исполнить намеренно сформированное задание с правами на уровне системы.

Как отмечает Eset, работники её русского представительства подготовили демонстрационный программный код, который показывал возможности преступников при применении указанных уязвимостей. В том числе CVE-2010-3338, которая продолжительное время оставалась незакрытой. Это разрешило киберпреступникам применять её и для распространения других вредных программ. В частности, аналогичный случай был зафиксирован в ноябре текущего года в программном коде обновленной версии руткита TDL4 (Win32/Olmarik. AIY по систематизации Eset).

О том, чему обучил червь Stuxnet, а еще о тенденциях киберпреступлений в интервью BFM. ru сказал директор Центра вирусных изучений и аналитики русского представительства Eset Александр Матросов.

— Происхождение Stuxnet — единичный случай либо 0 новой склонности на рынке информационной безопасности?

— Сами по себе целевые атаки не являются новой склонностью, впрочем в данном году наметился солидный тренд к их увеличению. 1-й аналогичный случай был подмечен в самом начале текущего года — атака под наименованием «Аврора», осуществленная специализированной троянской программой на десяток компаний из США. В их числе оказалась Google. Причем, по данным самой интернет-организации, атака оказалась успешной.

Вторая атака была зафиксирована летом. Правда у нас есть информация, которая разрешает предположить, что началась она значительно прежде — как минимум, за полгода до своего выявления. Это уже был червь Stuxnet. Кстати, найдены и больше ранние его модификации, датированные концом весны две тысячи девять года.

«Аврора» была нацелена на определенные организации, и время её жизни было довольно коротким. Во втором случае мы имеем долгосрочную акцию, причем нацеленную не на определенную компанию либо группу компаний, а на определенную IT-инфраструктуру. То есть основная вредная составляющая Stuxnet проявлялась, когда червь попадал в сеть, в которой работали SCAD-системы от Siemens.

В реальное время невозможно однозначно утверждать, что целью производства Stuxnet были Бушерская и Натанская АЭС, которые попали под удар. Дело в том, что червь имел возможность обновляться и обновлять свои компоненты. Следственно в различное время червь мог исполнять разные задания преступников.

сейчас версию с иранской ядерной программой рассматривают в качестве главный, к тому же что масла в огонь подливают политики Ирана. На мой взор, Здесь реально слишком много политических моментов.

Целевые атаки показали свою серьезность, что они могут наносить ущерб на суммы с очень огромным числом нулей. Также следует рассматривать, что отлично подготовленная атака, как это случилось в случае со Stuxnet, может быть выявлена не сразу и в таком случае нанесет еще больший вред.

Также Stuxnet показал своей технической составляющей, что криминальные группы готовы вкладывать огромные средства в разработку вредных программ. Дело в том, что в том же Stuxnet реализовано пять векторов атаки — один с применение уязвимости нулевого дня для систем SCADA, а четыре с применением уязвимостей нулевого дня для Windows. Они стоят не дешево. По нашим оценкам, их всеобщая цена может превышать сто тысяч евро. Плюс разработка самого кода червя, которую Eset оценивает примерно в пятьсот тысяч евро. Причем, судя по целому, над червем работала команда квалифицированных экспертов, один из членов которой специализировался на SCADA-системах.

— Насколько допустимо, что разработка этого червя — дело рук не киберпреступников, а, к примеру, каких-то госструктур?

— Исходя из сумм расходов на разработка червя, такое абсолютно Допустимо. При этом следует рассматривать, что у Stuxnet нет механизма очевидной монетизации. Непонятно, как с его поддержкой можно заработать деньги. Да, червь может нанести ущерб, но кому это рентабельно — не вовсе ясно. Если развивать эту мысль дальше, то становится ясно, что киберпреступникам не рентабельно вкладывать деньги в разработку Stuxnet, от того что с его поддержкой невозможно получить какой-то доход. А ведь сегодня вся их активность направлена именно на извлечение денег. На наш взор, Stuxnet абсолютно мог быть сделан какой либо авторитетной организацией, в том числе правительственной. Но вот какой именно — трудно сказать. Особенно стоит подметить, что при распространении этого червя применялись достоверные сертификаты электронной цифровой подписи от знаменитых компаний. Это, в тезисе, ставит под удар механизм проверки в продуктах многих антивирусных вендоров. То есть ряд антивирусных решений по умолчанию считает, что программа с сертификатом ЭЦП заведомо неопасна. А теперь получается, что сертификатам тоже невозможно доверять абсолютно. Они могут быть украдены и использованы для распространения вредных программ.

— Какие еще устойчивые склонности 2010 года можно подметить?

— Могу подметить тенденцию, которая имеет непосредственное отношение к нашему региону — России и странам СНГ. Это увеличение уровня мошенничества в системах дистанционного банковского сервиса (ДБО) с применением вредных программ. Последние могут быть простейшими, предуготовленными для видоизменения некоторых системных файлов, что обеспечивает перенаправление пользователя на фишинговые источники. Причем частенько пользователь даже не имеет представления, что он попадает на источник злоумышленников — они реализуют на своем сайте точную копию подменяемого.

А ведь встречаются гораздо больше трудные вредные программы, да и сами ДБО не идеальны — они и используемые в них программные компоненты от сторонних разработчиков имеют много уязвимостей, которыми могут воспользоваться преступники. Отчасти это связано с тем, что на рынке ДБО есть своего рода монополисты. При этом они не очень волнуются о качестве программного кода своих продуктов, что и приводит к происхождению уязвимостей.

Еще один момент — больше трудные вредные программы могут внедрять свой код, подменяя либо модифицируя компоненты ДБО-системы. В таком случае работа вредной программы становится больше неприметной. А чем больше вредное ПО будет оставаться незамеченным, тем больший вред оно нанесет финансовой организации.

По данным организации Group IB, которая занимается проведением расследований в области информационной безопасности, в месяц преступники, специализирующихся на ДБО, уводят из этих систем 10-ки миллионов баксов. Причем таким взломом занимаются отнюдь не студенты, а отменно организованные преступные группы, использующие разные схемы. Вплотную до внедрения инсайдера, к примеру, в случае целевой атаки.

— Во что еще целились киберпреступники в данном году?

— За год нашлось много новых уязвимостей «нулевого дня», нацеленных на клиентское программное обеспечение. То есть когда сам браузер либо иные пользовательские приложения имеют уязвимости, которые разрешают устанавливать иные вредные программы. Тут многое можно припомнить, но самыми распространенными уязвимыми приложениями являются продукты Adobe — Flash Player и Adobe Reader.

Еще один общеизвестный канал — уязвимости в Java-платформах. Причем, самих уязвимостей не так много, но нужные обновления выпускаются весьма медлительно. Да и иные накладки случаются. Так, этой осенью был всплеск применения Java-эксплойтов, число которых превзошло число случаев с продуктами Adobe. Причем, вредными программами отрабатывались довольно старые уязвимости. Как выяснилось, далеко не все пользователи Java-приложений своевременно получили обновления. Допустимо, это было связано с организационными задачами по включению подразделений Sun Microsystems в нужные структуры Oracle.

— В данном году много говорили о кибервойнах — это миф либо действительность?

— Раз огромные государства, в частности США, делают на это ставку и вкладывают многомиллионные средства в реализация соответствующих подразделений, то, вероятно, это имеет толк. На мой взор, такой подход оправдан. Дело в том, что кибервойны — не предстоящее, а действительность. Правда огромная часть информации о событиях в этой сфере не попадает наружу. Тем не менее, серверы скептически значимых информационных систем разных государств регулярно подвергаются атакам.

Если говорить про Россию, то обстановка у нас не очень отменна. В государственных органах власти, на предприятиях и т. п. применяются операционные системы семейства Windows и нужные офисные пакеты. При этом стоит рассматривать, что сертификация этого ПО не обозначает выявления в этих приложениях уязвимостей нулевого дня. Следственно преступникам при подготовке целевой атаки нет необходимости заниматься постижением новой либо модифицированной системы. Перед ними все та же Windows, про которую все отлично известно. Помимо того, как правило, в органах государственной власти уровень компьютерной грамотности пользователей оставляет хотеть лучшего.

В наших спецслужбах также имеются нужные подразделения. Впрочем все это у нас поставлено не на такую широкую ногу, в том числе в финансовом плане, как в Северной Корее, Китае либо США. В этих странах данное направление считают скептически значимым для государственной безопасности.

— Как обстоят дела с охраной скептически значимых систем?

— Один из распространенных методов защиты таких систем — их изоляция от Сети. Помимо того, есть добавочные элементы контроля. Когда происходит нештатная обстановка, то, к примеру, принятие решения частенько передается человеку. Насколько я знаю, у нас в данном плане дела обстоят довольно отлично. На тех же АЭС имеется много систем добавочного контроля, которые не смогут позволить случиться какому-либо сбою, который мог бы привести к техногенной катастрофе.

— Какие у компании имеются прогнозы на 2011 год?

— Пока прогнозы достаточно всеобщие. Можно отважно полагать, что число целеустремленных атак будет возрастать. Возможно, будет доступной информация о еще каких-либо случаях, которые смогут позволить еще раз привлечь внимание к этой проблеме.

Наверно получит последующее техническое становление такое вредное ПО, как руткиты. В дополнение к таким «решениям», как TDL4, появятся и новые семейства руткитов для операционных систем Windows 7 и Windows Vista. В том числе потому, что число пользователей этих ОС непрерывно возрастает. Это служит для вирусописателей дополнительным толчком в деле разработки новых вирусов.

Также следует ждать увеличения уровня мобильных угроз. Ведь число телефонов и универсальных телефонов непрерывно растет, а значит, возрастает число возможных жертв вирусописателей.

Особенно подмечу, что в дальнейшем году основным каналом распространения вредных программ останется направление «уязвимостей нулевого дня», которому киберпреступники будут уделять повышенное внимание. Ведь интерес на такие уязвимости очень стабилен на черном рынке. Их цена может колебаться от 2 до десяти тысяч евро и больше.


ПОПУЛЯРНОЕ НА САЙТЕ
ЧИТАЙТЕ ТАКЖЕ
Джордж Сорос, популярный финансист и основатель сети филантропических фондов, прибыл в Москву

Джордж Сорос, популярный финансист и основатель сети филантропических фондов, прибыл в Москву

Академический Совет этого Вуза решил присвоить ему Степень почетного врача МГИМО. Принимая диплом Сорос, подметил, что обзором интернациональных...

54
Конференция президента МККК Петера Маурера

Конференция президента МККК Петера Маурера

Конференция президента Интернационального комитета Красного Креста Петера Маурера, посвящённая гуманитарной обстановке на востоке Украины...

48
«Правый сектор» анонсировал марш В столице Украины из-за недовольства политикой украинских властей

«Правый сектор» анонсировал марш В столице Украины из-за недовольства политикой украинских властей

Радикалы из «Правого сектора» завтра проведут «Марш правды» в центре Киева. Как заявили деятели, они будут требовать отчёта властей по поводу...

45
Немецкие СМИ: Пока Москва призывает к миру, Киев просит на Западе оружие

Немецкие СМИ: Пока Москва призывает к миру, Киев просит на Западе оружие

Украина и РФ делают прямо противоположные заявления касательно создавшейся напряжённости в отношениях между двумя государствами. Глава...

47
facebook
Нажмите «Нравится»,
чтобы читать 1NNC в Facebook