С помощью супервирусов преступники сказочно богатеют

Их приемы — "умные" бот-сети и серьезная техподдержка. Посещение одного из крупнейших европейских информационных интернет-ресурсов имело для многих пользователей дурные последствия. Злоумышленники внедрили в 186 подстраниц популярного сайта код, который распространял вредоносное ПО. Пока еще малоизвестный бот рассылал спам на компьютеры посетителей.

Целями шпионских кибератак частных хакерских групп и государственных учреждений становятся не только простые пользователи, но и предприятия, заводы и политические организации. Тот, кто не способен разработать свою вредоносную программу, покупает готовые профессиональные решения. В качестве примера можно привести нашумевшую новость о том, что Федеральное управление уголовной полиции Германии (BKA) в целях тестирования приобрело шпионский софт FinFisher.

Использование для нападения безопасных и достойных доверия веб-сайтов — стандартный метод для нового поколения ботов, шпионских программ и банковских троянов. Несмотря на кажущиеся наивными названия, например Blackhole, Gameover и DroidKungFu, они представляют собой вполне серьезную угрозу. Чем так опасны эти "вредители" и как от них защититься?

Супервирусы заражают миллионы компьютеров. Большинство из них используют уязвимости в популярных программах, таких как Java, Flash или AdobeReader. При этом пути инфицирования разнообразны: преступники могут разместить вредоносный код на обычных сайтах, а затем заманить пользователя на свои страницы или разослать поддельные документы. Например, за последний год многочисленным европейским адресатам были отправлены электронные письма якобы от компаний Vodafone и Immobilien-Scout24. При открытии приложенного PDF-файла на компьютер устанавливался вирус.

Компьютеры с Windows: золотая антилопа для гангстеров

Если кибермошенник не может самостоятельно попасть на компьютеры своих жертв, он прибегает к помощи служб взлома. Там он может приобрести специальный инструмент — набор эксплоитов. Это вредоносное ПО распознает уязвимости, через которые вирус может проскользнуть в систему по методу Drive-by Download, когда даже не требуется участие пользователя. Самый опасный на данный момент набор под названием Blackhole приобретается преступниками на подпольных форумах. Лицензия на его использование, согласно документам разработчика, стоит от €40 (около 420 грн) в день до €1200 (около 12 500 грн) в год. Покупатели встраивают эту "отмычку" в свои веб-сайты, после чего им остается только завлечь туда пользователей. Это делается с помощью фишинговых писем или путем заражения обычных ресурсов кусочком кода, который незаметно, в фоновом режиме, подгружает страницу с Blackhole. Данный набор эксплоитов через код JavaScript "простукивает" систему пользователя в поисках слабых мест. Всю необходимую информацию этот коварный "вредитель" получает из постоянно обновляемого банка данных. Помимо прочего, такой сложный набор эксплоитов с трудом распознается антивирусами, поскольку в опубликованной в сентябре версии 2.0 используются динамические URL как для сайтов, где находится сам Blackhole, так и для страниц с вредоносным ПО.

Люкс-версия Blackhole под названием CoolExploitKit атакует только через так называемые уязвимости нулевого дня (ZeroDay), для которых даже в случае обнаружения не существует патчей. Это означает, что пострадать может любой пользователь ПО. "Такой набор эксплоитов предлагается только избранным клиентам по цене около 100 000 дол.  (порядка 810 000 грн) в год", — объясняет Стефан Веше, эксперт компании Symantec.

Ключ к 850 млн компьютеров

Самым крупным и дерзким достижением разработчиков Blackhole стала обнаруженная в январе и сразу интегрированная в этот набор эксплоитов уязвимость ZeroDay в среде Java. Пять дней заняла подготовка патча для Oracle у программистов. Все это время мошенники при помощи Blackhole могли получать контроль над атакованными компьютерами и заманивать пользователей на зараженные сайты. Впрочем, данная среда и без того пользуется огромной популярностью у преступников, поскольку установлена примерно на 850 млн компьютеров по всему миру, при этом многие версии из-за некачественного механизма обновлений являются устаревшими.

Наш совет: обновляйте Java вручную. Для этого откройте меню "Пуск" и в строке поиска введите "Java". Среди результатов щелкните по записи "Java (32 Bit)" или "Java (64 Bit)". В появившемся окне Java Control Panel перейдите на вкладку "Обновить" ("Update") и нажмите на кнопку "Обновить сейчас" ("Update now"). Для полной уверенности можно просто удалить Java через меню "Пуск | Панель управления | Удаление программ".

Как только набор эксплоитов взломает "дверь", он запускает вредоносное ПО, прежде всего новые версии банковских троянов, таких как ZeuS.

"По нашим сведениям, Citadel является самым распространенным клоном трояна ZeuS", — рассказывает Ральф Бенцмюллер, руководитель компании G Data Security Labs. Для этого лидера банковских троянов разработчики даже организовали онлайновый сервис техподдержки, где киберпреступники могут сообщить о багах и поделиться идеями относительно новых возможностей. Все предложения затем обрабатываются в настоящем центре обслуживания. Базовый пакет Citadel включает в себя утилиту, с помощью которой можно подготовить бот-сеть для спама и осуществлять ее дальнейший контроль.

Бот-сети с самоуправлением

Еще одна модификация трояна ZeuS — Gameover — демонстрирует будущее банковских бот-сетей. Здесь ставка была сделана не на классический ботнет с централизованным управлением, а на разветвленную структуру P2P. В ней каждый бот действует одновременно и как сервер управления. Таким образом, связанные между собой боты могут регулярно информировать друг друга об обновлениях и распространять их. Для властей невероятно сложно прекратить действие подобной сети, поскольку у нее отсутствует централизованное управление, то есть нет сервера, который можно было бы отключить от интернета.

Как и большинство вариантов ZeuS, троян Gameover регистрирует нажатия на клавиатуру, чтобы выяснить данные для входа на банковские порталы (так называемый кейлоггинг). Впрочем, Gameover отчасти использует и поддельные банковские страницы для прямого считывания данных. "В следующем году может даже появится банковский троян, использующий сеть Tor (анонимную, почти неконтролируемую сеть — прим. ред.)", — сообщает Ральф Бенцмюллер.

Помимо банковских троянов золотой жилой являются неизменно популярные Ransomware (программы-вымогатели). Эти "вредители", как правило, в виде троянов семейств BKA и GEMA используют хитроумную мошенническую уловку, когда неопытных пользователей пугают логотипами настоящих органов власти. Они блокируют компьютер, якобы на основании нелегальной (зачастую террористической), деятельности и освобождают его только после выплаты штрафа. С технической точки зрения существуют 2 варианта: Reveton полностью блокирует доступ к Рабочему столу, Ransomcrypt шифрует отдельные документы или даже все данные целиком. Как правило, пользователю предоставляют 5 попыток для ввода правильного пароля. Если все они неудачные, троян самоликвидируется, оставляя закодированные данные или систему.

Будущие цели

Помимо классических атак эксперты по компьютерной безопасности ожидают в ближайшие месяцы и первых целенаправленных нападений на Windows 8. То, что новая система от Microsoft изначально оснащена большим количеством защитных механизмов по сравнению с предшественницами, слабо успокаивает Арье Горецкого — эксперта компании ESET. По его прогнозам, мошенники воспользуются пока еще непривычным интерфейсом, чтобы ввести в заблуждение пользователей фальшивыми системными сообщениями. Уже взломана защита от руткитов в Windows 8 (ELAM), подключающаяся во время загрузочного процесса. "Появились руткиты, загружающиеся еще до ядра ОС и таким образом обходящие ELAM", — заявляет Стефан Веше, специалист по безопасности компании Symantec.