Правительственные супервирусы
Правительственными супервирусами принято называть разработки государственных секретных служб (в том числе при помощи частных лиц и групп лиц), которые стоят многие миллионы долларов. Такие вирусы способны «пробраться» в любой персональный компьютер, в независимости от того, какая там установлена защита.
Цифры и факты
Достоверно известно, что более 100000 индустриальных компьютеров заразил вирус Stuxnet, целью которого был только 1 ПК, который был установлен в помещении подземной фабрики. Фабрика находилась в иранском городе Натанзе и занималась обогащением урана. Это первый вирус в новом типе войны, так называемой кибервойны. Согласно информации, данная атака была спланирована и организована силами ЦРУ, АНБ и «Подразделением 8200» из Израиля. Кибероперация, носившая название «Олимпийские игры», началась еще в далеком 2006-м году во времена правления Джорджа Буша.
500000 евро — вот цена на «черном рынке» уникальной в своем роде уязвимости, при помощи которой создатели известного трояна Duqu делали из чужих ПК «компьютеры-зомби». Нужно все-то кликнуть по файлу, который открывает приложение Word, и перед вами полный доступ к ядру ОС. Даже специалисты Microsoft потратили 2 недели для того, чтобы понять принципы работы программы-трояна. Так, согласно данным журнала Forbes, известная компания Vupen, которая специализируется на безопасности, только за декабрь 2013-го года заработала 250000 долларов на том, что продавала государству найденные ее специалистами уязвимости.
80 доменных имен были задействованы в использовании новейшего «правительственного» трояна под названием Flame для поддержания непрерывной связи между инфицированными компьютерами и программистом. Все домены имели регистрацию на подставных людей в Австрии и Германии. Количество денег и усилия, которые были затрачены на проект, по мнению специалистов из Symantec, указывают исключительно на правительственный проект.
500000000 долларов — сумма, которую Пентагон ежегодно тратит на киберзащиту инфраструктуры США. Предположительно, часть из этих денег используется для модернизации Stuxnet.
30000 — такое количество строк кода имеет вирус Flame, как утверждают специалисты из «Лаборатории Касперского». Stuxnet имеет 15000 строк, но Flame обладает более сложными библиотеками, вот почему он в 2 раза больше.
150 — такое количество государств сегодня разрабатывают и внедряют меры по борьбе с разнообразными кибератаками.
Алгоритм работы правительственных троянов
Вирусы способны проникать даже в те сети, которые не имеют подключения к Интернету. Они могут поражать мобильные телефоны граждан и самые высокозащищенные вычислительные системы. На сегодняшний день антивирусные программы не могут защитить от таких супервирусов.
Принцип работы вируса Stuxnet, целью котрого было уничтожение иранских цетрифуг для обогащения урана:
1) Заражение, когда Stuxnet попадает в первичную сеть компании посредством флешки;
2) Манипуляция. При этом вирус использует уязвимость «нулевого дня», устанавливая тем самым контроль над ПК. Также на этой стадии вирус внедряет программу управления;
3) Далее управляющий код, который проник на ПК из флешки, переходит во вторую, уже более защищенную сеть;
4) Атака роутера. На этом этапе код попадает на роутер, находящийся в промышленной сети и вирус принимает на себя управление;
5) Уничтожение. Это конечная стадия, на которой вирус посылает команду центрифугам. Последние при этом увеличивают скорость вращения, что ведет к разрушению установки.
Принцип работы вирусов Duqu и Flame, целью которых был сбор информации для последующих атак:
1) Инфицирование. Это начальная стадия, на которой через подготовленный файл приложения Word хакер получает root-права для дальнейшего распространения вируса Duqu. Вирус Flame выдает себя за обновление для Windows;
2) Похищение. На этом этапе Flame и Duqu проводят установку кейлоггеров. Это позволяет оперативно собирать информацию о сетевых подключениях и системе в целом. Зараженные системы при этом работают в качестве прокси-серверов;
3) Заражение телефонов. Не менее важная фаза, на которой Flame собирает посредством Bluetooth необходимый контент с мобильных телефонов, которые находятся рядом с ПК. Тут используется уязвимость протокола, хорошо исследовать которую не могут до настоящего времени;
4) Контроль и управление. Заключительная стадия, на которой хакер получает нужные данные и шлет управляющие команды Duqu. При этом задействованы серверы в Индии и Бельгии. Вирус Flame, в свою очередь, занят приемом команд более чем с 80 различных доменов.
Число жертв атак растет
Совсем недавно посетители одного из самых крупных информационных ресурсов Европы имели неприятные последствия. Хакеры ввели в 186 страниц данного сайта специальный код, распространяющий вредоносное ПО. Не изученный до сегодняшнего дня бот занимался рассылкой спама на ПК посетителей.
Сегодня целями шпионских кибератак групп хакеров и государственных учреждений становятся как обычные пользователи, так и заводы, предприятия и даже политические организации. Те, кто не может создать свой вирус, просто покупает уже готовые решения от профессионалов этого дела. Как пример — нашумевшая новость о приобретении Федеральным управлением полиции Германии программы FinFisher для тестирования шпионского софта.
Сегодня супервирусы поражают миллионы ПК. Большинство этих вирусов используют для внедрения разного рода уязвимости таких всем известных приложений, как Java, AdobeReader, Flash. Да и пути инфицирования используются самые разные, например, размещение вредоносного кода на обычных сайтах и последующее заманивание людей на страницы этого сайта. Или рассылка электронных писем, котрые якобы рассылают известные компании. Открывая приложенный PDF-файл на ПК мгновенно устанавливается вирус.
Компьютеры с Windows — золотое дно
Набор эксплоитов — вот помощь хакеру, который не в состоянии самостоятельно попасть на ПК жертв. Это специальное вредоносное ПО способно быстро распознать уязвимости, посредством которых вирус попадает в систему методом Drive-by Download. При этом участие жертвы не требуется. Самым опасным сегодня считается набор Blackhole, который хакеры покупают на подпольных форумах. Так, лицензия на его применение, как указано в документах производителя, стоит от 40 евро за день до 1200 евро в год. Купленная «отмычка» встраивается в веб-сайты, на которые затем привлекаются пользователи. Это происходит как благодаря фишинговым письмам, так и путем заражения популярных ресурсов частью кода, который в фоновом режиме грузит страницу с Blackhole. Всю необходимую для корректной работы информацию набор получает из каждодневно обновляемого банка данных. Стоит отметить, что этот сложный набор некоторые антивирусы не распознают, поскольку в новой версии 2.0 применили динамические URL как для страниц с самим Blackhole, так и для сайтов, содержащих вредоносное ПО.
«Премиум-версия» Blackhole носит название CoolExploitKit. Ее задача — атака исключительно посредством ZeroDay (уязвимости нулевого дня). Таким образом в числе пострадавших может оказаться любой пользователь. Специалисты крупной компании Symantec утверждают, что данный набор предлагают исключительно «избранным» клиентам. Его стоимость — 100000 долларов в год.
Ключ от «всех дверей»
Самое дерзкое и крупномасштабное достижение программистов Blackhole — обнаруженная вначале 2014-го года и немного ранее интегрированная в специальный набор эксплоитов уязвимость в Java под названием ZeroDay. 5 дней ушло у программистов на подготовку специального патча для Oracle. Хакеры с помощью Blackhole свободно получали контроль над зараженными компьютерами и уверенно заманивали ничего не подозревающих пользователей на зараженные вирусом сайты. Стоит отметить, что эта среда и так достаточно популярна у киберпреступников, ведь установлена она приблизительно на 850000000 ПК во всем мире и это число непрерывно растет.
Совет для пользователей прост: обновлять Java вручную не реже 1 раза в месяц. Это сделать очень просто. Достаточно в строке поиска меню «Пуск» ввести «Java» и выбрать среди полученных результатов запись «Java (32 Bit)» или «Java (64 Bit)». Далее в окне Java Control Panel выбрать вкладку «Update» («Обновить») и в ней нажать «Update now» («Обновить сейчас»). Это сделать необходимо, поскольку как только эксплоиты взломают «дверь», сразу запустится вредоносное ПО, среди которого ZeuS, Citadel и другие новейшие версии опаснейших банковских троянов. Кстати, Citadel — это самый распространенный клон ZeuS. Для него даже существует онлайн-сервис техподдержки, где хакеры сообщают о багах вредоносного ПО и делятся идеями, касающимися новых возможностей трояна. Вся такого рода информация тщательно обрабатываются в реально существующем центре обслуживания. Начальный пакет Citadel содержит утилиту, которая позволяет быстро подготовить бот-сеть для дальнейшего спама. Данную сеть также можно контролировать и развивать в дальнейшем.
