Всякий, кто смотрел некогда популярный фильм «Крестный отец», наверняка запомнил, что отношения между участниками мафиозной сети строились на родственных связях. Главарь мафии, «крестный отец» группировки, и его ближайшие помощники-заместители были членами одной семьи. Впрочем, даже если мафиози не состояли непосредственно в родственных связях с главарями семейства, он становился как бы членом семьи после присоединения к преступной группировке.
Максим Щипка, директор по R&D ЛК в Европе утверждает, что профиль современного киберпреступника очень отличается от того, к которому мы привыкли в классических фильмах. Средний возраст кибермафиози составляет 20-30 лет, он работает всего 3-4 дня в неделю, при этом зарабатывает $3000-$4000 в день. Такой высокий доход получается за счет низких расходов на «бизнес»: выделенный сервер (малая плата «коллегам»), доступ к VPN (украденный), ПО для шифрования (украденное), доступ к прокси-серверу (снова таки, малая плата «коллегам»). В отличие от прежних времен участники кибергруппировок не являются членами одной семьи. Более того, как правило, они никогда не видели друг друга и знают своих напарников только Никам в Сети.
Звенья преступной цепочки
На приведенном рисунке описана схема работы современной организованной киберпреступности по версии Максима Щипки. Подобно классической преступной сети, она состоит из множества звеньев, причем часто распределенным по разным странам. Malware Writer, то есть разработчик вредоносного кода, создает программу, которая позволяет выполнять несанкционированные действия на компьютере, берет за свои услуги $300-$3500. Кстати, в последние время эти программисты стали предоставлять дополнительный сервис: выпуск обновленной версии за $25-$50. Иными словами, на базе старого вируса они делают слегка измененную программу, которая уже не детектируется антивирусными средствами.
Свои «творения» они продают Identity Collector, похитителю кредитных карт, паролей и прочих конфиденциальных данных. Возможна также прямая поставка распространителю вредоносного кода Malware Distributor (берет за свои услуги 2-5% от баланса «кредитки») или владельцу бот-сети. Botnet Owner является одной из ключевых фигур преступной цепочки: свою сеть он может продать за крупную сумму денег (до нескольких миллионов долларов) или сдать в аренду за несколько сотен долларов в час. Botnet можно использовать для рассылки спама, DoS-атак, воровства информации и т. д.
Стоимость услуг Identity Collector составляет от $0,001 до $5 за набор документов, то есть комплект номеров кредитных карт, логинов, паролей и т. д. Malware Distributor продает полученную от Identity Collector информацию так называемому «пользователю», который использует чужие кредитки для покупки товаров в интернет-магазинах. Как правило, покупают дорогие, но малогабаритные вещи: видеокамеры, смартфоны, ноутбуки и пр. При этом товары заказывают на совершенно посторонних лиц, задача которых – получить продукцию и за определенную мзду отнести ее по указанному адресу. Далее купленные в Сети товары сбываются по сниженной цене владельцам небольших магазинчиков, на черных рынках и т. д. Покупатели обычно не догадываются, что приобретают украденный товар.
Есть также в этой сети такое звено как Guarantor. В его задачу входит координация работы всех звеньев преступной сети и поручительство, что каждый выполнит свою работу и получит мзду. Гарантор получает от 2 до 5% от полной суммы сделки. Поскольку члены преступных группировок обычно находятся в различных странах (или даже на разных континентах) и знают друг друга только по псевдонимам, «накрыть» такую сеть очень сложно. Конечно, иногда правоохранительным органам удается «выбить» одно из звеньев цепочки, однако это не может надолго помешать преступникам.
До недавнего времени киберпреступники использовали чат IRC для управления сетью зараженных компьютеров. Однако провайдеры может легко заблокировать этот канал в случае выявления подозрительных действий, поэтому некоторое время назад они попробовали применить для этого популярную социальную сеть Twitter, сообщил М. Щипка. Так, недавно были обнаружены ботнеты, создаваемые вредоносными программами Trojan-Banker.Win32.Banker.alwa и Trojan-Banker.Win32.Banker.alwe и использующие в качестве C&C аккаунта в сети Twitter.
Интересно, что вокруг сетей киберпреступников «пасется» множество «делков», которые занимаются, в принципе, вполне безобидным бизнесом. Например, стабильную прибыль приносит сервис онлайн-проверки вирусов. Суть бизнеса весьма проста: пользователь закачивает на определенный сайт подозрительную программу, антивирусные средства ее проверяют и сообщают, был ли там обнаружен вирус. Такие услуги совершенно бесплатно оказывают даже многие антивирусные производители, но… после такой онлайн-проверки подозрительный код отправляется на анализ в антивирусную лабораторию вендора. Разработчикам вредоносного кода это совершенно не нужно, поэтому они пользуются услугами специальных платных сервисов, которые пропускают закачанную программу через пару десятков наиболее популярных антивирусов, но после этого никуда ее не пересылают. Если не один из них не детектирует вирус, Malware Writer может быть уверен в том, что разработанный ним вредонос не будет блокирован на ПК жертвы-пользователя.
Новые виды вирусов
Максим Щипка также рассказал, каким образом недавно было похищено несколько десятков тысяч аккаунтов сервиса VKontakte. Это было сделано с помощью двухшаговой атаки: на первом этапе компьютер пользователя заражался простой вредоносной программой, изменявшей host-файл и перенаправлявшей участника сети на специальный сервер. На втором этапе пользователь, обращаясь к сайтам ВКонтаке или Одноклассники.ru, попадал на фишинговую страницу, где ему предлагалось залогиниться. После «успешного» логина пароль уходил к злоумышленникам.
Специалисты ЛК отмечают, что в третьем квартале существенно увеличилось количество задетектированных эксплойтов (+8,42%). В июле была обнаружена уязвимость в Interet Explorer 6 и 7, позволяющая выполнить произвольный код на уязвимой машине. А ведь IE, по данным NetApplications, применяют около 65% пользователей во всем мире. Эта статистика не является тайной за семью печатями и, разумеется, доступна злоумышленникам − поэтому тут же появились эксплойты, использующие эту уязвимость и детектируемые ЛК как Exploit.JS.DirektShow. Кроме того, в августе была обнаружена опасная уязвимость в MS Office (MS09-043), которая также позволяла атакующему удаленно выполнить произвольный код на уязвимой машине.
В последнее время также выросло число классических вирусов за счет Virus.Win32.Induc. Этот вирус очень необычен – он заражает машины только разработчиков ПО, но не делает никаких разрушительных действий. По этой причине данный вирус был обнаружен почти через год после своего появления. По мнению многих специалистов, «индюк» является пробной разработкой нового типа вредоносного ПО. Так, М. Щипка считает, что заражая компьютеры программистов, можно добиться нового способа распространения вредоносного кода, то есть, созданное разработчиками ПО будет уже поставляться с вирусом.
Что нас ждет…
В конце своего доклада Максим Щипка подвел итоги. Киберпреступники продолжают уделять много внимания методам проникновения на пользовательские компьютеры; старые уязвимости зачастую остаются «не закрытыми», антивирус и файрволы по-прежнему установлены далеко не на всех машинах. В последнее время популярными целями для злоумышленников становятся Социальные сети. По мнению Максима, старые методы и схемы зарабатывания денег продолжают работать, и в обозримом будущем переломного момента не ожидается.
ЛК: итоги трех кварталов
Продукты «Лаборатории Касперского» пользовались популярностью в Украине еще с середины 90-х прошлого века, тогда еще под брендом AVP. Правда, число лицензионных версий продукта в то время было весьма небольшим, безопасности тогда уделяли меньше внимания. Собственно, в условиях отсутствия интернета, а нередко и локальных сетей, вредоносный код в основном разрабатывали для забавы, а не для заработка денег.
Сегодня «Лаборатория Касперского» насчитывает свыше 1600 сотрудников в разных странах, технологии этого производителя антивирусных средств используются в продукции более 100 мировых ОЕМ-производителей. Компания является одним из наиболее быстро растущих производителей систем защиты от информационных угроз. Управляющий директор в странах СНГ, Восточной Европы, Ближнего Востока и Африки Гарри Кондаков акцентировал, что отличительной чертой компании является то, что она развивалась исключительно на собственные средства, не используя кредитных средств.
Компания лидирует на основных европейских розничных рынках ПО, занимает второе место на розничном рынке антивирусного ПО в США.
В Украине, по данным IDC, в 2008 году Лаборатория Касперского получила наибольший доход от продажи антивирусного ПО и с долей в 47,4% заняла первое место среди антивирусных вендоров в Украине. Продажи в сегменте домашних пользователей и малых предпринимателей составили 22,7% от общего объема. Общий объем рынка антивирусного ПО составил $12,24 млн. Среди украинских клиентов такие известные компании как «Киевстар», группа Vega, «ИНТЕРПАЙП», Металлургический комбинат «Азовсталь», Пенсионный Фонд Украины и др.
Как отметил Андрей Слободяник, руководитель ЛК в Украине, Беларуси, Молдове, количество партнеров ЛК стабильно растет – на сегодня их насчитывается 590, что в несколько раз больше чем у других антивирусных вендоров.
