БЕЗОПАСНОСТЬ
Годовой отчет Symantec по безопасности Messagelabs Intelligence 2008
Этот ежегодный отчет указывает на то, что 2008 год стал переломным с точки зрения кибербезопасности, так как революционные усовершенствования вредоносного ПО и методов спама наложили свой отпечаток на теневую экономику
В феврале 2008 г. общий уровень спама достиг 82,7%, а средний уровень за год составил 81,2 против 84,6% в 2007 г. 90% всего спама распространялось бот-сетями, включая знаменитую сеть Storm (Peacomm), которая появилась на горизонте угроз в начале 2007 г. и почти исчезла к концу 2008 г., уступив место конкурирующим бот-сетям, таким как Srizbi и Culwail (Pandex), пока меры, предпринятые сообществом в сентябре и ноябре, не привели к закрытию двух ISP в США, обвинявшихся в размещении командно-управляющих каналов некоторых крупнейших бот-сетей, включая Mega-D (Ozdok) и Srizbi, ответственных за 50% всего спама. Все пострадавшие сети, за исключением Srizbi, передислоцировались, так что уровень спама восстановился почти до тех же значений, что и до закрытия, а отсутствие Srizbi восполнили конкурирующие бот-сети, такие как Culwail и Rustock.
В 2008 г. спамеры начали распространять спам через крупные, уважаемые службы веб-почты и приложений, обманывая механизм CAPTCHA (полностью автоматизированный открытый тест Тьюринга по распознаванию людей и машин) с целью создания большого числа персональных учетных записей в этих службах.
В 2008 г. получили распространение сложные вредоносные веб-программы, нацеленные на сайты социальных сетей и уязвимости легитимных веб-сайтов, что привело к установке вредоносного ПО на компьютеры без вмешательства пользователей. Число новых зараженных веб-сайтов, появляющихся каждый день, выросло с 1068 в январе до максимального значения в ноябре, составившего 5424. Среднее число ежедневно блокируемых новых вебсайтов выросло в 2008 г. до 2290 с 1253 в 2007 г. — главным образом из за усилившихся атак с применением методов SQL-инъекции.
Веб-атаки стали более популярными, а атаки через e-mail участились по сравнению с 2007 г. на 0,15%. При этом появились две новые тенденции в способах атак.
Рост популярности угроз подобного рода за прошедший год можно проиллюстрировать следующим примером в конце июля была осуществлена целенаправленная троянская атака, нацеленная против фирмы, участвующей в организации Олимпийских игр, в результате чего в компьютер жертвы был внедрен вредоносный код, спрятанный во вложенном в электронное сообщение файле и использующий JavaScript для установки на компьютер исполняемой программы. Эта программа была передана нескольким спортивным организациям и представителям
спортсменов стран-участниц. В результате другой атаки, предпринятой с целью корпоративного шпионажа, известной фирме под видом жалобы на получателя было подброшено сообщение, в котором содержалось почти 900 целевых "троянских коней", предназначенных для высших руководителей этой организации во всем мире.
К концу 2008 г. кризис кредитной системы привел к множеству новых атак, нацеленных на финансовые организации: спамеры и мошенники пытались использовать панику и неопределенность, вызванные событиями на Уолл-стрит и во всем мире
Основные тенденции 2008 г.
• Веб-безопасность: В 2008 г. среднее число новых вредоносных веб-сайтов, блокируемых за день, выросло до 2290 против 1253 в 2007 г.; рост на 82,8% произошел гза счет увеличения числа атак с использованием метода SQL-инъекций.
• Спам: В 2008 г. средний уровень спама составил 81,2%, уменьшившись на 3,4% по отношению к уровню 2007 г. в 84,6%. В текущем году большая часть спама состояла из текстовых или HTML-сообщений, исходивших от известных поставщиков услуг веб-почты и приложений.
• Вирусы: Средний уровень вирусов в 2008 г. составил одно из 143,8 сообщений (0,70%), что на 0,15% меньше, чем в 2007 г., когда средний уровень составлял одно из 117,7 сообщений (0,85%). Снижение уровня можно объяснить переходом к распространению вредоносных программ с использованием в качестве основного способа заражения контента, размещаемого на веб-сайтах, и попутных загрузок вместо завлекающих сообщений e-mail.
• Фишинг: В 2008 г. число фишинговых атак составило одну на 244,9 сообщений e-mail (0,41%) против одной атаки на 156 сообщений e-mail в 2007 г Пик активности фишеров пришелся на февраль, когда одно на каждые 99,1 электронных сообщений было фишинговым. Этот всплеск был вызван увеличением числа предлагаемых комплектов фишинговых инструментов plug-and-play и ростом использования для фишинга специализированных бот-сетей.
Годовой отчет MessageLabs Intelligence содержит более подробные сведения обо всех перечисленных выше тенденциях и дополнительные цифры, а также более детальное описание тенденций 2008 г.
Полный текст отчета находится на странице http://www.messagelabs.eom/Threat_Watch/I ntelligence_Reports.
Отчет о состоянии подпольной экономики
Корпорация Symantec совместно с компанией Softiine выпустила "Отчет о состоянии подпольной экономики" (Report on the Underground Economy). Он содержит сведения об онлайновом черном рынке, который превратился в эффективный мировой рынок. На нем регулярно покупаются и продаются краденые товары и предлагаются основанные на мошенничестве услуги, причем стоимость товаров, предлагаемых отдельными продавцами, измеряется миллионами долларов. Отчет составлен на основе данных, собранных организацией Symantec Security Technology and Response (STAR) на серверах черного рынка в период с 1 июля 2007 г. по 30 июня 2008 г.
Потенциальная общая стоимость всех рекламируемых товаров черного рынка, обнаруженных Symantec за отчетный период, превысила 276 млн. долл. Эа сумма подсчитана, исходя из рекламируемых цен на товары и услуги, и соответствует выручке, которую получили бы рекламодатели, если бы им удалось реализовать весь свой товар.
Наиболее широко рекламируемой категорией товаров и услуг на черном рынке являются сведения о кредитных картах, на долю которых приходится 31% всех предложений. Хотя краденные номера кредитных карт продаются всего по 10-25 центов, средняя стоимость рекламируемой партии номеров кредитных карт превысила 4000 долл. Общая стоимость всех рекламируемых номеров кредитных карт за отчетный период, по расчетам Symantec, составила 5,3 млрд. долл.
Второй по популярности категорией рекламируемых товаров и услуг были банковские реквизиты, на долю которых пришлось 20% от общего объема черного рынка. Эти сведения продаются по цене от 10 до 1000 долл., но средняя стоимость рекламируемых краденных банковских реквизитов приближается к 40 тыс. долл. Таким образом, общая стоимость рекламируемых краденых банковских реквизитов за отчетный период составила 1,7 млрд. долл. Популярность этой информации на черном рынке можно объяснить высоким и быстрым потенциальным доходом. В одном из случаев средства с банковских счетов были переведены в неизвестном направлении менее чем за 15 минут.
В течение отчетного периода Symantec зафиксировала 69130 активных рекламодателей и 44321095 сообщений, опубликованных на подпольных форумах. Потенциальная стоимость всех рекламируемых товаров десятью наиболее активными рекламодателями составила 16,3 млн. долл. для номеров кредитных карт и 2 млн. долл. для банковских реквизитов. Более того, потенциальная стоимость товаров, рекламируемых самым активным рекламодателем, составила 6,4 млн. долл.
С географической точки зрения подпольная экономика очень разнообразна. Она приносит доход киберпреступникам самых разных мастей от слабо сплоченных групп до организованных коллективов со сложной иерархией. В течение отчетного периода наибольшее число серверов черного рынка наблюдалось в Северной Америке (45%). На долю региона ЕМЕА пришлось 38% таких серверов, на долю Азиатско-Тихоокеанского региона — 12%, а на долю Латинской Америки — всего 5%. Во избежание обнаружения подпольные серверы постоянно меняют свое географическое положение.
Более подробные сведения и цифры по черному рынку можно получить на следующих ресурсах: htip://evd.symanteccom/mktginfo/enterprise/white_pape
rs/ent-whitepaper___internet_security__threat_report_
xii_ _09_2007.en-us.pdf.
http://eval.symanteccom/mktginlo>/enterprise/white_pape
rs/b-wh i te pa pe r_i n te rn et_se cu ri ty_th re a t_ report_xiii_04-
2008.en-us.pdf.
T-Comm #1-2009 4 5
e