Два месяца продолжается наше исследование троянца Duqu — истории его появления, ареала распространения и схем работы. Несмотря на громадный объем полученных данных (большую часть которых мы пока не публикуем), у нас все еще нет ответа на главный вопрос – кем был создан Duqu.

Кроме этого вопроса есть и другие, в целом относящиеся к истории создания троянца, а точнее, к истории создания платформы, на которой затем были реализованы Duqu и Stuxnet.

С точки зрения архитектуры платформа, на которой созданы Duqu и Stuxnet, одинакова. Это файл-драйвер, который осуществляет загрузку основного модуля, выполненного в виде зашифрованной библиотеки. При этом существует отдельный файл конфигурации всего вредоносного комплекса и специальный блок в системном реестре, определяющий местоположение загружаемого модуля.

Мы считаем, что Duqu и Stuxnet были параллельными проектами, которые поддерживала одна и та же команда разработчиков.

Ряд выявленных нами фактов указывает на возможное существование как минимум еще одного шпионского модуля, основанного на той же платформе, в 2007-2008 годах и нескольких других программ неизвестного функционала в период 2008-2010 годов.

Эти факты вносят значительные изменения в существующую «официальную» историю Stuxnet. Мы посвятили им отдельную публикацию.

В штате Коннектикут предъявлены обвинения троим из 14 румынских граждан, причастных к реализации мошеннической схемы отъема денег у клиентов американских банков, а также eBay и PayPal.

Как показало расследование, данная криминальная группа распространяла в интернете поддельные уведомления о блокировке кредитного счета, заманивая их получателей на фишинговые сайты. Для «разблокировки счета» потенциальной жертве предлагалось пройти процедуру аутентификации, введя в фальшивую форму подробные персональные данные, включая реквизиты счета и номер социальной страховки. Вся похищенная таким образом информация собиралась на коллекторах, а затем использовалась злоумышленниками для снятия денег с взломанных счетов ― в основном, через банкоматы, размещенные на территории Румынии. За полтора года заокеанские фишеры ограбили не одну тысячу американцев.

Уголовное дело по факту группового мошенничества было возбуждено в США в начале 2007 года. По мере появления новых свидетельств обвинительное заключение было обновлено, но судебное рассмотрение отложили до удовлетворения запроса об экстрадиции ответчиков. Троих из них Румыния выдала лишь в начале текущего месяца. Им предъявлены обвинения в преступном сговоре, банковском мошенничестве и махинациях с устройствами доступа. Двоих правонарушителей также обвинили в краже личности (identity theft) при отягчающих обстоятельствах. В соответствии с американским законодательством фишерам грозит до 30 лет тюремного заключения и штраф в размере до 1 млн. долл.

Признать свою вину румынская троица отказалась. Вынесение судебного решения назначено на март будущего года. В расследовании мошеннической схемы принимали деятельное участие ФБР, Интерпол, американские маршалы и румынская полиция.

Экс-гендиректор ChronoPay Павел Врублевский, обвиняемый в организации DDoS-атаки на платежный веб-сервис ASSIST, выпущен из СИЗО под подписку о невыезде.

По мнению защиты, такое послабление со стороны властей, доселе упорно настаивавших на содержании обвиняемого под стражей, связано с введением в силу поправок к УК РФ. Дело в том, что в новой редакции статьи 272 («Неправомерный доступ к компьютерной информации») и 273 («Создание, использование и распространение вредоносных программ»), которые инкриминируются Врублевскому, предусматривают, в числе прочих, такую меру пресечения, как ограничение свободы на срок до 4 лет. Правонарушителю могут временно запретить выезд из населенного пункта, посещение каких-либо мест или назначить комендантский час.

Основатель и контролирующий акционер крупнейшего в России процессингового центра признался, что является заказчиком прошлогодней DDoS-атаки на сайт конкурента. В результате варварского нападения ASSIST понесла убытки в размере 1 млн. рублей, ее крупнейший клиент Аэрофлот, которого надеялся переманить Врублевский, потерял свыше 190 миллионов. Нечистоплотный бизнесмен был задержан минувшим летом и провел в заточении полгода, безуспешно пытаясь добиться освобождения под залог. За это время он был смещен с поста гендиректора ChronoPay ― без видимого ущерба для деятельности компании. 23 декабря срок содержания Врублевского под стражей истек, отныне он будет ожидать решения суда, находясь на свободе.

Используя методы социальной инженерии, исследователи из Positive Technologies получили доступ к трем из пяти популярных веб-сервисов через процедуру восстановления пароля.

Проверка этого звена в системе безопасности проводилась на основе выборки из реальных почтовых аккаунтов Gmail, Mail.ru, Яндекс, а также профилей ВКонтакте и Facebook. Их владельцы были заранее проинформированы об эксперименте и дали согласие на свое участие. Работая с разными механизмами восстановления пароля, эксперты вели поиск информации о владельце аккаунта на общедоступных сайтах, вступали в переписку со службой техподдержки целевого сервиса. В отдельных случаях им приходилось провоцировать «жертву» на раскрытие нужных данных, устанавливая с ней контакт в социальной сети. Каждый из рассмотренных сервисов получил оценку по двум параметрам: уровень защищенности и удобство для пользователя, и был впоследствии ознакомлен с результатами.

19 декабря весь мир узнал о смерти главы КНДР Ким Чен Ира, а уже на следующий день его именем начали пользоваться сетевые мошенники. Письмо от имени личного бухгалтера покойного лидера обещает солидный денежный куш за помощь в обналичивании корейских миллионов.

Федеральная торговая комиссия США (ФТК) направила в ICANN письмо, выражая свою озабоченность в связи с приближением срока подачи заявок на новые родовые домены. Торговый регулятор опасается, что стимуляция роста числа доменных зон повысит риски в отношении абьюзов и еще больше затруднит поиск преступников в Сети.

ICANN начнет принимать заявки на новые доменные имена с 12 января. Предполагается, что они будут отображать названия городов и областей (.london, .wales), род занятий (.web, .music) или брэнд (.canon, .hitachi). По предварительным оценкам, за 3 месяца будет собрано свыше 1 тыс. таких заявок, большинство из них ― на родовые домены, так или иначе связанные с торговой маркой.

По мнению ФТК, ныне действующая система доменных имен и без того уязвима к абьюзам. Тайпсквоттеры и фишеры с успехом имитируют легальные сайты и оформляют поддомены на подставные лица, пользуясь бесчисленными лазейками в процедуре регистрации. Увеличение количества доменных имен, которые можно будет регистрировать в новых TLD-зонах, значительно расширит потенциал для таких махинаций.

В начале прошлой недели несколько банков в восточной Европе начали уведомлять клиентов о блокировке их карт и будущей их замене на новые. Большинство банков не раскрывали причин происходящего и во многих случаях даже не смогли уведомить клиентов прежде, чем их карты были заблокированы. Что это – обычные вещи при проведении платежей? Принимая во внимание поспешную реакцию банков и отсутствие информации о происходящем, я бы ответил отрицательно.

Все началось неделю назад после того, как государственный румынский банк CEC Bank заблокировал ~17,000 карт, чтобы обезопасить своих клиентов от бреши в системе безопасности одной из европейских платежных систем VISA.

В последние несколько недель мы занимались исследованием инфраструктуры серверов управления, используемых Duqu.

Широко известен факт, что первоначально обнаруженные образцы Duqu использовали C&C в Индии, размещенный на площадке хостинговой компании WebWerks. Впоследствии был выявлен еще один сервер Duqu — базирующийся в Бельгии, у хостера Combell Group Nv.

«Лаборатория Касперского» в настоящий момент обнаружила более 12 различных вариантов Duqu. Среди них есть те, которые соединялись с серверами в Индии, в Бельгии, но также и с другими серверами — двумя во Вьетнаме и одним в Голландии. Кроме них, много других серверов были использованы авторами Duqu в организации всей сетевой инфраструктуры. Некоторые их них использовались как основные прокси-сервера, другие были предназначены для скрытия следов.

В целом, сейчас мы обнаружили более десятка различных серверов Duqu, которые были активны и функционировали на протяжении последних трех лет.

Прежде чем продолжить рассказ, мы должны сказать, что мы все еще не знаем, кто стоит за Duqu и Stuxnet. Хотя нам удалось захватить и проанализировать некоторые из серверов, атакующим удалось замести свои следы достаточно эффективно. 20 октября 2011 года, спустя три дня после публичного оглашения информации об обнаружении Duqu, они провели крупную операцию по «зачистке». Атакующие очистили каждый сервер, который они использовали как минимум с 2009 — в Индии, Вьетнаме, Германии, Великобритании и так далее. Тем не менее, несмотря на эту массовую акцию по скрытию следов, мы все же можем пролить некоторый свет на то, как работала сеть Duqu.

Microsoft завершает серию патчей этого года обширным выпуском «заплат» на разные случаи. Техническим специалистам был обещан выпуск 14 бюллетелей, и 13 из них вышли именно в декабре. Один из них связан со скандальными событиями и закрывает соответствующий код, и хотя немногие отмечены как «критические», являются ли они менее важными?

Было множество догадок относительно того, что за группировка стоит за Stuxnet и Duqu, и наши исследовали опубликовали на Securelist как минимум полдюжины описаний, посвященных одной только аналитике Duqu. MS11-087 закрывает путь проникновения самого Duqu. Эта уязвимость режима ядра была публично идентифицирована и подтверждена в начале ноября, однако с успехом могла использоваться втихую при проведении атак во всем мире уже более года

С подсказки сторонних экспертов Google пришлось в очередной раз спешно чистить Android Market от зловредов. Свыше двух десятков легальных приложений предлагались для скачивания в комплекте с SMS-троянцем.

Троянизированные программы для составления гороскопов, обои для рабочего стола, даунлоудеры для популярных игр и сами игры (Cut the Rope, Angry Birds и т.п.) были выложены в публичный доступ неким Logastrod. При установке все эти приложения, позиционировавшиеся как бесплатные версии, запрашивали разрешение на выполнение действий, не имеющих ничего общего с основным функционалом, в частности, на рассылку SMS. Пользовательское соглашение, в котором оговаривалась подписка на платные услуги, было набрано мелким шрифтом и умело спрятано. Процесс установки предусматривал лишь одну опцию ― «продолжить», и ее выбор сигнализировал согласие с мошенническими условиями. В итоге владелец смартфона становился «счастливым» обладателем вожделенной игрушки и зловреда, рассылающего текстовые сообщения на премиум-номера в стране прописки SIM-карты. По свидетельству экспертов, данному троянцу известны короткие номера в 18 странах Европы и постсоветского пространства. Немцам отправка такого SMS-сообщения обходится в 1,99 евро, французам ― в 4,5 евро (!).

Окружной суд штата Нью-Гемпшир обвинил четырех граждан Румынии во взломе кассовые терминалов в американской торговой сети, а также в краже и незаконном использовании банковских реквизитов безвинных покупателей.

Согласно обвинительному акту, Адрьян-Тибериу Опря (Adrian-Tiberiu Oprea), Юльян Долан (Iulian Dolan), Чезар Юльян Буту (Cezar Iulian Butu) и Флорин Раду (Florin Radu) являются соучастниками мошеннической схемы, нацеленной на удаленный отъем денег у пользователей PoS-терминалов. Они выискивали в Сети уязвимые устройства, поддерживающие протокол удаленного рабочего стола, и пытались получить к ним доступ, угадывая пароли или ломая их автоматическим перебором. В случае успеха взломщики устанавливали на терминал кейлоггеры для регистрации и сбора вводимой информации, которая затем отсылалась по ftp-каналам на коллекторы. Чтобы закрепить свое присутствие в системе, злоумышленники устанавливали бэкдор.

В качестве коллекторов использовались площади, арендованные у американского хостинг-провайдера GoDaddy, а также взломанные серверы местных компаний. В дальнейшем краденые данные перекачивались с коллекторов на зарубежные серверы и использовались для продажи, изготовления поддельных кредиток и перевода денег в оплату покупок, совершаемых в европейских магазинах. Хакеры умело заметали свои следы: расплачивались за веб-хостинг по поддельным документам, регулярно очищали коллекторы, использовали прокси-серверы, IM-связь, часто меняли псевдонимы, email и IP-адреса, с которых выходили в Сеть. За 3 года подельникам удалось взломать свыше 200 PoS-терминалов, большинство из них ― в сети фаст-фуд закусочных Subway (конкурент McDonald’s), рассредоточенных по всей территории США. Число разоренных счетов превышает 80 тысяч, а суммы, выведенные с них в оплату прихотей хакеров, исчисляются миллионами.

Опря был недавно задержан на территории Румынии и содержится под стражей. Долана и Буту арестовали 4 месяца назад по их прибытии в США. Раду пока не найден. Еще двоих соучастников идентифицировать не удалось, в материалах дела они фигурируют под сетевыми псевдонимами. Против хакеров выдвинуты обвинения в преступном сговоре, мошенничестве с использованием компьютерных технологий, проводной связи, а также в махинациях с устройствами доступа. Им грозят тюремное заключение на срок до 30 лет, солидные штрафы и выплата компенсации за причиненный ущерб.

Федеральная торговая комиссия США (ФТК) приступила к выплате компенсаций в погашение ущерба, причиненного американцам мошенниками, поставившими на поток продажу лжеантивирусов под видом полнофункциональных защитных решений.

Незадачливые покупатели Winfixer, Drive Cleaner, XP Antivirus и прочих подделок, ассоциированных с именем Innovative Marketing, получат чек от ФТК по почте. Чеки можно будет обналичить в течение 2-х месяцев. Средний размер компенсации составит 20 долл., хотя торговый регулятор обещает учитывать сумму индивидуальных потерь.

В базе ФТК числятся около 320 тыс. жертв ловких бизнесменов, наживавшихся на производстве, продвижении и сбыте бесполезных, а порой и опасных продуктов. Незаконный бизнес был пресечен через суд в декабре 2008 года. В урегулирование тяжбы представители Innovative Marketing согласились уплатить ФТК свыше 8 млн. долл., которые теперь будут использованы для выплаты компенсаций потерпевшим.

На прошлой неделе неизвестные злоумышленники провели сокрушительные DDoS-атаки на ресурсы борцов с интернет-мошенничеством.

419eater.com и aa419.org ведут учет поддельных сайтов и организуют коллективное противостояние «нигерийским» мошенникам. scamwarners.com публикует информацию о разных видах сетевого мошенничества, поддерживает онлайн-дискуссии на эту тему, а также принимает жалобы от пользователей и оказывает консультативную помощь.

В результате DDoS-атаки все три сайта на несколько дней потеряли связь с интернетом. Для распространения актуальной информации их администраторы были вынуждены использовать блоги, Facebook и другие альтернативные каналы. К 12 декабря 419eater.com и scamwarners.com вновь вышли в эфир, а aa419.org до сих пор работает в ограниченном режиме и готовится к запуску нового сервера.

Личности нападавших пока не установлены, причиной, скорее всего, является месть.

10 декабря 2011 года по всей России прошли митинги, в которых приняли участие люди, несогласные с результатами выборов.

В наших отчетах и предыдущих блогпостах мы уже писали о том, что спамеры оказались не чужды политической жизни и в последние месяцы активно рассылают сообщения соответствующей тематики. Однако, интересно отметить, что несмотря на то, что интернет был основной площадкой для координации митингующих, и информация активно распространялась по социальным сетям и блогам, мы не зафиксировали спама, призывающего пойти на митинг 10 декабря.

По завершении митинга спамеры неожиданно встрепенулись. В массовости прошедшей акции они увидели возможную для себя выгоду. Уже в понедельник 12 декабря мы зафиксировали таки спам, призывающий выйти на акции, запланированные на ближайшие недели. При внимательном рассмотрении письма нетрудно понять, что автор его не радеет за родину, а руководствуется своими корыстными интересами.

Киберпреступники непрерывно ищут новые способы заражения систем, чтобы в идеале остаться незамеченными. И их креативным навыкам нет предела — это показывает последняя волна вредоносных загрузчиков. Первыми среди них стали бразильские банковские троянцы, цель которых – удалять защитное ПО.

Такой нетрадиционный способ заражения поражает только системы, использующие ntldr — загрузчик ОС семейства Windows NT вплоть до Windows XP и Windows Server 2003 включительно. Такой выбор – не совпадение: XP по-прежнему является самой популярной операционной системой в нескольких странах, включая Бразилию, где она установлена почти на 47% всех компьютеров.

Заражение инициирует маленький вредоносный файл размером 10 КБ, детектируемый как Trojan-Downloader.Win32.VB.aoff, рассылаемый в электронном письме. Он загружает в систему 2 новых файла, размещенных на Amazon WS Cloud - xp-msantivirus (1.83 MB) и xp-msclean (7.4 MB), переименовывает легитимный ntldr на ntldr.old, а затем устанавливает в качестве нового загрузчика операционной системы измененную версию GRUB, специально настроенную для запуска файла menu.lst

Вредоносный загрузчик, заменивший оригинальный ntldr: модифицированная копия GRUB

Впоследствии файл menu.lst будет отвечать за вызов файла xp-msantivirus в процессе загрузки системы:

Содержание файла menu.lst. Содержание сообщения следующее: “Инструмент инициализации Microsoft для удаления вредоносного ПО”

Файлы xp-msantivirus и xp-msclean представляют собой загрузчики *nix системы, специально подготовленные киберпреступниками для удаления некоторых защитных файлов в процессе загрузки. Неудивительно, что основными мишенями являются файлы в составе весьма популярного защитного плагина, используемого бразильскими банками - GBPlugin, установленного на 23 миллионах компьютеров. Вредоносный загрузчик также предназначен для удаления файлов из Microsoft Security Essentials, Windows Defender и других:

После заражения троянская программа принудительно вызывает перезагрузку системы…

«Центру обновления Windows необходимо перезагрузить компьютер для завершения установки важных обновлений»

… а затем происходят все изменения. Вредоносный загрузчик отображает поддельные сообщения, в которых утверждается, что работает средство удаления вредоносных программ Microsoft:

«Инструмент для удаления вредоносного ПО (KB890830) Не выключайте и не отключайте от сети компьютер до завершения процесса»

Для объяснения длительного времени загрузки отображается еще одно сообщение, утверждающее, что система заражена, и идет удаление «вредоносных файлов»:

«Пожалуйста, подождите до завершения операции. Не выключайте и не перезагружайте ваш компьютер. ВНИМАНИЕ: на вашем компьютере обнаружены зараженные файлы. Идет процесс удаления вирусов. Это может занять некоторые время в зависимости от количества обнаруженных файлов, зараженных вирусом. Не отключайте и не перезагружайте ваш компьютер во время этого процесса, дождитесь его завершения, и перезагрузка произойдет автоматически»

Наконец, после завершения процесса загрузки вредоносный загрузчик удаляет себя и устанавливает чистый ntldr в качестве активного – его миссия выполнена, и троянская банковская программа, детектируемая как Trojan-Downloader.Win32.Banload.bqmv, остается работать на зараженном компьютере, готовая украсть данные пользователя, необходимые для осуществления операций онлайн-бинкинга.

Разумеется, выполнению всех этих вредоносных операций помогают некоторые факторы, такие как, например, работа в ОС под аккаунтом с привилегиями администратора и.т.д. Вредоносный загрузчик детектируется антивирусом Касперского как Trojan.Boot.Burg.a.

Выражаю благодарность моему коллеге Вячеславу Закоржевскому за помощь.

За неявкой зарубежных ответчиков окружной суд Нью-Йорка оштрафовал их на 610 млн. долл. за рассылку поддельных уведомлений о выигрыше в лотерею и незаконное использование брэнда Yahoo.

Согласно материалам расследования, несколько тайцев и нигерийцев, используя 2 подставные компании, несколько лет промышляли мошенничеством: выманивали у пользователей персональные данные и деньги в обмен на несуществующий приз. Они проводили спам-рассылки, уведомляя получателей о фиктивном выигрыше в лотерею, организатором которой якобы является Yahoo. «Счастличикам» предлагали сообщить контактную информацию и дополнительные данные, включая банковские реквизиты, а также оплатить некие административные расходы. За 2,5 года мошенники разослали свыше 11,6 млн. таких писем.

В мае 2008 года Yahoo подала иск против анонимов, который при дальнейшем расследовании оброс конкретными именами. Ни один из ответчиков не попытался опровергнуть исковые претензии и ни разу не объявился на заседаниях американского суда. В итоге решение в пользу истца было принято заочно. За нарушение американского CAN-SPAM судьи назначили штраф в размере 583 млн. долл. (по 50 долл. за каждое спам-письмо). Ущерб, причиненный репутации Yahoo, был оценен в 27 миллионов. Ответчики также должны оплатить все судебные издержки. Однако, как показывает судебная практика, получить причитающиеся суммы американцам вряд ли удастся.

В последнее время было много разговоров о некоей программе, установленной на мобильных устройствах - Carrier IQ. Предполагаемой задачей этой программы, по словам производителей, является сбор метрик для усовершенствования многих функций устройства, на котором она установлена. Говорили и о том, что эта программа имеет доступ к слишком многим личным данным пользователя.

По данным исследования, проведенного Trevor Eckhart, Carrier IQ имеет доступ практически ко всему, что вы делаете на своем устройстве – от нажатия клавиш на клавиатуре до имен пользователя и паролей, пересылаемых через SSL-зашифрованное соединение (правда, прежде чем они будут зашифрованы). И хотя новое исследование показало, что никакие личные данные на самом деле эта программа не собирает, потенциал для злоупотреблений очень высок.

Я понимаю рассерженных покупателей. Я не хочу, чтобы мои текстовые сообщения или электронную почту читали, чтобы видели все, что я искал в Интернете. А как же быть с корпорациями? Как насчет того, что на этих устройствах может быть что-то, являющееся интеллектуальной собственностью?

Эта программа может быть атакована. Я еще никогда не видел ПО без уязвимостей. Разве эту программу нельзя взломать? Разве не возможна утечка данных, к которым она имеет доступ?

Мне кажется, самым важным здесь является то, что «пострадавшие» практически беспомощны. Обычный пользователь просто не может удалить эту программу самостоятельно. По сообщениям тех, кто столкнулся с этой проблемой, даже если пользователь получает полный доступ к функциям системы («root» или «jailbreak»), чтобы удалить программу, появляются сообщения о том, что это нарушает функциональность или даже приводит к временному выходу телефона из строя. Некоторые пользователи перепрошивают свои устройства нестандартными прошивками. Эти нестандартные прошивки полностью заменяют установленную производителями аппарата операционную систему. В некоторых случаях даже после этого пользователи обнаруживают файлы Carrier IQ в своих устройствах.

Мы не рекомендуем большинству пользователей пытаться получить root-доступ к функциям системы или перепрошивать свои устройства нестандартными прошивками. Это полностью разрушает защитный модуль вашего устройства. Более того, нестандартные прошивки могут быть очень сложными и зачастую никак не проверяются экспертами безопасности. Можно ли считать, что эти прошивки опаснее, чем приложение с правами уровня администратора, которое может фиксировать всю вашу активность? Трудно ответить.

Короче говоря, на многих пользовательских устройствах прячется приложение с правами уровня администратора, ведущее журнал ваших действий. Даже если пользователь заключил с провайдером годовой фиксированный контракт, провайдер не обязан уведомлять пользователя об установленной на его устройстве программе. Мало того, что эта программа имеет широчайший доступ к вашим персональным данным, вы еще и не можете ее просто так удалить. Даже если вы поняли, как это сделать, вы можете сломать свое устройство. Я не имею ничего против повышения качества связи. Я ненавижу, когда прерываются звонки. Что мне совсем не нравится, так это то, что провайдеры намеренно не информируют меня о том, что они делают с моими данными на устройстве, за которое я заплатил, и к тому же лишают меня возможности что-то на нем удалять или от чего-то отказываться. Мало того, что это незаконно, это совершенно неэтично.

Итак, что можно сделать? Несмотря на то, что присутствие Carrier IQ в устройстве можно обнаружить, в настоящее время просто удалить его нельзя. Возможно, правильнее всего будет поговорить с вашим провайдером. Если он установил Carrier IQ на ваше устройство, а вы этого не хотите, свяжитесь с отделом клиентского обслуживания и выразите свое возмущение.

3 декабря мы зафиксировали резкий рост количества срабатываний на эксплойты, использующие уязвимость CVE-2011-3544 в виртуальной машине Java. Эта уязвимость была опубликована 18 октября, но стала использоваться не так давно. Она позволяет злоумышленнику исполнять произвольный код на удаленной машине. Ее можно использовать в эксплойтах, применяемых в drive-by атаках, для загрузки и запуска вредоносных программ.

Количество уникальных пользователей, на компьютерах которых были задетектированы эксплойты семейства Exploit.Java.CVE-2011-3544

Согласно данным KSN, большая часть эксплойтов к CVE-2011-3544 используется в одном из наиболее популярных в настоящее время эксплойт-паков – BlackHole Exploit Kit.

Мы проанализировали актуальные наборы BlackHole. На сайтах, на которых осуществляется drive-by атака с помощью BlackHole, нам выдавался достаточно старый эксплойт для уязвимости CVE-2010-0188, выполненный в виде PDF-файла, и новый Java-эксплойт, эксплуатирующий уязвимость CVE-2011-3544. Соответствующие файлы выделены красными овалами на скриншоте ниже.

Скриншот списка файлов, перехваченных при заходе на сайты с установленным BlackHole

Брайан Кребс также сообщает, что разработчики BlackHole успешно внедрили новый эксплойт в свой набор. Согласно статистике KSN, атакам новых эксплойтов подвергаются пользователи из России, США, Великобритании и Германии. По-видимому, это связано с тем, что новые эксплойты к уязвимости CVE-2011-3544, интегрированные в BlackHole, устанавливают троянскую программу Carberp, ворующую банковскую информацию, и SMS-блокеры. SMS-блокеры используются преимущественно в России, а троянцы-банкеры атакуют пользователей в развитых странах.

В очередной раз мы видим, что злоумышленники не стоят на месте и совершенствуют свои творения. Всем пользователям очень важно регулярно устанавливать обновления для Java от Oracle. Патч, устраняющий, в том числе, уязвимость CVE-2011-3544, можно скачать здесь.

Эксперты Microsoft обнаружили новую спам-рассылку, нацеленную на распространение ZeuS от имени легальных компаний.

Судя по всему, данная рассылка ведется автоматизированными средствами и использует два схожих шаблона, в которые на лету привносятся незначительные изменения. Один из вариантов зловредного сообщения написан от имени Verizon Wireless и уведомляет абонента о состоянии его счета. Дело в том, что этот оператор сотовой связи, действительно, использует электронную почту для рассылки платежных документов и подтверждения оплаты. Однако обращение, проставленное зачином в спам-письме, должно сразу же насторожить получателя: «Hello Dear!» («Привет, дорогуша!») явно выбивается из стиля официального уведомления. Послание спамеров снабжено zip-вложением, в котором под видом информации о последних платежах скрывается исполняемый файл.

Второй вариант вредоносных писем использует имя Adobe, обращается к получателю с тем же фамильярным приветствием и уведомляет его о «критическом апгрейде» Acrobat Reader и «комплекта Adobe X». Для проведения «апгрейда» злоумышленники рекомендуют открыть вложенный zip-архив, который, судя по названию, содержит некий срочный «апдейт», а на самом деле ― вредоносный код. Microsoft его определила как ZeuS и отмечает, что этот вариант пока плохо детектится ходовыми антивирусами.

Глобальное исследование, проведенное командой из Делфтского технического университета, показало, что 5-10% домашних компьютеров, подключенных к интернету, являются активными участниками той или иной бот-сети.

Географический рейтинг по числу заражений, который составили голландцы, возглавляют Греция и Израиль. В этих странах инфицировано около 20% компьютерного парка, использующего широкополосную связь. В Великобритании, занявшей 19 место, данный показатель гораздо скромнее ― порядка 6%, что эквивалентно 1 млн. машин. Следует отметить, что в контрольный список были включены 40 стран, в том числе все участники ОЭСР. Бразилии и Индии, например, среди них нет, а Россия присутствует.

Большинство данных по заражениям были собраны со спам-ловушек (170 млн. IP-адресов, зафиксированных в 2005-09 гг.). Исследователи использовали также статистику по Kido за 2009 г. (169 млн. IP-адресов) и информацию о киберинцидентах той же давности, предоставленную компанией DShield (130 млн. адресов). Вполне ожидаемо данные из этих трех источников не совпали.

Каждый провинившийся IP-адрес был прослежен до конкретного интернет-провайдера в пределах географической выборки. Итоговая статистика оказалась весьма печальной: инфекция поразила сети 200 провайдеров, на долю которых приходится около 90% рынка, подвергнутого анализу. В Великобритании, например, практически не нашлось сетей, свободных от ботов. Нормализованные данные (с учетом величины абонентской базы и других общепринятых факторов) были представлены национальным регуляторам и интернет-провайдерам, для которых масштабы бедствия оказались большим сюрпризом.

Дело в том, сетуют академики, что в большинстве стран у интернет-провайдеров нет стимула регулярно заниматься сбором информации о заражениях в своем ведомстве. Все данные, которые публикуются на основании специализированных исследований, неточны, так как ботоводы никогда не задействуют весь наличный потенциал при проведении кибератак и спам-рассылок, да и состав ботнетов непостоянен. Чтобы определить истинные размеры бот-сети, нужно наблюдать ее деятельность в течение долгого времени, и в этом могла бы помочь, например, практика публичных отчетов об успехах борьбы с инфекцией на уровне интернет-провайдеров.

Успехи же эти, по словам голландцев, очень разные. Свыше 30 поставщиков интернет-услуг, уличенных в рассылке спама, включая 9 представителей ЕС, числились в Тор 50 по этому показателю на протяжении 4 лет. 26 интернет-провайдеров, из них 6 из стран ЕС, столько же времени безуспешно пытались выйти за пределы Тор 50 по засилью спамботов (числу заражений в масштабах абонентской базы). Более того, даже самые добросовестные интернет-провайдеры обнаруживают в своих сетях лишь малую часть зомби-компьютеров, и далеко не все их владельцы ставятся об этом в известность.

В Голландии, например, оповещения о заражении от интернет-провайдера получают менее 10% инфицированных, и то эта практика появилась лишь после введения в стране соответствующего Кодекса чести. Схожая ситуация наблюдается и во многих других странах. А в Финляндии, например, система оповещений о заражениях запущена в автоматическом режиме. Владельцы зомби-компьютеров получают 2 уведомления и при отсутствии ответной реакции временно отлучаются от Сети. В Германии и Японии работают специальные колл-центры, в которые направляют пользователей при обнаружении следов заражения. Им оказывают помощь в подборе антивируса и инструктируют, как провести очистку. В целом университетское исследование показало, что активное участие надзорных органов в борьбе с ботнетами положительно влияет на национальные показатели. Например, в странах, присоединившихся к Лондонскому плану действий, уровень заражения заметно ниже.

Veracode опубликовала результаты анализа 9,9 тыс. новых программ, представленных к тестированию в течение последних полутора лет. 80% из них показали неприемлемый уровень надежности при первичной проверке.

В предыдущий период этот показатель был значительно лучше ― 58%. Эксперты объясняют ухудшение результатов введением более жестких критериев оценки безопасности ПО на своем «облачном» сервисе. В частности, новая политика диктует недопустимость ошибок, провоцирующих XSS и SQL-инъекции. Согласно новой статистике, такие дефекты все еще широко распространены: XSS-уязвимости были обнаружены в 68% веб-приложений, изъяны, позволяющие применить технику SQL-инъекций, ― в 32%. В целом ситуация с этими категориями ошибок улучшается, однако борьба с ними не теряет своей актуальности: по данным Veracode, 20% современных кибератак осуществляются посредством SQL-инъекций.

Продукты, представленные правительственными разработчиками, показали худшие результаты. 40% из них содержали ошибки, чреватые SQL-инъекциями, тогда как в финансовом секторе этот показатель составил лишь 29%, а у профессиональных разработчиков софта ― 30%. К счастью, авторы приложений научились быстро устранять выявленные дефекты. Veracode отмечает, что 80% приложений, проваливших первичные тесты, уже через неделю показывали приемлемые результаты.

Отчет Veracode впервые содержит заключение по продуктам, разработанным для платформы Android. Оказалось, что около трети таких приложений могут отдавать на сторону конфиденциальную информацию. Правда, в некоторых случаях эксперты не смогли точно определить, обусловлено это заложенным функционалом или вызвано программной ошибкой. В 42% Android-приложений криптографический ключ был жестко прописан в коде, тогда как в Java-программах для других мобильных платформ этот показатель составил лишь 17%.Такое упущение позволяет злоумышленникам легко завладеть шифроключом и одним ударом поражать все устройства, на которых установлено соответствующее приложение.

С полной версией отчета Veracode можно ознакомиться на сайте компании (для просмотра требуется регистрация).

Наши новые антивирусные обои.

1280x800 | 1680x1050 | 1920x1200 | 2560x1600

В канун Рождества интернетом пользуется больше людей – ведь это быстрый и удобный способ приобрести рождественские подарки. Как следствие, это прекрасное время для киберпреступников, которые стремятся нажиться на пользователях Сети. Поэтому – самое время напомнить об основных правилах, выполнение которых не позволит киберпреступниками испортить вам праздник.

1. Установите защитную программу и следите за обновлениями.
2. Поддерживайте Windows и другие приложения в актуальном состоянии.
3. Регулярно проводите резервное копирование данных на CD, DVD или внешний USB-накопитель.
4. Не отвечайте на электронные сообщения, если вы не знакомы с отправителем.
5. Не открывайте почтовые вложения, если не знаете отправителя.
6. Не нажимайте на ссылки в электронном сообщении или мгновенном сообщении. Впечатывайте адрес непосредственно в ваш веб-браузер.
7. Не отсылайте личную информацию в ответном письме на электронное письмо или другое сообщение, даже если оно выглядит официальным.
8. Совершайте покупки, банковские операции и общайтесь только на безопасных сайтах. Удостоверьтесь, что URL-ссылка начинается с ‘https://’.
9. Используйте уникальный пароль для каждого веб-сайта или используемого сервиса. Не используйте пароли повторно (e.g. ‘jackie1’, ‘jackie2’). Не создавайте пароли, которые будет легко отгадать (например, имя матери, кличка домашнего животного). Никому не сообщайте ваши пароли.

В Adobe Reader/Acrobat обнаружена критическая брешь, которую разработчики обещают залатать для версий 9.х на следующей неделе.

CVE-2011-2462 обусловлена ошибкой при обработке U3D-данных, которая может привести к сбою. При успешной эксплуатации данная уязвимость позволяет злоумышленникам установить полный контроль над системой. По данным Adobe, новая лазейка уже используется itw, но пока в ограниченном объеме: все известные случаи ― целевые атаки против версии 9.4.6 под Windows. Тем не менее, эксперты предупреждают, что CVE-2011-2462 актуальна для всех версий Reader/Acrobat и для всех платформ, кроме Android. Adobe Flash Player она не затрагивает.

Соответствующий патч для Adobe Reader 9.x и Acrobat 9.x, установленных на платформе Windows, будет выпущен на следующей неделе. Версии Х снабжены «песочницей», способной предотвратить выполнение эксплойта, посему заплатки для них будут включены в очередной пакет обновлений. Он появится после новогодних праздников, 10 января. Пользователям Reader/Acrobat X рекомендуется удостовериться, что в этих приложениях включен повышенный уровень защиты (Edit > Preferences > Security (Enhanced)), а защищенный режим включается при запуске (Edit > Preferences > General).

Поскольку специфических атак на Macintosh и UNIX не зарегистрировано, патчи для них выйдут тоже в январе.

По оценке Symantec, дневная норма зловредного спама, атакующего служащих конкретных организаций, с начала года увеличилась вчетверо. В минувшем месяце защитные решения компании блокировали в среднем 94 таких письма в сутки.

Целенаправленная спам-рассылка призвана обеспечить инициаторам доступ к интересующей их корпоративной сети и к той информации, потеря которой чревата для жертвы большими неприятностями. Многие из этих писем-ловушек используют элементы социальной инженерии и распространяются с учетом персональных данных, которые их адресаты бездумно публикуют на социальных сайтах и сервисах.

Согласно статистике Symantec, в США и Великобритании точечные атаки проводятся чаще, чем в прочих странах, ― в среднем 1 рассылка за 24 и 29 часов соответственно. Однако плотность распределения этих атак (с учетом общей численности интернет-пользователей) в азиатских странах выше, особенно в Китае, где от них страдает каждый 4-й участник Сети. Главными мишенями целевых спам-рассылок в текущем году являются госструктуры (20,5 атак в сутки), химико-фармацевтические предприятия (18,6) и сфера производства (13,6). При этом злоумышленники отдают предпочтение крупным корпорациям, численность штата которых превышает 2,5 тыс. человек (36,7 атак в сутки).

По данным Symantec, в ноябре уровень спама в почтовом трафике составил 70,5% ― на 3,7 пункта меньше, чем в предыдущем месяце. Это самый низкий показатель за последние 3 года. Стремясь удержать свои позиции, спамеры все чаще прибегают к целевым рассылкам и обращаются к альтернативным каналам, в первую очередь к социальным сетям.

Самые высокие уровни спама в отчетный период наблюдались в России (76,7%) и в Саудовской Аравии (76,6%), а в разделении по отраслям хозяйственной деятельности ― в автомобильной промышленности (73,0%). Главным источником спама в настоящее время являются США (28,0% общего объема), второе место занимает Индия (9,0%), третье ― Россия (5,7%).

Фармаспам продолжает сокращаться; в ноябре на его долю приходилась лишь треть нелегитимных писем ― вдвое меньше, чем в конце прошлого года. С приближением рождественских праздников активизировались спам-рассылки, рекламирующие реплики элитных товаров (19,5%). В 2,5 раза возросло число непрошеных коммерческих бюллетеней (17,5%), в 5 раз ― количество рекламы порноресурсов и сайтов знакомств (12,5%). Больше половины ссылок в URL-спаме были привязаны к доменной зоне .com, 9,4% ― к зоне .ru (9,4%, на 1 пункт больше, чем в октябре). Размеры спам-писем в минувшем месяце немного увеличились; 57,8% из них составляли менее 5 КБ, 31,2% ― 5-10 КБ.

На долю фишинговых сообщений пришлось 0,33% спама ― несколько больше, чем в октябре. Больше прочих от фишинга страдали Южная Африка и Великобритания, а из сфер хозяйственной деятельности ― госсектор. Число поддельных сайтов увеличилось на 66,1%, больше половины из них были обнаружены на территории США. 88,3% сайтов-ловушек имитировали ресурсы финансовых организаций. Вчетверо увеличилось количество фишинговых сайтов, созданных с помощью готовых комплектов для проведения кибератак. На их долю приходилось больше половины ловушек, обнаруженных Symantec в отчетный период. 78% подделок, созданных автоматизированными средствами, имитировали ресурсы одной из популярных социальных сетей.

Доля вредоносных сообщений в общем объеме спама уменьшилась на 0,03 пункта и составила 0,39%. Из них 1 письмо на 8,3 тыс. было адресовано служащим конкретной компании, т.е. служило началом целевой атаки. В общем потоке почтовой корреспонденции такие зловредные письма и вовсе редки, примерно 1 письмо на 2 млн., однако эксперты отмечают, что с конца прошлого года их количество заметно увеличилось. 40,2% вредоносных посланий, зафиксированных в ноябре, были снабжены ссылкой ― на 20,1% больше, чем в октябре.

Основными источниками вредоносных рассылок являются Великобритания (61,2% от общего количества) и США (16,3%). Чаще прочих такие письма получают сами британцы, а также жители Швейцарии. Главной мишенью распространителей зловредов являются государственные учреждения и ведомства. В 29,6% случаев объектом раздачи является Bredolab, Zeus или SpyEye.

Социальная сеть ВКонтакте – одна из самых популярных сетей у русскоязычной аудитории. Большую часть ее пользователей составляют молодые люди. Сетевые мошенники, являющиеся хорошими психологами, изобретают мошеннические схемы, которые должны сработать именно у этой аудитории.

Для юного или молодого человека огромную роль играют межличностные отношения. В наше время поиск близкой души или просто новых знакомств, легкий флирт или желание найти свою судьбу часто переносятся в виртуальное пространство. Плюсы и минусы такого рода общения обсуждают психологи. Но есть и другая категория инженеров человеческих душ, которая не прочь воспользоваться ситуацией в своих целях. Юные и горячие головы подчас готовы многое отдать за то, чтобы узнать, сколько раз в день на их страницу заходит предмет их интереса. Этим-то любопытством и пользуются мошенники, разработавшие схему «гости ВКонтакте».

Через личные сообщения, на «стене», в специально созданных группах, а также с помощью баннеров мошенники распространяют ссылки на сервисы, якобы дающие возможность увидеть, кто и когда заходил на вашу страничку. Как уже говорилось, юная аудитория соцсети очень заинтересована в таких сервисах. Поэтому находится немало людей, которые такой возможностью пытаются воспользоваться. На самом же деле, таких сервисов нет. Вот и на странице поддержки сайта vkontakte.ru заявлено, что эта социальная сеть НЕ предоставляет доступа к информации о том, кто посещал страницу, а «все сайты, приложения и программы, которые обещают такую функцию, создаются мошенниками».

Разберем несколько схем обмана доверчивых пользователей.

Вариант первый: вас, так или иначе, заманили на поддельный сайт, дизайн которого очень напоминает дизайн сайта vkontakte.ru. Здесь вам предлагают залогиниться и просмотреть список гостей, посетивших вашу страницу. Вариантов дизайна таких поддельных страниц множество, мы приводим лишь пару примеров:

Что ждет пользователя, клюнувшего на такую удочку? Его логин и пароль попадают в руки к злоумышленникам и могут в дальнейшем использоваться для рассылки спама и фишинговых сообщений со взломанного аккаунта.

Второй вариант – это сайты, имитирующие сервисы социальной сети ВКонтакте. На таких сайтах пользователям предлагается зарегистрироваться, введя номер мобильного телефона или послав смс-сообщение на короткий номер. А уж потом, якобы, можно увидеть список гостей своей страницы. «Сервис» этот липовый, и никаких данных он, в конечном счете, не предоставляет. Зато со счета мобильного телефона будет списана ощутимая сумма (как правило, порядка 300 рублей), либо на ваш номер будет оформлена ненужная вам подписка, которая будет съедать деньги. Это механизм обогащения злоумышленников.

Вот пример главной страницы одного из таких сайтов:

Вариант три. На некоторых сайтах предлагается скачать приложение, якобы дающее возможность узнать, кто посетил вашу личную страницу. Хорошего в таких предложениях мало. Списка вы не получите, а предлагаемое фальшивое приложение зачастую содержит вредоносное ПО или платный архив, т.е. заархивированный специальной программой файл, за распаковку которого требуется заплатить деньги, послав смс на предлагаемый короткий номер (цены обычно не превышают 300 рублей).

Пример мошеннического сайта, предлагающего скачать файл-приложение для просмотра гостей:

Конечно, антивирусные компании, стараются защитить пользователя от подобных неприятностей. Такие сайты мы добавляем в черный список. Но они появляются с большой скоростью, и какое-то количество только что появившихся и еще не добавленных в базы антивирусных продуктов страниц присутствует в Сети. И здесь на выручку пользователям может прийти только их благоразумие и грамотность. Будьте внимательны, не попадитесь на уловку мошенников!

Меня часто спрашивают о реальной опасности вредоносных программ для Android. Это сложный вопрос, так как в расчет приходится принимать множество факторов, таких как местонахождение пользователя, его устройство, количество установленных приложений, а также то, насколько небрежно он выбирает приложения.

Есть два распространенных противоположных мнения. Одни утверждают, что опасность угроз для Android раздута и не представляет большой значимости, так как количество вредоносных программ для Android, обнаруженных на настоящий момент, ничтожно мало по сравнению с количеством зловредов для Windows. И действительно, когда компания обнародует полученные данные, а затем демонстрирует какой-либо рост на рынке в этом секторе, в ее адрес часто поступают обвинения в раздувании паники с целью инициации продаж.

По моему мнению, на самом деле такие утверждения объясняются тем, что многие компании с 2004 года вот уже на протяжении 7 лет объявляют каждый год «годом мобильных угроз». В 2004 был обнаружен первый вирус для сотового телефона под названием «Cabir», который передавался на телефоны Symbian через Bluetooth. После этого открытия было естественно предположить, что количество новых угроз для мобильных телефонов будет расти. Что и происходило в действительности в течение нескольких лет — просто число новых угроз было не таким большим, как ожидалось. Однако ситуация меняется. По статистике, количество устанавливаемых систем Android постоянно растет. Компания Google утверждает, что в день она активирует более полумиллиона устройств. При таком количестве новых пользователей вирусописатели не заставят долго себя ждать.

Противоположную позицию в этом споре занимают такие, как я – люди, которые ежедневно занимаются аналитикой угроз для Android. Я наблюдаю, что пользователи устанавливают такие вредоносные приложения, как DroidDream, причинивший ущерб более 100000 пользователям, и добавляют сети, из которых без их ведома происходит утечка информации. Я наблюдаю, что планшеты и нетрадиционные устройства, например, телевизоры под управлением Android, используются все чаще. Я вижу логотип Android повсюду. То же самое видят и киберпреступники. На самом деле, если спросить многих «ветеранов» антивирусной индустрии, как они видят сегодняшнюю ситуацию с угрозами для Android, они начнут ее сравнивать с началом эпохи зловредов для Windows. Медленные обновления, отсутствие у пользователя информации и его убежденность в том, что «меня это никогда не коснется» – все это наблюдается и сейчас.

Я думаю, действительно важно отметить, что многие из наблюдаемых нами новых угроз появляются на альтернативных рынках, в таких странах, как Китай. На самом деле, многие из обнаруженных вредоносных программ неудобны для преступников, атакующих пользователей в США — по крайней мере, на данный момент. Причина в том, что большинство зловредов для мобильных устройств — это SMS-троянцы, которые просто не имеют никакого смысла в США. SMS-троянцы отсылают сообщения, снимая за их пересылку деньги со счета пользователя. Подобные вредоносные программы успешно используются в таких странах, как Россия и Китай. А непопулярность SMS-троянцев в Америке объясняется несколькими факторами. Первое: платеж за операции с платными номерами в США осуществляется один раз в 30 дней. Это означает, что киберпреступники не могут получить деньги от своих жертв в течение этого периода, а у властей появляется больше времени для их ареста. Второе: установка таких платных номеров в США требует предоставления большого количества идентификационной информации. В других странах, возможно, преступнику не требуется предоставлять подробную информацию, что позволяет ему сохранять анонимность. Таким образом, мы видим в США только вредоносные программы, предназначенные для кражи данных. Когда будете в США, поспрашивайте людей, и держу пари, немногие скажут вам, что их телефоны были заражены. Попробуйте сделать то же самое в любой другой стране мира, и, возможно, все окажется совершенно иначе. Мы также предполагаем, что и эта ситуация будет меняться, так как программы становятся все более изощренными, и появляются разные виды программ. Если что-то изменится, и создатели мобильных зловредов смогут получать прибыль, можно не сомневаться — они не преминут этим воспользоваться.

И наконец, хочу добавить, что работа аналитиков в сообществе безопасности заключается в идентификации новых угроз. Мы трудимся в коммерческих антивирусных компаниях, при этом мы выступаем на благо общества. Война против киберпреступности сложна, но все же мы оказываем влияние на ее ход. Мы будем продолжать бороться с киберкриминалом. Один из методов этой борьбы – просвещение пользователей, информация о существующих видах угроз. Проблема вредоносных программ в мире — крупномасштабна, и любые усилия, направленные на уменьшение ее негативных последствий, имеют положительный результат.

Совет Федерации одобрил законопроект о внесении в Уголовный кодекс изменений, включающих обновление главы 28 «Преступления в сфере компьютерной информации».

Статья 272 «Неправомерный доступ к компьютерной информации» ранее делилась на две части и предусматривала до 2 лет лишения свободы за индивидуальное правонарушение и до 5 ― за групповое. В новой редакции эта статья состоит из четырех частей, рассматривая отдельно случаи с отягчающими обстоятельствами: корыстная заинтересованность или причинение крупного ущерба (свыше 1 млн. руб., до 4 лет); тяжкие последствия или их угроза (до 7 лет). Потолок штрафа для ОПГ был также повышен до 500 тыс. руб.

Понятие «компьютерная информация» трактуется в примечании к статье как «сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи». Несовершенство этой формулировки вызвало нарекания даже у комментаторов из Верховного суда РФ, но корректировать ее не стали. Эксперты сетуют также, что из определения «неправомерный доступ» изъяли столь важное свидетельство вторжения, как «нарушение работы ЭВМ, системы ЭВМ или их сети». Прежняя формулировка позволяла проводить по статье 272 все дела о DDoS-атаках, а теперь тот же Павел Врублевский имеет реальный шанс выйти сухим из воды.

Название статьи 273 было несущественно изменено − «Создание, использование и распространение вредоносных компьютерных программ». К сожалению, из ее текста тоже изъята фраза «нарушение работы ЭВМ, системы ЭВМ или их сети». Однако в определении вредоносной программы появилось такое ее назначение, как «нейтрализация средств защиты компьютерной информации». Как и в предыдущей статье, правонарушения, повлекшие тяжкие последствия, здесь рассматриваются особо. Нижний предел максимального срока, назначаемого вирусописателям и их клиентам, повышен до 4 лет, верхний остался прежним (7 лет).

Поскольку новая редакция главы 28 упразднила устаревший термин «ЭВМ», статья 274 теперь называется «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей». Такое правонарушение, причинившее крупный ущерб, теперь наказывается более сурово ― штрафом до 500 тыс. руб. или лишением свободы на срок до 2 лет. Если действия правонарушителя повлекли тяжкие последствия, ему грозит тюремный срок до 5 лет (на 1 год больше, чем ранее).

Остается надеяться, что изъяны, допущенные в обновленных статьях главы 28 УК РФ, равно как и те, которые обнаружатся в ходе их применения, не помешают вершить правосудие либо будут исправлены в рабочем порядке.

Согласно статистике МВД России, за 3 минувших квартала в стране было возбуждено свыше 1 тыс. уголовных дел о мошенничестве с использованием ИТ-технологий, тогда как за весь предыдущий год ― 736.

Выступая на 2-й международной конференции «Борьба с мошенничеством в сфере высоких технологий» (Antifraud Russia-2011), глава Бюро специальных технических мероприятий (БСТМ) МВД Алексей Мошков заявил, что мошенничество является самыми распространенным преступлением в ИT-среде. Особенно страдают от интернет-мошенничества финансисты, поставщики телекоммуникационных услуг, предприятия розничной торговли и электронной коммерции. В последние годы значительно увеличилось количество преступлений, совершаемых с использованием банковских карт (скимминг), сетевых платежных сервисов и систем ДБО (дистанционного банковского обслуживания).

По мнению Мошкова, главными проблемами, препятствующими выявлению преступников, являются надгосударственный характер интернета и относительная анонимность его пользователей. Расследование сильно затрудняют также скудость информации о киберинцидентах в кредитных организациях, бессистемность учета финансовых операций в платежных системах, отсутствие практики повсеместного использования видеоаппаратуры в сети банкоматов. Простота открытия банковских счетов и регистрации юридических лиц тоже играет на руку злоумышленникам, позволяя разрабатывать эффективные схемы перевода и обналичивания денег. В сфере ДБО ситуацию усугубляют отсутствие единых стандартов и невысокое качество программного обеспечения.

Взаимодействие МВД и операторов сотовой связи в борьбе с мошенничеством оказалось более успешным. Совместными усилиями им удалось в короткие сроки ограничить распространение преступных схем, связанных с переводом денежных средств на короткие номера. Арендаторов таких номеров обязали блокировать те из них, которые вызывают большое количество нареканий у абонентов или привлекли внимание блюстителей правопорядка.

Киберподразделение ФБР в Денвере, шт. Колорадо, опубликовало предупреждение о новой волне вредоносных рассылок, нацеленных на кражу банковских реквизитов с помощью троянской программы ZeuS.

Шаблон, применяемый злоумышленниками, не нов. Зловредные сообщения написаны от имени американской ассоциации электронных платежей NACHA (National Automated Clearing House Association) и уведомляют получателя о проблеме, якобы возникшей при обработке платежа в рамках системы электронных расчетов ACH. Письма спамеров снабжены ссылкой, при активации которой на машину пользователя загружается ZeuS, ― федералы называют эту модификацию Gameover. Возможно, имеется в виду заказной р2р-вариант троянца, недавно обнаруженный ZeusTracker: по словам экспертов, он отправляет краденые данные на коллекторы, поименованные «gameover».

По версии ФБР, повелители ZeuS, вооруженные ключами к онлайн-счетам, выводят с них денежные средства и одновременно устраивают «дымовую завесу» ― проводят DDoS-атаку на сайт соответствующего банка. Такой трюк обычно применяется, чтобы отвлечь внимание от незаконных транзакций и воспрепятствовать их отзыву. Любопытно, что часть краденых денег грабители переводят на счета престижных ювелирных салонов, заранее договорившись прислать гонца за драгоценными камнями и дорогими часами. Если банк вовремя обнаружит подлог и успеет отменить перевод оплаты с взломанного счета, владелец магазина понесет убытки.

Известно, что злоумышленники активно пользуются крупными информационными поводами для достижения своих целей: обмана или заражения пользователей. Темами могут быть, к примеру, смерть Каддафи или праздник Дня памяти. Как правило, злоумышленники ограничиваются рассылкой тематического спама, сообщений в социальных сетях или продвижением вредоносного веб-сайта в выдаче поисковых систем по популярным у пользователей запросам.

Однако, как выясняется, злоумышленники способны на большее. Четвертого декабря в России состоятся выборы в Государственную думу. Накануне избиратели активно посещают веб-сайты партий с целью получения различной информации о кандидатах и предвыборной программе. И, выполняя даже такие безобидные действия, ничего не подозревающие пользователи могут быть атакованы.

Генпрокуратура РФ утвердила обвинительное заключение по делу о групповом хищении 10 млн. руб. из ОСМП (Объединенная Система Моментальных Платежей, брэнд QIWI) и платежной системы E-port с использованием троянской программы. Материалы уголовного дела направлены в суд Екатеринбурга для рассмотрения по существу.

Согласно материалам следствия, Андриян Степанов, Максим Глотов и их сообщники два года грабили агентов платежных систем, выкрадывая коды доступа с помощью вредоносной программы. Чужие деньги они выводили на специально созданные электронные счета, а затем отмывали через банковские кредитки, SIM-карты и электронные кошельки. На настоящий момент по России выявлены свыше 40 владельцев платежных терминалов, павших жертвами этой мошеннической схемы.

Участники преступной группировки обвиняются в мошенничестве с причинением ущерба в особо крупном размере и неправомерном доступе к охраняемой законом компьютерной информации, осуществленном группой лиц по предварительному сговору. Глотову также инкриминируются такие статьи УК РФ, как «создание, использование и распространение вредоносных программ для ЭВМ» и «пособничество в подделке официального документа» ― скрываясь от правосудия, он использовал поддельные паспорт и водительское удостоверение.

Судя по информации в пресс-релизе МВД, именно Глотов является автором мошеннической схемы, равно как и троянца, которого использовали сообщники. Выпускник вуза по специальности «прикладная информатика в сфере экономики» написал программу, способную не только красть персональные данные, но также уничтожать следы своего присутствия в системе и деинсталлироваться после рабочего цикла. Вирусописатель не скрывал личных достижений и щедро делился своим детищем на хакерских форумах.

Глотову и Степанову грозит до 10 лет тюремного заключения и крупные денежные штрафы. Еще один подельник заключил досудебное соглашение с властями и получил 2,5 года лишения свободы. Недавно задержан четвертый участник преступной группировки, следствие в отношении него пока не закончено.