В ходе расследования деятельности группы Winnti нам удалось обнаружить достаточно много самплов Winnti, нацеленных на различные игровые компании. Используя эту сложную вредоносную программу, злоумышленники получали удаленный доступ к зараженным машинам, после чего действовали уже вручную.

Нам, конечно же, было важно узнать, каким образом вредоносная библиотека распространялась по локальной сети. Для этого мы последили за тем, что делают злоумышленники на зараженном компьютере.

Первая попытка: виртуальная машина 1

На раннем этапе исследования мы запускали вредоносные программы на виртуальной машине, и они нормально работали. Мы даже зафиксировали кое-какую активность со стороны злоумышленников. Но они быстро поняли, что это не тот компьютер, который они хотели бы поймать в свои сети, поэтому серверы злоумышленников перестали отвечать на запросы ботов с виртуальной машины.

Вот, что нам удалось узнать на этом этапе мониторинга.

Сначала, злоумышленники посмотрели, что происходит на рабочем столе жертвы. Потом, используя командную строку, атакующие вышли в корневой каталог текущего диска, просмотрели содержимое, поискали файл winmm.dll, уточнили версию операционной системы. После этого включился в работу плагин ListFileManager.dll, с помощью которого удобно просматривать содержимое каталогов, и анализу подверглись папки C:\Windows и C:\Work. Далее злоумышленники хотели перезагрузить компьютер (он должен был бы перезагрузиться через 1 секунду), но ошиблись в параметрах команды shutdown, введя 'shutdown /t /r 1'. Через некоторое время они уже в правильном формате вообще выключили компьютер командой 'shutdown /s /t 1'.

Эксперты RSA обнаружили itw готовый комплект для фишинга, использующий нечто вроде белого списка – ограниченного перечня email-адресов, по которому распространяются URL поддельных страниц.

По данным RSA, в минувшем году фишеры провели свыше 445 тыс. атак, на 59% больше, чем в предыдущем. Эти атаки обошлись мировой экономике в 1,5 с лишним млрд. долларов, что на 22% выше прежнего показателя. Фишерский инструментарий постоянно совершенствуется: в 2012 г. на черном рынке появились специальные плагины для проверки работоспособности краденых идентификаторов в реальном времени, а также для составления отчетов об эффективности фишинговых рассылок с помощью легальных аналитических сервисов. Новый необычный инструмент, обнаруженный экспертами, – лишнее доказательство тому, что фишеры сделали ставку на технический прогресс.

Сегодня мы публикуем первую часть отчета о нашем исследовании "Red October". В ближайшие дни будет опубликована и вторая часть, содержащая детальное техническое описание всех известных модулей Sputnik. Следите за новостями!

На протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа, во время которой собирались данные и секретная информация с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций.

Несколько месяцев эксперты 'Лаборатории Касперского' анализировали вредоносные файлы, использованные в атаке, которая была нацелена на конкретные организации в Восточной Европе, странах бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки.

Эта операция, которую мы назвали 'Red October' (в сокращении 'Rocra') продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает по своей сложности инфраструктуре Flame. Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года.

По данным Trend Micro, 91% целевых кибератак предшествует малотиражная спам-рассылка (эксперты называют такие письма spear-phishing email), как правило, вредоносная. Она использует элементы социальной инженерии и ориентирована на конкретное лицо или группу адресатов в атакуемой организации.

Такой зачин не теряет своей популярности у организаторов целевых атак, так как в тщательно подготовленную ловушку может угодить даже самый искушенный и осмотрительный пользователь. Ярким примером целевой атаки, начавшейся с узконаправленной спам-рассылки, является прошлогодний инцидент, обернувшийся кражей уникальной технологии RSA.

По данным Cisco, за год потоки нелегитимных писем, распространяемых en masse, сократились с 300 млрд. в сутки до 40 миллиардов. Суммарный доход злоумышленников от массовых спам-рассылок уменьшился вдвое и в июне текущего года составил порядка 500 млн. долларов.

В то же время количество узконаправленных атак с использованием вредоносных программ увеличилось в 4 раза, целевых атак фишеров (spearphishing) ― в 3 раза. Вклад этих мелкомасштабных атак в общий объем спам-рассылок невелик ― лишь 0,2%, но они чрезвычайно эффективны. По оценке экспертов, ежегодные убытки мирового бизнеса от целевых кибератак составляют около 1,3 млрд. долларов при среднем уровне индивидуальных потерь 250 долларов.

Успех точечных атак обусловлен, в первую очередь, повсеместным наличием незакрытых уязвимостей и неизменным присутствием человеческого фактора, на который часто делает ставку сетевой криминал. Специализированные спам-рассылки такого рода осуществляются небольшим тиражом, нацелены на одну или несколько мишеней и, как правило, полагаются на способность зловреда отыскать и собрать требуемую информацию за короткий срок.

30-летний уроженец Смоленска заключен под стражу и будет привлечен к уголовной ответственности за обман посетителей интернет-аукционов и тематических онлайн-форумов.

Согласно материалам следствия, мошенник создал ряд фишинговых страниц и проводил таргетированные рассылки на адреса зарегистрированных продавцов, особо почитаемых коллекционерами-участниками аукционов. В поддельных письмах содержалась просьба подтвердить личные данные — якобы в связи со сбоем или обновлением системы безопасности. Получив таким образом доступ к чужим аккаунтам, аферист от имени их владельцев выставлял на продажу несуществующий антиквариат и цифровую технику с низкой стартовой ценой — от 500 до 200 тыс. рублей.

Торги по лотам, выставленным самой жертвой фишинга, он досрочно завершал и высылал покупателям извещение о согласии на сделку, а также банковские реквизиты для перечисления денег. Непременным условием сделки были, как нетрудно догадаться, 100%-ная предоплата и получение товара по почте. По заключении сделки покупателю высылались подтверждение купли-продажи и номер мобильного телефона для связи. Получив деньги, обманщик отправлял своей жертве копии поддельных почтовых бланков об отправке товара, которые фабриковал на дому.

Насколько известно, мнимый аукционер промышлял в Сети в течение трех лет и, по подсчетам оперативников, украл за это время около 20 млн. рублей. От его действий пострадали сотни россиян и жителей стран СНГ. Общаясь с потенциальными жертвами, аферист в лучших «нигерийских» традициях представлялся то наследником почившего родственника-коллекционера, то бедным учителем, которому нужно срочно погасить кредит за ипотеку.

Он умело заметал следы в интернете и водил за нос Управление «К» больше года. При обыске на квартире, которую смолянин снимал в Москве, у него нашли более десятка поддельных паспортов, пачку кредиток, оформленных на подставных лиц; USB-модемы, с которых осуществлялся выход в интернет, и носители со списками жертв. По факту совершения мошеннических действий и неправомерного доступа к компьютерной информации возбуждено уголовное дело в соответствии со статьей 159 УК РФ («Мошенничество»). С учетом масштабов злодеяния и наличия у правонарушителя судимости по этой же статье, ему грозит тюремное заключение на срок до десяти лет.

Два жителя Коннектикута, принимавшие участие в фишинговых атаках на пользователей сервиса AOL, осуждены на 4 года тюремного заключения. Каждый из них заплатит 33714 долларов в качестве компенсации за нанесенный ущерб.

Согласно свидетельским показаниям, 23-летний Томас Тейлор-младший (Thomas Taylor, Jr.) и 25-летний Чарли Блаунт-младший (Charlie Blount, Jr.) с подельниками на протяжении четырех лет занимались рассылкой несанкционированных сообщений в виде виртуальных открыток. «Открытки» были заражены троянской программой, подменявшей страницу регистрации AOL ее имитацией. На поддельной странице у пользователей запрашивалась дополнительная информация – банковские реквизиты, номера социального страхования и т.п.

Похищенные таким образом данные злоумышленники использовали для изготовления банковских карт, с помощью которых потом расплачивались за приобретенные товары.

В расследовании деятельности данной фишерской группировки принимали участие местные полицейские подразделения, почтовая служба США, секретная служба министерства финансов и ФБР. В сентябре 2006 года шестерым участникам группировки были предъявлены обвинения в преступном сговоре и хищении пользовательской информации при отягчающих обстоятельствах.

Приговоры Тейлору и Блаунту были вынесены в марте текущего года с разницей в 4 дня. Тейлор осужден условно и первые семь месяцев назначенного ему срока проведет под домашним арестом. В течение испытательного срока он также должен отработать 200 часов на общественных работах.

Блаунт, который в рамках фишинговой схемы занимался изготовлением поддельных кредитных и платежных карт, будет отбывать свой срок в пенитенциарном учреждении, а затем три года проведет под надзором.

Главарь мошеннической группировки Майкл Долан (Michael Dolan) был приговорен к семи годам тюремного заключения в августе 2008 года. Еще один соучастник, Кит Ридел (Keith Riedel), проведя пять месяцев под стражей, был выпущен под надзор сроком три года и должен провести девять месяцев под домашним арестом. Дэниел Масциа (Daniel Mascia), осуществлявший рассылки мошеннических сообщений, в сентябре прошлого года был осужден на два года тюремного заключения, а по выходе проведет под надзором три года.

Интернет-преступники, занимающиеся кражами паролей пользователей и другой конфиденциальной информации, начинают использовать новую тактику, сообщает Reuters. Теперь фишеры рассылают письма не от имени финансовых учреждений, а от имени руководителей потенциальных жертв.

Новая методика получила название «спиэр-фишинг» (spear fishing; буквально — «рыбалка с острогой»). Компании, страдающие от действий фишеров, как правило, стараются не раскрывать факты совершения подобных преступлений. Однако компания MessageLabs, занимающаяся вопросами в области информационной безопасности, утверждает, что рост спиэр-фишинга налицо. Сейчас рассылки со спиэр-фишингом случаются не реже 1-2 раз в неделю.

«Рассылка от имени руководства работает великолепно», — комментирует методику мошенников исполнительный директор института SANS — некоммерческой исследовательской организации.

В отличие от обычных фишинг-атак, спиэр-фишинг подразумевает разовую рассылку внутри только одной организации. Получив в свое распоряжение идентификационные данные корпоративных пользователей, мошенники могут установить на их машины троянские программы и получать в свое распоряжение секреты корпораций или правительственных организаций.

Спиэр-фишинг является одним из типов «целевых атак», которые, по мнению экспертов, в 2005 году обрели тенденцию к росту. Установить истинного отправителя в ходе фишинг-атак оказывается непросто. Однако британский Национальный центр по координации структуры для обеспечения безопасности полагает, что основная часть спиэр-фишинг атак идет из стран Дальнего Востока.

Спиэр-фишинг оказывается эффективным инструментом воздействия даже на тех сотрудников, которые тщательно относятся к онлайн-угрозам. Тесты, проведенные среди кадетов военной академии Вест-Пойнт, подтвердили это положение. Все кадеты были готовы сообщить в электронном письме любую информацию по просьбе вышестоящих офицеров.