Неизвестные злоумышленники получили доступ к криптоключам Bit9, которые этот крупнейший разработчик защиты, основанной на белых списках, использует для подписи своих продуктов, и атаковали его клиентов зловредом с «вездеходным» пропуском. Как оказалось, во взломе повинен сам вендор, использующий собственную защиту, но забывший установить ее на несколько компьютеров.

В отличие от антивирусов, идентифицирующих зловредов и подозрительные файлы, защитные механизмы белых списков распознают лишь разрешенные к использованию приложения, а все прочие воспринимают как потенциально опасных незнакомцев. Разумеется, Bit9 по умолчанию является доверенным издателем для своих собственных продуктов, которыми пользуются около 1 тыс. солидных клиентов, включая правительственные ведомства США и порядка 30 участников списка Fortune 100. Такие мишени всегда привлекательны для злоумышленников, и на сей раз они сделали ставку на слепое доверие защитных средств к собственной подписи.

Забывчивость или недооценка опасности – основные причины потери данных во всем мире. Во время своей последней поездки я обнаружил в зале аэропорта любопытные планшетные устройства на платформе Android, интегрированные с внешней клавиатурой для общественного использования и подсоединённые к сети Интернет.

Компания VMware, специализирующаяся на поставках ПО для виртуальных сред, подтвердила факт кражи части исходного кода гипервизора ESX, попавшей в открытый доступ.

По свидетельству VMware, файл с комментариями, обнародованный похитителем, был создан в 2003-04 гг. Эксперты не исключают возможность продолжения несанкционированных публикаций и мобилизовали внутренние и внешние ресурсы для проведения тщательного расследования.

Исходники ESX были выложены на файлообменнике хакером, использующим псевдоним Hardcore Charlie. Они могли попасть к нему в результате недавнего взлома сетей пекинского военного подрядчика CEIEC (China Electronics Import & Export Corp.), в котором он признался в интервью агентству Рейтер. Ключи от ресурсов CEIEC, известной широкими бизнес-связями, Charlie нашел в почтовом ящике этой компании, доступ к которому ему помог получить приятель, участник LulzSec.

CEIEC решительно отрицает факт утечки, однако хакер поведал, что все многочисленные документы, которые он опубликовал в апреле, были раздобыты путем взлома серверов именно этой компании. Он собирается также выложить в Сеть код другого вендора «облачных» технологий, ЕМС.

По словам Global Payments Inc., крупнейшего сервис-провайдера в сфере обработки электронных платежей, несанкционированный доступ, который обнаружили ее внутренние службы в начале марта, затронул лишь несколько серверов процессинговой системы, размещенных в Северной Америке. Хакерам удалось экспортировать около 1,5 млн. номеров платежных карт, и, хотя имена, адреса и страховки владельцев не были скомпрометированы, украденных данных достаточно, чтобы изготовить подделки.

Компания обратилась к помощи сторонних экспертов и уведомила об инциденте правоохранительные органы, а также заинтересованных участников рынка безналичных расчетов, чтобы те смогли ограничить возможный ущерб по платежным счетам. Представители Global Payments провели телеконференцию, решительно опровергнув слухи, будто данный инцидент ― не единственный и потери гораздо больше, чем заявлено. Они также отметили, что мошеннических транзакций пока не обнаружено, однако в помощь клиентам открыт специальный веб-сайт, 2012infosecurityupdate.com. Расследование еще не закончено, однако Global Payments убеждена, что ей удалось локализовать утечку, и продолжает работать в штатном режиме.

Детали хакерского вторжения пока не разглашаются. Анализ истории транзакций по скомпрометированным счетам, проведенный банками-эмитентами, показал, что большинство пострадавших расплачивались картой на крытых паркингах Нью-Йорка и его пригородов. Как правило, это были кредитные и дебетовые карты, оформленные через работодателя.

Visa и MasterCard, со своей стороны, уведомили эмитентов о взломе стороннего платежного процессора, сообщив им номера, украденные хакерами. Visa опубликовала на сайте заявление, заверив клиентов, что ее собственные ресурсы, включая процессинговую сеть VisaNet, не пострадали. Компания вывела Global Payments из списка доверенных провайдеров и попросила провинившегося партнера представить новые результаты аудита на соответствие требованиям отраслевых стандартов безопасности. MasterCard не спешит следовать примеру конкурента и ждет заключение независимой экспертизы.

По данным Verizon, больше половины незаконных вторжений и 58% украденных данных в минувшем году ― дело рук хактивистов, использующих взломы для проведения протестных акций в Сети. Эти показатели резко контрастируют со статистикой последних лет, так как до сих пор мотивом большинства кибератак было извлечение финансовой выгоды.

В течение года эксперты проанализировали 855 киберинцидентов, в результате которых было совокупно скомпрометировано 174 млн. записей, ― это второй по величине результат за последние 7 лет. Утечки были зафиксированы в 36 странах против 22 в предыдущем году. Почти 70% жертв прописаны в странах Восточной Европы, менее четверти ― в североамериканском регионе. Лишь 21% кибератак были направлены против конкретной организации; в остальных случаях мишени страдали из-за уязвимости, которую хакер обнаружил и сумел использовать. Большинство жертв нецелевых нападений (85%) ― мелкие компании (менее 1 тыс. сотрудников), специализирующиеся, как правило, в сфере розничной торговли, гостиничного бизнеса или общественного питания, которые широко используют POS-терминалы.

По оценке Verizon, 96% кибератак были достаточно примитивны, 97% инцидентов можно было предотвратить без особых ухищрений и финансовых затрат. Сроки обнаружения несанкционированных вторжений по-прежнему измеряются месяцами и даже годами, причем в 92% случаев взлом обнаруживают посторонние лица.

95% записей, скомпрометированных в результате утечек, содержали персональные данные: имя, контактную информацию, номер страховки, тогда как в 2010 году этот показатель составил лишь 1%. 48% взломов окончились кражей реквизитов платежных карт, 42% ― идентификаторов доступа.

Основными методами проведения кибератак являются хакинг и использование вредоносных программ, причем зачастую (61% инцидентов) они идут рука об руку. 98% записей, скомпрометированных путем кражи кодов доступа, пришлось на долю больших организаций. 44% кибератак были проведены через взлом слабых или дефолтных паролей, что не редкость в малом бизнесе. В 88% случаев хакеры использовали сервисы удаленного доступа (VNC, RDP), в 25% ― бэкдоры, в 10% уязвимости в веб-приложениях, при этом 0-day бреши по-прежнему редки. На долю SQL-инъекций пришлось лишь 3% хакерских вторжений.

Вредоносные программы повинны в 69% инцидентов и в 95% скомпрометированных записей. Как правило, хакер внедряет зловреда в систему после получения удаленного доступа. На drive-by, ручные загрузки из Сети и почтовые вложения пришлось по 1% незаконных вторжений. Наиболее распространенным вредоносным функционалом являются регистрация ввода данных (включая кейлоггинг ― 48% взломов), отправка информации на сторонний ресурс (30%) и установка бэкдора (20%). Бэкдоры присутствовали практически во всех атаках на крупные компании, повлекших утечки.

Методы социальной инженерии использовались злоумышленниками в 7% киберинцидентов, на долю которых пришлось 37% скомпрометированных записей. В 2010 году эти показатели составили 11% и 1% соответственно. Больше чем в половине случаев атакующие использовали претекстинг, т.е. выдавали себя за лицо, имеющее право на получение определенной информации (например, представителя техподдержки платежного сервиса). На долю фишинга пришлось 14% несанкционированных проникновений.

К составлению отчета Verizon впервые привлекла партнеров: Секретную службу США, австралийскую федеральную полицию, ирландскую службу информационной безопасности, голландских борцов с высокотехнологичными преступлениями и британских киберкопов.

Четверть участников опроса, проведенного компанией «Код Безопасности» среди российских организаций, убеждены, что наибольшую опасность для бизнеса представляет несанкционированный доступ собственных сотрудников к конфиденциальной информации.

В опросе, нацеленном на выявление актуальных угроз информационной безопасности, приняли участие более 100 представителей российских компаний. Помимо инсайдеров, респонденты опасаются потери/кражи важной информации (23%), зловредов (19%) и кибератак (14%). Риски, связанные с распространением шпионских программ и спама, указали лишь 9% опрошенных.

Не менее интересной оказалась оценка соответствия российских организаций требованиям Федерального закона «О персональных данных». Больше половины участников опроса заявили, что их работодатели уже приняли надлежащие меры по защите внутренней информации. Компании, запустившие соответствующий проект, но не завершившие его реализацию, составили 37% опрошенных. 5% запланировали такие мероприятия на следующий год, 6% пока не думали над этим вопросом.

Наше исследование троянской программы Duqu продолжается. В первой части отчета, опубликованной несколько дней назад мы указали на существование гораздо большего количества драйверов, чем считалось раньше, а также сделали выводы о возможном наличии других модулей. Кроме того, мы пришли к выводу, что в отличие от массового распространения, как это было со Stuxnet, Duqu атакует только крайне малое число целей.

Однако прежде чем сообщить о наших очередных находках, я должен выразить глубокое уважение к работе, проделанной венгерской исследовательской лабораторией Crysys. Именно они были первыми, кто исследовал компоненты Duqu и подготовил великолепный отчет, который затем был предоставлен ими другим антивирусным компаниям и стал основой для дальнейших исследований. К сожалению, наша компания не была в числе первых получателей этого отчета, но тем интересней эта задача для нас сейчас – выяснить про Duqu всё.

Наши эксперты продолжают проводить глубокий анализ всех файловых компонентов Duqu и находят все больше и больше подтверждений его сходства со Stuxnet. Детальный отчет с анализом работы файлов и их структуры находится в процессе подготовки и будет опубликован позже. Эта часть исследования – сейчас не самое главное и срочное, гораздо важней понять причины происходящего и ход развития событий.

Прежде всего мы считаем необходимым внести ясность в некоторую путаницу с именами файлов и с самими файлами, относящимися к данному инциденту. Для полного понимания ситуации необходимо знать, что на самом деле речь идет о двух (как минимум) разных вредоносных программах. Все, что было сказано в прошедшие сутки о связи Duqu со Stuxnet, в большинстве случаев относится только к первой из этих программ.

Ее основной модуль по сути состоит из трех компонентов:

• драйвер, который осуществляет внедрение dll в системные процессы;
• dll, которая содержит дополнительный модуль и взаимодействует с центром управления;
• файл конфигурации.

Именно этот комплекс и имеет максимальное сходство со Stuxnet, как по внутренней структуре, так и поведению в системе. Однако название Duqu не имеет к основному модулю практически никакого отношения — оно исходит из имен файлов, которые создает в системе совершенно другая вредоносная программа–шпион!

Эта вторая программа в основном является кейлоггером, но также может собирать разнообразную дополнительную информацию. Она была обнаружена у одной из пострадавших компаний вместе с описанным выше основным модулем. С учетом возможностей основного модуля по загрузке дополнительных компонент, на основании этого было сделано предположение о связи этих двух вредоносных программ. В ходе своей работы троянец-шпион сохраняет собранные данные в файлы с именами вида ~DQx.tmp. По этим названиям и было дано имя, под которым теперь подразумевается и основной модуль.

На самом деле код троянца-шпиона свидетельствует о том, что кейлоггер в какой-то степени связан с основным модулем, и вероятней всего он действительно был когда-то им загружен. Что же касается функционала, то это совершенно самостоятельная вредоносная программа, которая может работать и без основного модуля. Точно так же, как и основной модуль может работать без наличия в системе троянца-шпиона. Однако связи между кейлоггером и Stuxnet не столь очевидны, так что его с очень большой натяжкой можно назвать в лучшем случае «внуком», но уж точно никак не «сыном» Stuxnet :)

- Что представляет собой Duqu и какое отношение он имеет к Stuxnet?

Duqu - сложная троянская программа, которая, похоже, была написана создателями скандально известного червя Stuxnet. Её основная цель - действовать в качестве бэкдора в системе, упрощая кражу частной информации. Это его основное отличие от Stuxnet, главной целью которого были диверсии на промышленных объектах. Также важно отметить, что если Stuxnet способен распространтсья с одного компьютера на другой при помощи различных механизмов, Duqu - это троянская программа, которая, судя по всему, не размножается самостоятельно.

- Направлена ли эта программа на оборудование PLC/SCADA? Известно ли, кто или что именно является мишенью программы?

В отличие от Stuxnet, Duqu не нацелен на оборудование PLC/SCADA напрямую, хотя некоторые из его подпрограмм могли бы использоваться для кражи информации, имеющей отношение к промышленным объектам. Duqu, похоже, предназначен для сбора конфиденциальной информации о его мишенях, что может включать практически любые данные, хранящиеся в цифровом формате на ПК жертвы.

- Каким образом Duqu заражает компьютеры? Может ли он распространяться через USB-устройства?

На данный момент мы наблюдаем только его следы в зараженных системах, а не его основной компонент. По-видимому, существует «материнский» дроппер для Duqu, который заражает компьютеры, однако мы пока не располагаем его самплом.

- Есть ли в составе Duqu эксплойт, особенно эксплойт нулевого дня?

Пока мы не обнаружили такового, однако продолжаем анализ. Вредоносный код достаточно сложен, и его анализ требует значительного количества времени.

- Каким образом производители антивирусных решений узнали об этой угрозе? Кто сообщил о ней?

Первое публичное упоминание, о котором нам известно, содержалось в блогпосте некоего венгерского блоггера, который, по-видимому, стал жертвой этой атаки. Позднее он опубликовал больше информации о сертификате, используемом для подписи драйвера Duqu, однако, в конечном счете, удалил все посты, имеющие отношения к этой атаке.

- Когда эта угроза была впервые обнаружена?

Нашими продуктами шпионский компонент (infostealer) детектируется с 14 сентября как Trojan.Win32.Inject.bjyg.

- Сколько существует вариантов Duqu? Есть ли между ними принципиальные отличия?

По-видимому, существует по крайней мере три варианта драйверов Duqu, а также несколько других компонентов. Все они детектируются разными антивирусными компаниями под разными названиями, что создает впечатление существования множества различных вариантов. На момент написания нам было известно об одном компоненте, крадущем конфиденциальную информацию, и трех различных драйверах.

- Говорят, что эта программа направлена именно на центры сертификации. Соответствует ли это действительности? Откуда это известно?

Действительно, существует информация, которая указывает на то, что основной целью Duqu является кража данных с CA, однако на данный момент мы не располагаем информацией, которая однозначно это бы подтверждала.

- По заявлениям Symantec, троянская программа нацелена на определенные организации, возможно, с целью сбора особой информации, которая может использоваться при проведении атак в будущем. Какая информация нужна злоумышленникам, и какие атаки возможны в будущем?

Одно из предположений - Duqu использовался для кражи у центров сертификации сертификатов, которые могут применяться для подписи вредоносного кода, чтобы затруднить его детектирование. На самом деле, backdoor-функционал в Duqu достаточно сложен и может использоваться для гораздо более разнообразных целей. По сути, он может красть все, что угодно.

- C&C-сервер, используемый Duqu, до сих пор активен? Что происходит при обращении зараженной машины к C&C?

C&C-сервер Duqu, раположенный в Индии, более неактивен. Как и в случае с Stuxnet, он был отключен достаточно быстро после распространения новостей о Duqu.

- Почему Duqu работает в течение 36 дней?

Может быть, его автору нравились круглые значения, как, например, 6x6?

- Кто стоит за этой атакой?

Та же группировка, которая создала Stuxnet. Любопытно то, что они, похоже, заинтересовались астрономией; в составе исполняемого файла-шпиона, есть часть JPEG-файла — изображение, полученное с телескопа Hubble (“Interacting Galaxy System NGC 6745”):

На картинке запечатлены последствия прямого столкновения двух галактик (!), которое произошло несколько миллионов лет назад. Об этом можно прочитать здесь.

Продолжение следует...

По данным компании Imperva, в 83% случаев кражи конфиденциальной информации, осуществляемой путем взлома, повинны SQL-инъекции.

Чтобы определить специфику этого способа незаконного проникновения и степень угрозы, исследователи в течение трех кварталов наблюдали работу 30-ти популярных веб-приложений. Полгода интенсивность кибератак по методу SQL-инъекций в среднем составляла 53 запросов в час, а с июля возросла до 71. На пике этот показатель для некоторых приложений увеличивался в 10-20 раз.

Как выяснилось, хакеры постоянно совершенствуют технику проведения SQL-инъекций и научились с успехом обходить простейшие средства защиты, основанные на сигнатурном анализе. Они используют готовые инструменты для автоматизации процесса ― Sqlmap, Havij, а также ботнеты. 58% атак с применением SQL-инъекций проводятся с территории США, 11% ― из Швеции, 8% из Китая. Большинство плацдармов служат нескольким хозяевам, но их единственным назначением является осуществление массовых SQL-инъекций. Среднее время активности веб-узла, контролируемого хакерами, ― 12 часов, медианное значительно короче. Примечательно, что 40% кибератак по методу SQL-инъекций проводятся с участием лишь 10-ти хостов.

Проведенное Imperva исследование показало, что уязвимости, провоцирующие SQL-инъекции, сохраняют свою актуальность. Они весьма опасны, так как их эксплуатация нередко бывает успешной и грозит потерей важной информации. По оценке экспертов, в общее число роковых дефектов на местах приближается к 115 миллионам. Во избежание серьезных неприятностей бизнес-структурам рекомендуется использовать адекватные средства обнаружения попыток SQL-инъекций, защиту от программ-роботов, а также возможно чаще обновлять списки источников угрозы.