Инциденты

Мирт и гуава: Эпидемия в динамике

История вокруг червя Stuxnet в последние дни освещалась всеми средствами массовой информации много и по-разному. Слова «Иран», «атомная станция в Бушере» и «кибероружие» уже неразрывно связаны с Stuxnet. Одним из основных пунктов «иранской» теории называется то, что Иран является эпицентром эпидемии – в нем отмечено наибольшее количество зараженных компьютеров.

Но дело в том, что любые оценки по уровню зараженности могут строиться только на основании тех данных которые антивирусные компании получают с клиентских станций, в тех странах где у этой компании есть клиенты. Соответственно, если клиентов нет или распространенность антивируса крайне мала, то любые оценки будут содержать весьма значительные погрешности.

Получить более-менее адекватные данные можно только при анализе аналогичных данных от нескольких компаний-источников, зная при этом им «рыночное положение» в рассматриваемой стране.

Однако, практически все источники сходятся в том, что наиболее заражены червем три страны – Иран, Индия, Индонезия. Кто-то ставит на первое место Иран, кто-то Индию. К сожалению при этом забывается о том, что эпидемия Stuxnet не статична. Она продолжается и сейчас, червь продолжает распространяться от компьютера к компьютеру. Какая-то часть ранее зараженных систем уже вылечена, какая-то еще нет.

Наблюдая за эпидемией в динамике, анализируя данные за три месяца можно попробовать оценить изменения, и возможно, попробовать установить страну из которой началось первоначальное распространение червя.

Данные собранные при помощи нашей cloud –технологии Kaspersky Security Network позволяют увидеть несколько интересных фактов, которыми мы хотим с вами поделиться. Необходимо отметить, что это только данные полученные при работе наших персональных продуктов.

Это двадцатка стран за все время с момента добавления детектирования Stuxnet в наши антивирусные базы (в начале июля) и до сегодняшнего момента. Индия, Иран и Индонезия составляют лидирующую тройку. Но Иран находится не на первом месте и даже не на втором.

Но как я сказал, это статистика за все время. На самом деле эпидемия развивается в разных странах по разному и в самом начале разрыв между тройкой лидеров был не столь значителен.

Мы разбили весь период наблюдения на участки по 5 дней. Вот так выглядела пятерка стран в первые пять дней с момента обнаружения Stuxnet:

India – 8565
Indonesia – 5148
Iran – 3062
Afganistan – 533
Azerbaijan – 454

А вот так выглядит пятерка лидеров по заражениям за последние 5 дней (20-25 сентября).

India — 8179
Indonesia — 3052
Kazakhstan — 1340
Russia — 1138
Iran– 765

Количество заражаемых систем в Индии и Индонезии также снизилось, зато налицо стремительное развитие эпидемии в Казахстане и России!

На следующих графиках представлена динамика развития эпидемии червя в разных странах мира.

Четко видно, что Ирану удалось практически в три раза замедлить развитие эпидемии и вылечить много систем. При сохранении подобных показателей он довольно скоро перестанет быть одним из центров эпидемии. Индия же наоборот, продолжает оставаться примерно на том же уровне, но положительным моментом является то, что эпидемия не идет по нарастающей. Индонезия, как и Иран также показывает успехи в остановлении распространения червя.

Этого всего, увы, нельзя сказать о России и Казахстане. Эти две страны сейчас являются наиболее уязвимыми и в них эпидемия только вступает в фазу своего максимального развития. Это «новые» для червя страны и очевидно, что свое распространение по миру он начинал не из них.

Аналогичный график для нескольких других стран:

Здесь видно, что в трех странах – Бангладеш, Ираке и Сирии эпидемия также развивается по нарастающей. Первые заражения в Бангладеш были отмечены уже после обнаружения червя и, вероятно попал он туда из соседней Индии. Эпидемии в Ираке и Сирии, вероятно, вызваны проникновением червя из Ирана.

Изменение количества инцидентов с Stuxnet в сентябре по сравнению с июлем:

India: -5%
Indonesia: -41%
Iran: -75%
Russia: +308%
Kazakhstan: +1711%
Afganistan:-55%
Uzbekistan:-37%
Syria: +47%
Bangladesh: +370% (по сравнению с августом)
Pakistan: +2%
Azerbaijan:-73%
Iraq: +35%

К сожалению, можно констатировать, что червь Stuxnet был обнаружен уже после того как состоялся пик его распространения в Иране и Индии. Сейчас крайне трудно определить страну и момент его первого появления.

Очевидно, что антивирусные компании застали его в этих странах уже на «спаде». Динамика же развития эпидемии показывает, что началась она минимум за 3-4 месяца до июля 2010 года – быстрее червь бы просто не смог набрать такую массу зараженных систем, которую мы наблюдаем.

Мирт и гуава: Эпидемия в динамике

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике