Эксперты "Лаборатории Касперского" (ЛК) опубликовали итоговый отчет о наиболее значимых кибератаках в 2012 году. Наиболее заметными событиями, по мнению, экспертов стали следующие инциденты, связанные с информационной безопасностью:
1. Flashback: атака на Mac OS X
Несмотря на то что предназначенная для заражения Mac OS X троянская программа Flashback/Flashfake появилась в конце 2011 года, по-настоящему широкое распространение она получила только в апреле 2012 года. Собранные "Лабораторией Касперского" статистические данные говорят о том, что "троянец" Flashback поразил более 700 тыс. компьютеров Mac. Это, по-видимому, самая крупная на сегодняшний день эпидемия вредоносных программ для MacOS X.
После изучения поведения данной сети зараженных компьютеров и способов самого заражения стало ясно, что уязвимость, через которую происходила атака, находится на стороне модуля Java, встроенного в операционную систему от Apple.
Спустя несколько дней компания Apple выпустила сразу несколько обновлений, призваных полностью оградить пользователей от возможности заражения, и на данный момент такой меры хватило, чтобы сеть из зараженных компьютеров поубавилась. Вскоре было выпущено еще одно обновление для Java на OS X, которое не только устраняет все известные уязвимости, но и автоматически отключает Java компоненты, если в них нет необходимости.
2. Flame и Gauss: кибершпионаж на государственном уровне
В середине апреля 2012 года в результате серии кибератак были выведены из строя компьютерные системы нескольких нефтяных платформ на Ближнем Востоке. Ответственное за атаки вредоносное ПО, получившее название Wiper, так и не было найдено. В ходе расследования, эксперты ЛК наткнулись на масштабную кампанию по кибершпионажу, которая теперь известна как Flame.
По мнению специалистов по безопасности, Flame — одна из наиболее сложных угроз за всю историю вредоносного ПО. После полного развертывания ее на компьютере суммарный размер входящих в ее состав модулей составлял более 20 Мб. Эти модули выполняли широкий набор вредоносных функций, таких как перехват аудиоданных, сканирование устройств, подключенных по протоколу Bluetooth, кража документов и создание снимков экрана на зараженной машине. Наиболее впечатляющей возможностью программы было использование поддельного сертификата Microsoft для проведения атаки типа Man-in-the-Middle, нацеленной на службу Windows Update. Это позволяло вредоносной программе моментально заражать компьютеры, работающие под управлением Windows 7 со всеми необходимыми патчами. Сложность этого механизма не оставляла никаких сомнений в том, что программа была создана при государственной поддержке.
Flame и Gauss усложнили и без того непростую ситуацию на Ближнем Востоке, сделав кибероружие важным фактором ее развития. Похоже, что нынешняя геополитическая напряженность имеет мощную кибернетическую составляющую — возможно, даже более мощную, чем можно было ожидать.
3. Взрывной рост числа Android-угроз
Роста числа мобильных угроз, нацеленных на Android, продолжал расти, достигнув максимума в июне 2012 года, когда в ЛК выявили почти 7 тыс. вредоносных программ для этой платформы. Всего в 2012 году идентифицировано почти 35 тыс. вредоносных программ для мобильной ОС — это примерно в шесть раз больше, чем в 2011 году. Вдобавок, это примерно в пять раз больше, чем суммарное число образцов вредоносных программ для Android, полученных с 2005 года.
Такой невероятный рост числа вредоносных программ для Android можно объяснить двумя факторами: экономическим и связанным с самой платформой. Прежде всего сама платформа Android стала невероятно популярной. На ее основе выпускается самое большое число телефонных аппаратов, а завоеванная ею доля рынка превысила 70%. В дополнение к этому открытый характер операционной системы, легкость создания приложений и разнообразные (неофициальные) магазины приложений вместе оказывают негативное влияние на уровень безопасности, заложенный в платформу Android.
Заглядывая в будущее, можно констатировать, что 2013 год станет годом целевых атак против пользователей Android, угроз "нулевого дня" и утечек данных.
4. Утечка паролей из сервисов LinkedIn, Last.fm, Dropbox и Gamigo
5 июня 2012 года сайт LinkedIn, одной из крупнейших в мире соцсетей, специализирующейся на поиске и установлении деловых контактов, был взломан неизвестными злоумышленниками. В результате взлома произошла утечка в интернет хешей более 6,4 млн паролей к пользовательским учетным записям.
Когда DropBox объявил о произошедшем взломе и утечке данных пользовательских учетных записей, это стало очередным подтверждением того, что хакеры охотятся за ценными данными (особенно логинами и паролями пользователей) на популярных веб-сервисах. В 2012 году были осуществлены похожие атаки на сервисы Last.fm и Gamigo. В результате последнего инцидента на общедоступные ресурсы попали более 8 млн пользовательских паролей.
5. Кража сертификатов Adobe
27 сентября 2012 года компания Adobe объявила об обнаружении двух вредоносных программ, подписанных действительным сертификатом Adobe, предназначенным для подписывания кода компании. Сертификаты Adobe хранились с соблюдением правил обеспечения безопасности в особом защищенном хранилище — аппаратном модуле безопасности (HSM, hardware security module). Это специальное криптографическое устройство, значительно затрудняющее проведение атак. Тем не менее злоумышленникам удалось взломать сервер, выполнявший запросы о подписывании кода.
Тот факт, что серверы такой крупной и известной компании, как Adobe, были взломаны подобным образом, говорит о необходимости пересмотреть общепринятые представления о границах возможного для злоумышленников столь высокого уровня.
