Информационная безопасность: хроника 24-30 марта

Удивились специалисты по инфобезу, удивились владельцы Android-смартфонов, но больше всех удивились юристы… Действительно: ситуация неординарная. На прошлой неделе стало известно, что эксперты компании Trend Micro выявили несколько Android-приложений, которые после установки на смартфоны тайком от пользователя генерировали виртуальные монеты криптовалюты Litecoin. Причем «майнинг» запускался только когда аппарат подключали к электросети для подзарядки: это убирало риск того, что обладатель Android-аппарата заметит рост энергопотребления.

Удивились специалисты по инфобезу, удивились владельцы Android-смартфонов, но больше всех удивились юристы… Действительно: ситуация неординарная. На прошлой неделе стало известно, что эксперты компании Trend Micro выявили несколько Android-приложений, которые после установки на смартфоны тайком от пользователя генерировали виртуальные монеты криптовалюты Litecoin. Причем «майнинг» запускался только когда аппарат подключали к электросети для подзарядки: это убирало риск того, что обладатель Android-аппарата заметит рост энергопотребления.

«Майнинговый» код был размещен в популярных приложениях Songs и Prized, имеющих высокие рейтинги в Google Store. В Trend Micro предполагают, что добычей криптовалюты занимались «тысячи устройств». Теперь юристы озадачены: в какой мере подобные действия можно считать мошенничеством? С одной стороны, вроде как все делалось без ведома пользователей. С другой стороны, особых убытков владельцы смартфонов не несли, так что хороший адвокат может заставить суд посчитать это таким неординарным способом взимания платы с пользователей. А что, вполне себе нормальная бизнес-модель…

Надо сказать, что сами специалисты по инфобезу скептически относятся к собственным возможностям. Специализирующаяся на защите информации компания SafeNet представила результаты исследования, в рамках которого прогнозы известных специалистов по информбезопасности (ИБ) сопоставлены с данными крупных компаний о взломах их серверов. Как выяснили авторы обзора, 74% опрошенных специалистов по ИБ считают, что созданная ими система защиты данных компании эффективна, но треть из них признаются, что их система в прошлом подвергалась взломам.

Также исследование показало, что IT-директора многих компаний скептически относятся к возможностям современных технологий по выявллению и предотвращению взломов. Только 19% опрошенных полностью уверены в защищенности своих данных, а 33% сомневаются в безопасности информации. При этом 49% участников опроса не верят, что какие-либо технологии защитят компании от взлома их системы. 59% опрошенных не отрицают возможность успешной атаки кибермошенников на их собственную систему.

«В цифровом мире, где каждый из нас ежедневно является частью глобального информационного пространства и осуществляет регулярный обмен данными – от электронной коммерции и финансовых транзакций до общения в социальных сетях, подход построения защиты сети по периметру устарел, – говорит директор SafeNet по России и СНГ Сергей Кузнецов. – Данные стали мобильными, и периметр стал растворяться. Хакеры используют новейшие технологии, поэтому сегодня важно не только стараться предотвратить взлом или проникновение в корпоративную сеть, но и развивать стратегию защиты информации в обстановке высокой вероятности утечки или компрометации».

Также на минувшей неделе много сообщалось об успешной кибератаке Windigo, направленной на Linux-серверы. Как сообщила антивирусная компания Eset, только в России было заражено не менее 800 серверов. По словам экспертов, в кибератаке Windigo было задействовано шесть видов вредоносного ПО и сервисов. Россия заняла 8-ю строчку в списке государств, где находятся серверы, зараженные трояном Linux/Ebury, и вошла в тройку стран, где обнаружено больше всего машин, пострадавших от трояна Perl/Calfbot.

Троян Linux/Ebury поражает серверы под управлением Linux, давая злоумышленникам полный доступ к системе через командную строку и возможность кражи учетных данных SSH. В отличие от него, Perl/Calfbot компрометирует все ОС, которые имеют в своем составе установленный пакет Perl. Задача этого трояна – рассылка спама. Как говорят участники рабочей группы Eset, вредоносное ПО Windigo разработано очень высокопрофессионально. Использованы техники сокрытия присутствия в системе, переносимость между различными платформами, криптография.

Веб-сайты, которые хостятся на серверах, зараженных Windigo, действуют по-разному в зависимости от того, какая операционная система установлена у пользователя. Например, Windows-ПК заражаются вредоноснама, использующими уязвимость в браузере или плагине к нему. Пользователь OS X будет перенаправлен на сайт знакомств, а iPhone – на порностраницу.

Как предполагают в Eset, атака, ныне называемая Windigo, началась еще в 2011 году. На протяжении ряда лет ее организаторы, оставаясь незамеченными, смогли скомпрометировать более 25 тыс. Linux- и UNIX-серверов и множество устройств, работающих под другими ОС, включая Windows, OS X, OpenBSD, FreeBSD и Linux. Столь «многоплатформенная» атака, по-моему, встречается впервые. В числе пострадавших от Windigo оказались такие организации, как cPanel и Linux Foundation. Что примечательно, для доступа к серверам содатели Windigo вообще не использовали уязвимости – лишь украденные учетные данные и ранее скомпрометированные приложения.

«Мы установили, что атакующие смогли провести операцию установки вредоносной программы на десятках тысяч серверов, – говорит Марк-Этьен Левейе, вирусный аналитик Eset. – Использование антивирусных продуктов и механизмов двухфакторной аутентификации для рабочих станций является обычным явлением, но, к сожалению, эти способы редко применяют для защиты серверов. Как следствие – злоумышленники могут установить вредоносный код и похитить аутентификационные данные учетных записей».

Сейчас по всему миру работает около 10 тыс. зараженных Windigo серверов, пишет CNews. Ежедневно на набор эксплойтов перенаправляются свыше 500 тыс. посетителей скомпрометированных сайтов. Windigo отвечает также за рассылку порядка 35 млн спам-писем ежедневно. Специалисты Eset утверждают, что очистить зараженную Windigo систему непросто: требуется полная очистка памяти, переустановка ОС и всех программ. Также придется сменить все используемые пароли и ключи, поскольку существующие учетные данные, скорее всего, будут скомпрометированы.

А вот у лидеров рынка интернет-рекламы, сильно развившейся в последние пару-тройку лет, другие проблемы. Как минимум 36% рекламного трафика во всем мире оказалось мошенническим. Проще говоря, 36% всех расходов рекламодателей на интернет-рекламу – это деньги, потраченные впустую. По оценке компании White Ops, в прошлом году только в США мошенники заработали на рекламном фроде около $6 млрд – 14% всего рынка интернет-рекламы в этой стране. Ущерб от мошенников для интернет-компаний и рекламодателей во всем мире оценивается более чем в $10 млрд в год.

Как пишет российское деловое издание «Ведомости», цифру в 36% поддельного рекламного интернет-трафика указало Interactive Advertising Bureau (IAB). Фальшивый рекламный трафик создается при помощи ботов – чаще всего это зараженные вирусами ПК. Собственно, сама схема хорошо известна: мошенники создают специальные сайты, нагоняют на них «мусорный» трафик и собирают платежи с рекламодателей через посредников, которые агрегируют различные площадки и перепродают на них рекламные места. Другое дело, что до сих пор мало кто полагал, каких масштабов достигло подобное мошенничество.

На постсоветском пространстве подобный анализ пока не проводился. Но применительно к России определенные оценки имеются. Так, по данным Ассоциации коммуникационных агентств России (АКАР), в 2013-м рекламный рынок в Рунете составил 71,7 млрд руб., из них 51,7 млрд – это продажи контекстной рекламы, 20,1 млрд – медийной рекламы. Большую часть рекламного рынка рунета занимают крупнейшие игроки – «Яндекс» и Mail.ru Group.

«Яндекс» оценивает долю фродовых кликов по рекламным объявлениям в 20%, этот уровень почти не поменялся за последние несколько лет, говорит руководитель сейлз-маркетинга этой компании Елена Завьялова. Но рекламодатели за эти клики не платят, крупнейшие площадки умеют бороться с фродом, считает она. В свою очередь, глава бизнес-подразделения «Почта и портал» холдинга Mail.ru Group Анна Артамонова свидетельствует: проблема фрода обычно возникает в случае, когда рекламодателю предлагается «просто трафик» по низкой цене без внятного объяснения его источника.

Но понятно, что эти дамы – лица заинтересованные. Потому «Ведомости» приводят и альтернативные мнения. Так, бывший топ-менеджер крупной рекламной сети считает, что уровень поддельного трафика в Рунете вряд ли меньше общемирового и составляет не менее 30%. Методы мошенников постоянно совершенствуются, а возможности площадок по пресечению фрода ограниченны, говорит он.

С тем, что фродовые запросы вполне могут достигать трети рекламного трафика, соглашается управляющий партнер компании «Ашманов и партнеры» Игорь Ашманов. Он оценивает доходы российских рекламных мошенников в $100 млн ежегодно: «На этом рынке объемом не менее $100 млн работают одни и те же люди, они могут зачастую нанимать лучших математиков и программистов, способных создавать технологии, которые обходят защиту рекламных сетей».

Сложнее всего сейчас бороться с фродом в мобильной рекламе, свидетельствует управляющий директор рекламного агентства Resolution (Москва) Вадим Мельников. По его словам, инструментов по фильтрации ботов предостаточно, но универсальных рецептов тут быть не может. «Это игра в “казаки-разбойники” на очень большие деньги», – заключает он.

Виктор ДЕМИДОВ

Как вам новость?