Информационный портал ITSZ

Оригинал документа: http://spbit.su/news/n158000/


     
 

Русские хакеры атакуют «овощами»

22.01.2014 07:00
В последнее время вопросы безопасности кредитных карт и персональных данных все чаще касаются обычных граждан. Да и скандалы с утечками и киберпреступлениями все чаще выносятся на всеобщее обозрение, тогда как раньше, к примеру, такие происшествия замалчивались банками. Ведь зачастую для них потери, связанные со снижением доверия клиентов более значимы, чем финансовые. Однако огласка не всегда носит позитивных характер. К примеру, недавняя атака на розничную сеть Target привела к тому, что в правонарушении были обвинены двое россиян, один из которых уже собирается подавать иск за разглашение личных данных.

В конце 2013 года хакерами была атакована крупная розничная сеть Target. В ходе инцидента были похищены данные 70 млн кредитных карт клиентов компании Как оказалось, Target не являлась единственной целью хакеров. Как минимум, ещё три крупных торговых сети также подверглись нападению. Аналитики утверждают, что у вируса Kaptoxa, который и стал инструментом для совершения преступления, русские корни. Среди потенциальных создателей вируса – двое студентов, причем оба – из России. 

«Мы не знаем, сколько в действительности лиц было причастно к атаке на Target. Одна из американских компаний указала на жителя Санкт-Петербурга, как на автора вредоносного кода, который отвечал за разработку вредоносной программы. Впрочем, затем эта информация была опровергнута известным американским журналистом Брайаном Кребсом, который указал на другую персону из России», - рассказал Артем Баранов, ведущий вирусный аналитик ESET. 

По словам экспертов, эта утечка данных стала второй по масштабам в истории США: первый подобный инцидент произошёл в 2006 году. 

«Ущерб от такого инцидента может быть огромным. Так, исходя из нашей методики расчета, величина затрат на реагирование и расследование инцидента составит более $300 000, и это самая мала часть ущерба. Репутационный ущерб и упущенную выгоду мы оцениваем в $0,5-1 млрд. Также компанию могут привлечь к возмещению стоимости перевыпуска пластиковых карт (до $500 млн). Помимо этого на компанию могут наложить штраф местные регулирующие органы, а также по решению суда (или в досудебном порядке) может быть принято решение о каком-либо возмещении ущерба для пострадавших, но эти величины мы не можем посчитать даже приблизительно», - отметил Андрей Прозоров, ведущий эксперт по информационной безопасности компании InfoWatch. 

Как оказалось, код вируса Kaptoxa уже был известен на чёрном рынке хакеров до инцидента. Но хакер придумал собственный метод взлома кассовых терминалов, и, как оказалось, очень эффективный. 

«Судя по функциям вредоносного инструмента, который был установлен на компьютеры Target, нельзя сказать, что он не был изначально ориентирован на кражу данных кредитных карт. По крайней мере, он содержит функции, очень близкие для кардеров, так называемый memory grabber, который позволяет снимать из памяти процессов нужную информацию о кредитной карте при проведении через нее транзакции в POS-терминале», - комментирует Артём Баранов. 

Это далеко не первая атака на мегакорпорации, организованная умельцами-самоучками. Эксперты считают, что при наличии желания и способностей практически любой человек сейчас может стать киберпреступником. 

Корень зла 

Если не брать во внимание студенческие поделки «на колене» для развлечения, то вирусы в основной своей массе пишутся для извлечения материальной выгоды автором. Количество заработанных денег зависит только от таланта вирусописателя. 

Основную массу злоумышленников составляют «мелкие воришки» – авторы троянских программ, ворующих пароли доступа к аккаунтам в социальных сетях, банковским картам. Такие вирусы начали своё распространение ещё в 1997 году, когда хакеры получали доступ к системе паролей AOL. В последнее время большинство троянских вирусов нацелено на получение различных регистрационных данных в сетевых играх. Подобные программы особенно широко распространены в странах Азии, где процент геймеров значительно выше, чем в остальном мире. 

Особую опасность представляют хакеры-одиночки или группы хакеров, пишущих вредоносные программы. Подобные вирусы способны красть пароли к банковским счетам, взламывать различные базы данных или использовать компьютер-носитель для незаконной деятельности злоумышленников. Последний пункт особенно опасен для обычных пользователей – троянская программа может работать абсолютно незаметно, и вы со своего компьютера будете, сами не зная того, рассылать спам по всему миру или принимать участие в DdoS-атаке. 

Для получения доступа к банковским счетам крупных компаний хакеры проводят так называемые точечные атаки. Суть заключается в том, что цель атаки не заражение как можно большего количества компьютеров в сети, а внедрение специального трояна в единственный, специального для этого выбранный, узел сети (сервер). Целью подобных атак не всегда являются банковские счета – любая ценная информация может стать поводом для подобной операции: клиентские базы данных, техническая или финансовая документация. Подобная точечная атака и была совершена с помощью вируса Kaptoxa. Правда, по некоторым данным, сами создатели вируса не участвовали в атаке, а продали свое творение. 

«История с компрометацией крупной американской ритейлерной корпорации Target является поучительной для всех служб безопасности крупных компаний. Злоумышленникам удалось не только проникнуть во внутреннюю сеть компании для установки вредоносного кода, но и сделать это незаметно для security-продуктов. Источники, близкие к расследованию этого крупного инцидента, утверждают, что вредоносный код на компьютеры, которые управляют POS-терминалами, был установлен в конце ноября 2013 года. Он использовал специальные способы, чтобы избежать обнаружения со стороны антивирусных продуктов и брандмауэров. Target не разглашает все детали внутреннего расследования этого инцидента, однако известно, что атакующим удалось проникнуть во внутреннюю сеть компании и заразить компьютеры POS терминалов унифицированным способом.

Однозначно можно констатировать, что атака на Target является делом рук целой преступной группы. Разработанный вредоносный инструмент был спроектирован для конкретной атаки и массового хищения данных кредитных карт и иной конфиденциальной информации клиентов Target. В то же время один из компонентов вредоносного кода уже использовался в другой атаке на терминалы POS, о которой сообщала американская компания VISA в апреле прошлого года. Ранее Target заявляла об атаках на их системы в сентябре прошлого года. Вполне возможно, что злоумышленники проводили вспомогательную разведку для того, чтобы понять, какое ПО установлено на компьютерах жертв и какие уязвимости там существуют. Не исключено, что успех злоумышленникам сопутствовал по той причине, что на компьютерах POS-терминалов установлена устаревшая Windows XP», - комментирует Артем Баранов. 

Зловред зловреду друг 

К самой простой категории зловредов можно отнести вирусы, которые программисты-хакеры пишут для себя, чтобы попробовать свои силы и часто они даже не попадают в сеть. Это обусловлено тем, что подобные вирусы содержат огромное количество ошибок и не несут в себе потенциальной опасности для жертвы. Тем более, простые вирусы легко распознаются большинством антивирусных программ. 

Второй вид – действительно вредоносные программы – трояны, «винлокеры», программы для взлома электронной почты и аккаунтов в социальных сетях. Подобные вирусы обычно пишут студенты, изучающие программирование, либо школьники, благо сейчас появилось много конструкторов вирусов, что позволяет написать свою программу, практически не обладая знаниями в этой сфере. Именно к этому типу вредоносных программ можно отнести большинство вирусов, которые сейчас можно встретить в сети.

Среди них наиболее известны троянцы и сетевые черви.  Троянские программы проникают в компьютер под видом безопасного ПО - трояном может быть любой файл, который скачан из Интернета. Этот вид вируса может мешать нормальной работе компьютера, «сливать» личные данные жертвы злоумышленнику, либо спокойно выполнять свои конкретные задачи, используя зараженный компьютер как инструмент для работы. Сетевой червь – это вирус, распространяемый через локальные или глобальные сети. Этот тип вирусов примечателен тем, что в теле червя могут содержаться другие вредоносные программы. 

Отдельно упомянем про Trojan.Winlock – семейство вирусов, затрудняющее работу с ПК. Эта вредоносная программа блокировала абсолютно всю работу операционной системы, выводя на рабочий стол сообщение о том, что для разблокировки нужно перечислить определенную сумму денег. Первая подобная программа появилась в 1989 году, в наше время пик популярности этого вируса пришёлся на 2010 год. Сейчас очень редко можно встретить подобную программу в сети, так как она легко вычисляется антивирусными программами. 

Наиболее опасны «профессиональные» вирусы. Это полностью отлаженная программа со своим алгоритмом и чётким предназначением. Подобные программы зачастую пишутся людьми, не имеющими прямого отношения к информационной безопасности или программированию. Авторами подобных вирусов вполне могут быть самоучки с изрядной долей таланта.  Примером может послужить и автор вируса Kaptoxa – оба «претендента» на это звание являются студентами. 

«Для того, чтобы написать подобную программу, не обязательно быть гением. В России традиционно сильная математическая школа, поэтому обладая определенными техническими знаниями можно написать разного рода вредоносное ПО. Особенно с учетом того, что в последнее время в сети в свободном доступе находится информация о том, как писать вирусы и что для этого требуется. Все это можно найти на тематических андеграундных форумах. Поэтому, имея навыки программирования и нетривиальные способности к этому, вполне возможно записать собственную троянскую программу и в столь раннем возрасте.

Действовал ли подросток сам или за ним стояли более опытные злоумышленники – сложно сказать, все возможно. Обычно такого рода работа – многоплановая, она требует отладки, дополнительных сервисов. Подобные троянские программы обычно бывают модульными. И разные модули пишут разные люди, которые знакомы со спецификой тех задач, под который требуется разработать тот или иной модуль.

В России уголовная ответственность за большинство деяний, предусмотренных Уголовным кодексом, наступает с 16 лет. Однако по ряду преступлений, например связанных с физическим насилием, возраст уголовной ответственности понижен до 14 лет», - отмечает Руслан Стоянов, руководитель отдела расследования компьютерных инцидентов Лаборатории Касперского. 

Что день грядущий мне готовит? 

На данный момент  невозможно полностью обезопасить сеть от вирусов. Пока будут развиваться Интернет и компьютерные технологии, хакеры будут писать новые вредоносные программы. Поэтому ежедневно ведётся непрерывная работа по поиску новых вирусов. 

Часть зловредов помогают найти сами пользователи, если у них установлено антивирусное программное обеспечение. Дело в том, что новые вирусы не всегда «свежие», а являются лишь модифицированной версией старого трояна или червя. Если антивирусная программа вычисляет подобный зловред, то он заносится в уже существующую базу. 

Антивирусные компании специально запускают в сеть боты – программы, которые заходят на различные сайты в Интернете и собирают вредоносные программы. 

Существует несколько методов вычисления хакеров. Любой взлом оставляет «следы» – IP-адреса, прокси-сервера. Эта информация и служит отправной точкой. Проблема заключается в том, что ни один серьёзный хакер не будет заниматься взломом без соответствующей защиты, поэтому цепочка адресов и прокси-серверов может быть очень длинной и порой приводит к одному из владельцев компьютера-зомби – человека, вовсе непричастного к содеянному. Возможно, именно это и произошло на прошлой неделе, когда подозрения в атаке на Target легли на жителя Петербурга. 

Существует ещё одна проблема при осуществлении подобного поиска – некоторые крупные корпорации могут отказать в выдаче персональных данных пользователя.  Так, в 2008 году Yahoo, ссылаясь на политику конфиденциальности, отказался предоставить личные данные хакера, который подозревался в ряде атак. 

Если хакерская атака выявлена вовремя, но меры по её предотвращению предпринять не удалось, то злоумышленников можно поймать при продаже полученного ими материала – информации, различных баз и т. д. 

Отметим, что ловят хакеров не только для того, чтобы провести расследование и отправить за решетку. Если хакерская атака не нанесла серьезного ущерба, то автора могут пригласить на работу крупные антивирусные компании или правительственные организации, которым, несомненно, нужны талантливые программисты. К слову, именно такое будущее предрекают в программистской среде автору вируса Kaptoxa, если им окажется талантливый студент-самоучка. Некоторые эксперты придерживаются иного мнения. 

«Злоумышленник обязательно понесет ответственность за свои действия. Однако, для этого должны быть проведены оперативно-розыскные мероприятия с фиксацией доказательств. Group-IB, как экспертная организация, оказывает необходимое содействие правоохранительным органам. Талантом написания вредоносных программ данный автор не выделяется: код написан плохо, функциональные возможности вредоносной программы сильно ограничены, несмотря на то, что их хватает для совершения хищений», - отмечает Илья Сачков, генеральный директор Group-IB. 

Если окажется, что к атаке на Target причастны российские хакеры, то по нашему законодательству их может ожидать суровое наказание. 

«В данном случае подобная деятельность подпадает под действия сразу нескольких статей УК РФ. Прежде всего, это статья 273 «Создание, использование и распространение вредоносных компьютерных программ», максимальный срок по ней – 7 лет лишения свободы. Также злоумышленник может быть обвинен в пособничестве в совершении преступления по статье 272 «Неправомерный доступ к компьютерной информации» и в соучастии в мошенничестве – в зависимости от конкретных обстоятельств дела по статье 1593 «Мошенничество с использованием платежных карт» либо по статье 1596 «Мошенничество в сфере компьютерной информации» с максимальным сроком наказания до 10 лет лишения свободы.», - комментирует возможную судьбу злоумышленников Руслан Стоянов.

Автор: Сергей Мелешков (meleshkov@mskit.ru)

Рубрики: ПО, Регулирование, Финансы, Web, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
   
     


Copyright 2004 ITSZ. Все права защищены
Перепечатка материалов приветствуется при ссылке на www.ITSZ.spbit.su
Ресурс разработан и поддерживается компанией Peterlink Web