В 2013 году госструктуры России потратили на ИБ менее 5% своих ИТ-бюджетов

В 2013 году госструктуры России потратили на ИБ менее 5% своих ИТ-бюджетов

Александр Панасенко

По результатам аналитического исследования, проведенного компанией «Код Безопасности», в 2013 году государственные ведомства потратили на защиту информационных ресурсов около 4,8% своих ИТ-бюджетов. Наиболее востребованными продуктами в госведомствах стали решения класса FW/VPN, на которые было потрачено 27% ИБ-бюджета, и антивирусы (18%).

Примерно одинаковые суммы, а именно 13,2% и 13,13% ИБ-бюджетов, были потрачены на закупку продуктов класса СЗИ от НСД/модули доверенной загрузки и сканеров защищенности соответственно. Около 12% госорганы потратили на решения класса IDM/PKI/SSO, которые обеспечивают эффективное управление доступом к государственным информационным ресурсам. Замыкают рейтинг средства предотвращения вторжений,токены и средства защиты виртуализации, на каждое было затрачено менее чем 3% ИБ-бюджета. Наименее востребованными решениями в госорганах оказались средства предотвращения утечек информации (0,66%).
Рисунок 1. Структура затрат на информационную безопасность по классам продуктов

 

По данным отчета доля ИБ-продуктов российского производства в госзакупках 2013 года составила более 90%. Продукты зарубежных вендоров смогли конкурировать с российскими только в двух категориях: системы IDM/PKI/SSO, где их доля составила около 43%, и средства предотвращения утечек информации (83%).

«Проанализировав открытые данные с сайта госзакупок, мы получили представление о том, как распределяются затраты госведомств на информационную безопасность по классам продуктов. В конечном счете это позволило нам оценить текущую ситуацию на российском рынке ИБ и понять, какую долю рынка в этой структуре занимает «Код Безопасности», – прокомментировал Андрей Голов, генеральный директор компании «Код Безопасности».

Новый червь Crigent заражает Word и Excel и использует Windows PowerShell

Новый червь Crigent заражает Word и Excel и использует Windows PowerShell

Исследователи из Trend Micro  обнаружили  новое семейство вредоносного ПО, заражающего файлы Word и Excel – червь Crigent, так же известный как Power Worm. Вместо того, чтобы создавать или включать выполняемый код, червь использует Windows PowerShell, которая является мощной интерактивной оболочкой/инструментом, поддерживающей все версии Windows. Примечательно, что вся активность Crigent осуществляется именно через скрипты PowerShell, поэтому ИБ-администраторы, следящие за появлением в системе вредоносного ПО, могут пропустить его.

Червь попадает на компьютер в виде инфицированного документа Word или Excel, загруженного пользователем. После открытия он загружает из сети Tor и сервера Polipo два дополнительных компонента – персональный web-кэш/прокси. Злоумышленники маскируют файлы (изменяя их имена), пряча данные в записях DNS. Копии этих файлов хранятся на легитимных хостах облачных сервисов (в данном случае, в Dropbox и OneDrive), а их URL прячется в записях DNS.

Соединения Crigent с C&C-сервисом осуществляется через Tor и Polipo. Используемый URL содержит два идентификатора GUID: {C&C server}/get.php?s=setup&mom={GUID #1}&uid={GUID #2}

Существует несколько способов обнаружения червя внутри системы. Во-первых, подозрение может вызывать присутствие во внутренней сети Polipo и Tor. Стоит отметить, что используемые червем .DOC и .XLS больше не являются расширениями по умолчанию. Версии Office от Office 2007 и выше используют по умолчанию расширения .DOCX и .XLSX, с поддержкой более ранних форматов в целях обратной совместимости. Поэтому присутствие большого количества новых файлов, использующих старое расширение, может быть признаком присутствия Crigent.

Растет активность рекламного трояна Boaxxe

Растет активность рекламного трояна Boaxxe

Александр Панасенко

Международная антивирусная компания ESET предупреждает о возросшей активности трояна Boaxxe, который заражает пользователей, перенаправляя их на рекламные сайты. Win32/Boaxxe.BE – семейство вредоносных программ, используемых киберпреступниками для перенаправления пользователя на рекламные сайты ради получения платы от рекламодателя (эта схема называется «кликфрод»).

Данная программа попадает в систему через вредоносные ссылки, которые активно распространяются на сомнительных или зараженных сайтах, а также через спам-рассылки. С сентября 2013 года троян Boaxxe распространяется силами участников одной из мошеннических партнерских программ (т.н. «партнерок») в русскоязычном сегменте сети.

За последние четыре месяца, в течение которых эксперты ESET отслеживали активность Boaxxe, к данной партнерской программе присоединились более сорока новых участников.

Согласно проанализированной статистике, за два месяца один из участников заразил трояном Boaxxe свыше 3300 устройств. Если экстраполировать эти данные, то получается, что лишь за счет сорока новых «партнеров» заражению подверглись не менее 100 000 пользователей.

Троян Boaxxe реализует два типа кликфрода – автоматический и инициированный пользователем. В первом случае клики на рекламные ссылки автоматически генерируются без ведома и участия пользователя, в течение всего времени работы зараженной системы. Во втором случае переход по рекламной ссылке инициирует сам пользователь – он вводит поисковый запрос в одну из легальных поисковых систем, после чего троян подставляет в результаты выдачи рекламные сайты вместо искомых.

При автоматическом кликфроде прибыль злоумышленников значительно выше – согласно статистике активности вышеупомянутого участника партнерки, за два месяца его прибыль составила $200 за автоматический кликфрод и всего $50 за обычный, инициированный пользователем.

На данный момент заинтересованность киберпреступников в Boaxxe подтверждается увеличением числа источников его распространения. Пиковая активность, представленная на графике, соответствует активности некоторых участников партнерской программы. Так, один из них перед Новым годом запустил масштабную спам-кампанию для широкого распространения трояна.

Стоит отметить осторожное поведение Boaxxe в захваченной системе – программа использует различные механизмы внедрения и заражения, в зависимости от используемого браузера, а также умеет скрываться от антивирусных сканеров.

Кроме того, троян избегает обнаружения самим пользователем. Так, когда пользователь выполняет поисковый запрос с использованием ключевого слова, Win32/Boaxxe.BE отправляет это слово в собственную поисковую систему, которая возвращает список подходящих рекламных сайтов, ссылки на которые и подставляются в поисковую выдачу.

При нажатии на такую ссылку пользователь не успевает увидеть легальную страницу, на которую он кликнул – вместо этого троян сразу перенаправляет его на одну из рекламных страниц, которые более-менее соотносятся с изначальным запросом. При отсутствии рекламных сайтов, относящихся к данному ключевому слову, перенаправление не выполняется.

Что примечательно, если в поисковой выдаче показываются ссылки на такие сервисы, как Wikipedia, Facebook или Twitter, содержание которых, скорее всего, хорошо знакомо пользователю, перенаправление также не будет осуществляться.

В итоге жертва Boaxxe может месяцами пополнять карманы злоумышленников и даже не подозревать об этом.

Подражатель Cryptolocker использует слабую криптографию

Подражатель Cryptolocker использует слабую криптографию

У криптографического трояна-вымогателя Cryptolocker, как у маньяка-убийцы, появляются свои подражатели, которые выдают себя за оригинал. Они пытаются копировать «почерк мастера», используя его фирменные приемы. При этом не гнушаются работать в новых регионах, в том числе в России, которые обходил стороной оригинальный Cryptolocker.

Для пользователей это означает, что в случае шифрования файлов с требованием выкупа появляется шанс спасти информацию бесплатно. Дело в том, что подражатель использует слабые криптографические стандарты, объяснил Андрей Комаров, исполнительный директор стартапа IntelCrawler.

Распространение нового трояна началось в декабре 2013 года. С тех пор обнаружено более 50 различных билдов, купленных на подпольных форумах. Основная часть заражений приходится на Россию.

После заражения компьютера троян копирует документы пользователя, зашифровывает копии с добавлением расширения .perfect и удаляет оригиналы. В каждой папке с документами размещается файл contact.txt с адресом электронной почты хозяина трояна, у которого есть ключ для расшифровки файлов.

Жертвам предлагают перевести до $150 на счет Perfect Money или QIWI VISA Virtual Card. Они должны сообщить имя хоста и уникальный идентификатор компьютера, который указан в том же файле contact.txt.

По мнению специалистов, троян разработали любители. Его невозможно сравнить с профессиональной разработкой авторов Cryptolocker. Те задействовали сеть C&C-серверов и используют для зашифровки файлов нерушимую комбинацию AES 256 бит и RSA 2048 бит.

Подражателю хватило ума только на библиотеку TurboPower LockBox, это криптографическая библиотека для Delphi. В частности, они использовали уязвимый шифр AES-CTR. Андрей Комаров говорит, что сейчас пишет универсальную программу для расшифровки файлов, она будет работать на любом компьютере. До ее выхода рекомендуется переименовать зашифрованные файлы и сменить имя хоста у компьютера.

Trojan.Zadved.1 демонстрирует навязчивую рекламу

Trojan.Zadved.1 демонстрирует навязчивую рекламу

Александр Панасенко

Компания «Доктор Веб» сообщает о распространении вредоносной программы Trojan.Zadved.1, представляющей собой плагин к браузерам, который якобы должен защищать пользователя от вредоносных и потенциально опасных сайтов. На самом деле это приложение выполняет прямо противоположную функцию: троянец предназначен для подмены поисковой выдачи, перенаправления пользователя на сайты рекламодателей по щелчку мыши в окне браузера и демонстрации назойливой рекламы.

Первые образцы вредоносной программы Trojan.Zadved.1 были добавлены в вирусные базы «Доктор Веб» еще в начале ноября. Этот троянец распространяется в виде надстройки к браузерам под названием SafeWeb. Согласно сообщениям ее разработчиков данная надстройка предназначена для «обеспечения безопасности пользователя в Интернете». После загрузки и запуска приложения на экране появляется окно инсталлятора, устанавливающего расширение на компьютер потенциальной жертвы. Наиболее актуальная версия инсталлятора Trojan.Zadved.1недавно появилась в раздаче вредоносной партнерской программы installmonster.ru (организованной создателями другой партнерской программы — zipmonster.ru, в рамках которой распространяются троянцы семейства Trojan.SmsSend). Следует отметить, что троянские приложения появляются в раздаче installmonster с завидной регулярностью.

Новые угрозы для Android превращают гаджеты в инфицированных ботов

Новые угрозы для Android превращают гаджеты в инфицированных ботов

Обнаружены новые угрозы, превращающие Android-смартфоны в следящие устройства с множеством ошибок. Так, по данным исследователей из компании Bitdefender, одна из угроз исходит от ПО под названием Widdit, которое используют разработчики более 1000 приложений. Widdit включает в себя загрузчик, который в момент установки требует огромное количество ненужных ему привилегий.

«Эти привилегии необязательно используются в наборе ПО разработчика (software development kit, SDK), однако эти запросы гарантируют, что в дальнейшем любой компонент, введенный в SDK, будет работать из коробки, — отметил эксперт компании Bitdefender Влад Бордиану в блоге. – Среди таких привилегий мы обнаружили разрешение на отключение экрана блокировки, запись аудио, а также доступ к истории браузера и закладкам».

Приложения, использующие Widdit, также могут исполнять специальный код при перезагрузке устройства, получать текстовые сообщения или совершать звонки в момент установки или удаления приложения. Помимо этого, Widdit использует незашифрованный HTTP-канал для загрузки обновлений, что, по мнению специалистов, позволяет злоумышленникам заменять легитимные обновления вредоносными файлами, а также осуществлять атаки человек-посередине.

Мобильные троянцы нашли новый путь к банковским счетам пользователей

Мобильные троянцы нашли новый путь к банковским счетам пользователей

Александр Панасенко

Мобильный троянец Svpeng, обнаруженный специалистами «Лаборатории Касперского» летом этого года и обладающий способностью красть деньги у пользователей смартфонов Android непосредственно с банковских счетов, стал еще хитрее – теперь он способен выманивать у пользователей их учетные данные от систем онлайн-банкинга при помощи фишинга.

Новый функционал этого троянца проявляется в том, что зловред подменяет открытое окно легального банковского приложения на фишинговое. Соответственно, все данные учетной записи системы интернет-банкинга, которые пользователь вводит в этом поддельном окне, отправляются прямиком к злоумышленникам.

Подобным же образом троянец Svpeng пытается украсть и данные банковской карты жертвы: при запуске приложения Google Play пользователь видит на экране смартфона окно, в котором ему предлагается ввести номер и секретный код своей платежной карты. Этот фишинговый прием также позволяет мошенникам получить легкий доступ к финансовым данным доверчивых или невнимательных пользователей.

Фишинговый функционал троянца Svpeng в действии

 

За три месяца существования троянца Svpeng «Лаборатория Касперского» обнаружила 50 модификаций этой вредоносной программы, а защитный продукт Kaspersky Internet Security для Android за это же время заблокировал более 900 установок троянца.

Примечательно, что в случае попадания на смартфон этот зловред предпринимает меры для самозащиты, усложняющие его обнаружение и удаление из системы. В частности, Svpeng использует ранее неизвестную уязвимость в платформе Android, благодаря которой может предотвращать сброс настроек телефона до заводских и препятствовать своему удалению. Единственным «противоядием» в этой ситуации является антивирус – Kaspersky Internet Security для Android способен удалить эту вредоносную программу из смартфона несмотря на все ее ухищрения.

«Мобильный троянец Svpeng распространяется с помощью SMS-спама, в котором злоумышленники нередко используют приемы социальной инженерии: имена известных сервисов, интригующие предложения, прикрытие знакомыми именами. Все это не должно вводить пользователя в заблуждение. Переход по ссылке в SMS является одним из наиболее распространенных способов заражения вредоносными программами, а потому делать этого никогда не стоит», – советует Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

СОИБ: Первый зловред для Firefox OS

Первый зловред для Firefox OS

17-летний хакер Шантану Гауде (Shantanu Gawde) написал первую в мире вредоносную программу для Firefox OS.

Демонстрацию программы вундеркинд проведет на конференции The Ground Zero (G0S) 2013, которая состоится 7-10 ноября в Нью-Дели (Индия). Согласно анонсу, созданный PoC-код способен инфицировать смартфон ZTE One в удаленном режиме и получить доступ к нему с любого ботнета для следующих действий:

Команды на доступ к SD-карте
Копирование всех контактов
Загрузка и выгрузка фотографий, музыки и видео
Геолокация и отслеживание координат пользователя
Удаленное управление FM-радио с возможностью испугать человека

По словам Гауде, все это может привести к серьезным проблемам для пользователей Firefox OS, потому что не существует способа засечь подобную атаку или блокировать ее.

К презентации автор обещает живую демонстрацию эксплойта, а также попробует портировать Firefox OS на смартфон Nexus и поискать новые векторы атаки. В случае успеха он их тоже добавит в презентацию.

Кстати, разработчики приложений для Firefox OS могут претендовать на получение бесплатных смартфонов от Mozilla. Наверное, талантливому подростку можно выслать сразу два.

ЛК раскрывает таргетированные атаки против Японии и Южной Кореи

ЛК раскрывает таргетированные атаки против Японии и Южной Кореи

Александр Панасенко

Исследовательский центр «Лаборатории Касперского» выпустил отчет, раскрывающий действия кибершпионской группы Icefog, нацеленной на организации Южной Кореи и Японии и наносящей урон поставщикам компонентов оборонной отрасли США. Активность группы началась в 2011 году, а в середине 2012-го ее деятельность приобрела новый масштаб.

«За последние несколько лет мы стали свидетелями множества таргетированных атак, бьющих по самым различным отраслям. Во многих случаях злоумышленники годами присутствовали в корпоративных и правительственных сетях и перехватывали терабайты ценных данных, – прокомментировал Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». – Но тактика набегов Icefog демонстрирует новую тенденцию: небольшие группы хакеров начинают охотиться за информацией с «хирургической» точностью. Атака продолжается от нескольких дней до недель и, получив желаемое, злоумышленники подчищают следы и уходят. Мы ожидаем роста числа подобных групп, специализирующихся на фокусированных атаках – что-то вроде современных кибернаемников».

Исследование показывает, что среди целей группы были подрядчики оборонной отрасли (например, корейские Lig Nex1 и Selectron Industrial Company), судостроительные компании (DSME Tech, Hanjin Heavy Industries), морские грузоперевозчики, телекоммуникационные операторы (Korea Telecom), медиа-компании (Fuji TV) и Японо-Китайская Экономическая Ассоциация. Взламывая компьютеры, киберпреступники перехватывают внутренние документы и планы организации, данные учетных записей почты и пароли для доступа к внешним и внутренним ресурсам сети, а также списки контактов и содержимое баз данных.

Во время атак злоумышленники используют вредосноные программы семейства «Icefog» (так же известного, как «Fucobha»). Специалисты «Лаборатории Касперского» обнаружили версии «Icefog» как для Microsoft Windows, так и для Mac OSX.

Тогда как в случае других кибершпионских кампаний компьютеры жертв оставались зараженными месяцами или даже годами, позволяя злоумышленникам постоянно перехватывать данные, операторы Icefog обрабатывают свои цели одну за другой: находят и копируют только необходимую информацию, после чего самоустраняются. Чаще всего операторы заранее знают, что им требуется на зараженных компьютерах. Они ищут определенные имена файлов, показывая навыки японского и корейского языков, и когда находят то, что искали — передают на управляющий сервер.

Эксперты «Лаборатории Касперского» с помощью техники «DNS-sinkhole» получили возможность мониторинга 13 из более чем 70 доменов, используемых злоумышленниками. Это предоставило дополнительную статистику по количеству и географии жертв в мире. Также на управляющих серверах в открытом доступе, но в зашифрованном виде были обнаружены журналы с описанием каждого действия, совершенного атакующими на зараженных компьютерах. В некоторых случаях это помогло определить цели атаки и идентифицировать жертв. В дополнение к Японии и Южной Кореи, было зарегистрировано множество попыток соединений из Тайвани, Гонконга, Китая, США, Австралии, Канады, Великобритании, Италии, Германии, Австрии, Сингапура, Белоруссии и Малайзии. В общей сложности, эксперты «Лаборатории Касперского» наблюдали более 4000 уникальных IP-адресов зараженных машин, принадлежащих сотням жертв, 350 из которых пользовались Mac OS X, и лишь несколько десятков – Microsoft Windows.

Основываясь на ряде улик, оставленных атакующими, специалисты «Лаборатории Касперского» предполагают, что члены этой группы могут находиться в одной из трех стран: Китай, Южная Корея или Япония. Стоит также отметить, что практически все внутренние сообщения, найденные во вредоносной программе, были на китайском языке, так же как и ее код с основным языком операционной системы сервера управления Icefog.

Следы нового трояна для Mac OS

Следы нового трояна для Mac OS

В сети распространяется новый троян, направленный против компьютеров Mac. Вредоносная программа замаскирована под фотографию с изображением целующейся парочки. Расширение .app, которое позволило бы опознать именно программу, а не графический файл, не отображается при нормальных настройках компьютера.

При клике на иконку изображения троян устанавливается на компьютер пользователя и открывает бэкдор, а также выходит на связь с командным сервером, контролируемым киберпреступниками. Таким образом, хакеры получают возможность удаленного доступа к содержимому компьютера пользователя.

Как сообщает Лайза Майерс, исследователь компании Intego, специализирующейся на защите Mac, механизмы распространения трояна пока неизвестны. Майерс предполагает, что речь может идти о целенаправленной атаке, и изображение целующейся парочки жертвы получают в сообщениях электронной почты. Так же киберпреступники могут изучать поведение своих жертв в сети и размещать троян на сайтах, которые посещаются объектами атаки особенно часто.

Специалистам Intego удалось установить контакт с командным сервером хакеров (в настоящий момент он отключен). Проанализировав информацию о подключившейся к нему системе, сервер загрузил на использованный для теста компьютер Intego логотип хакерской группировки «Сирийская электронная армия». Впрочем, аналитики пока не спешат с выводами. Сирийские хакеры склонны громогласно объявлять о своих акциях, существенно преувеличивая успехи. Пока же они никак не прокомментировали ситуацию с новым трояном.