История и происхождение компьютерных эпидемий

На заре появления Интернета уже существовали компьютерные вирусы и компьютеры подвергались заражению. Но все это был «детский сад», и серьезно вирусов в то время не опасались. Первой ласточкой стал «Чернобыль», повлекший за собой в 1998 году первую повальную эпидемию среди Windows-машин. Для многих тогда этот факт стал откровением – пользователи были уверены, что ОС Windows защищена и вирусы там не могут завестись просто потому что все программное обеспечение Microsoft распространяется в дистрибутивах. Кстати, подобных иллюзий сейчас придерживаются многие пользователи компьютеров Apple.

Именно после этого случая мы с коллегами поняли, что Интернет – довольно уязвим и там могут происходить довольно страшные вещи. Например, Интернет можно «положить» целиком или в каком-то отдельно взятом регионе. Над нами тогда смеялись. Но не долго. Достаточно быстро стало понятно, что можно «уронить» не только компьютерную сеть компании, но и целой страны. В 2003 году на выходные от Интернета была отключена Южная Корея, в 2007 году такая же ситуация произошла в Эстонии.

Сегодня необходимо признать, что в области защиты корпоративных пользователей сложилась парадоксальная ситуация – они защищены хуже, чем персональные пользователи и более уязвимы даже для крайне примитивных атак. Причинами этого парадокса является то, что если для каждого персонального пользователя уровень его защиты определяется только в зависимости от тех мер, которые предпринимает он сам, то уровень защиты любой организации определяется по наиболее «слабому» звену.

В первом квартале 2011 года стало понятно, что этот год пройдет «под флагом» атак на различные организации. Наиболее громкими стали взломы компаний HBGary и RSA (которые сами специализируются в области ИТ-безопасности). Кроме этого жертвами различных инцидентов стали BMI, Lush, сайты Play.com, wiki.php.net и т.д. В результате успешных атак в руках злоумышленников оказалась различная информация (в том числе персональные данные пользователей), которая, хотя и не дает возможности быстрого обогащения, но представляет интерес для киберпреступников.

Второй квартал 2011 года многим запомнится одной из самых крупных утечек персональных данных, произошедшей в результате взлома сервисов, принадлежащих компании Sony: PlayStation Network, Qriocity и Sony Online Entertainment. По оценкам самой Sony, в руках злоумышленников могли оказаться данные 77 миллионов пользователей сервисов PSN и Qriocity.
Объектами целевых атак в 2011 году в основном были американские компании и ведомства, однако и другие страны мира также пострадали от крайне серьезных инцидентов. На этом фоне особо выделяется история с атакой против японской корпорации Mitsubishi Heavy Industries, которая помимо всего прочего является производителем военной техники.

По данным, обнародованным в японской прессе, было заражено около 80 компьютеров и серверов заводов, которые занимаются производством оборудования для подводных лодок, ракет и атомной промышленности. Например, вредоносные программы обнаружили на судостроительном заводе в Кобе, специализирующемся на производстве подводных лодок и компонентов для атомных станций. Атаке хакеров подверглись заводы в Нагое, где делают ракеты и ракетные двигатели, а также завод в Нагасаки, производящий сторожевые корабли. Кроме того, зловреды были обнаружены и на компьютерах головного офиса компании.

Кроме атаки на Mitsubishi Heavy Industries в Японии широкую известность получила целевая атака против членов нижней палаты японского парламента и ряда дипломатических миссий этой страны по всему миру. В парламенте оказались заражены 32 компьютера, и хакеры могли получить (и, вероятно, получили) доступ к внутренним документам и всей электронной переписке парламентариев. Вирусы также были обнаружены на компьютерах в посольствах Японии во Франции, Нидерландах, Мьянме, США, Канаде, Китае и Южной Корее. Вредоносные программы общались с двумя серверами, расположенными в Китае, которые злоумышленники ранее уже использовали в атаках против компании Google.

Что же касается России, то ее компании и ведомства также все чаще становятся объектами целевых атак. В настоящее время наиболее выражены атаки именно против различных государственных структур, а также научно-исследовательских институтов. Атаки связанные с промышленным шпионажем относительно редки, а информация о них остается без публичного оглашения.

Наиболее серьезным и массовым инцидентом такого рода в России стала атака Lurid. Инцидент был раскрыт в ходе расследования, проведенного специалистами компании TrendMicro. Им удалось перехватить обращения к нескольким серверам, которые использовались для управления сетью из полутора тысяч взломанных компьютеров, расположенных в основном в России, странах бывшего Советского Союза, а также Восточной Европе.

Евгений Касперский   http://i-business.ru/