Правительственные супервирусы

Правительственными супервирусами принято называть разработки государственных секретных служб (в том числе при помощи частных лиц и групп лиц), которые стоят многие миллионы долларов. Такие вирусы способны «пробраться» в любой персональный компьютер, в независимости от того, какая там установлена защита.

Цифры и факты

Достоверно известно, что более 100000 индустриальных компьютеров заразил вирус Stuxnet, целью которого был только 1 ПК, который был установлен в помещении подземной фабрики. Фабрика находилась в иранском городе Натанзе и занималась обогащением урана. Это первый вирус в новом типе войны, так называемой кибервойны. Согласно информации, данная атака была спланирована и организована силами ЦРУ, АНБ и «Подразделением 8200» из Израиля. Кибероперация, носившая название «Олимпийские игры», началась еще в далеком 2006-м году во времена правления Джорджа Буша.

704451

500000 евро — вот цена на «черном рынке» уникальной в своем роде уязвимости, при помощи которой создатели известного трояна Duqu делали из чужих ПК «компьютеры-зомби». Нужно все-то кликнуть по файлу, который открывает приложение Word, и перед вами полный доступ к ядру ОС. Даже специалисты Microsoft потратили 2 недели для того, чтобы понять принципы работы программы-трояна. Так, согласно данным журнала Forbes, известная компания Vupen, которая специализируется на безопасности, только за декабрь 2013-го года заработала 250000 долларов на том, что продавала государству найденные ее специалистами уязвимости.

80 доменных имен были задействованы в использовании новейшего «правительственного» трояна под названием Flame для поддержания непрерывной связи между инфицированными компьютерами и программистом. Все домены имели регистрацию на подставных людей в Австрии и Германии. Количество денег и усилия, которые были затрачены на проект, по мнению специалистов из Symantec, указывают исключительно на правительственный проект.

500000000 долларов — сумма, которую Пентагон ежегодно тратит на киберзащиту инфраструктуры США. Предположительно, часть из этих денег используется для модернизации Stuxnet.

30000 — такое количество строк кода имеет вирус Flame, как утверждают специалисты из «Лаборатории Касперского». Stuxnet имеет 15000 строк, но Flame обладает более сложными библиотеками, вот почему он в 2 раза больше.

150 — такое количество государств сегодня разрабатывают и внедряют меры по борьбе с разнообразными кибератаками.

Алгоритм работы правительственных троянов

Вирусы способны проникать даже в те сети, которые не имеют подключения к Интернету. Они могут поражать мобильные телефоны граждан и самые высокозащищенные вычислительные системы. На сегодняшний день антивирусные программы не могут защитить от таких супервирусов.

trojan

Принцип работы вируса Stuxnet, целью котрого было уничтожение иранских цетрифуг для обогащения урана:

1) Заражение, когда Stuxnet попадает в первичную сеть компании посредством флешки;

2) Манипуляция. При этом вирус использует уязвимость «нулевого дня», устанавливая тем самым контроль над ПК. Также на этой стадии вирус внедряет программу управления;

3) Далее управляющий код, который проник на ПК из флешки, переходит во вторую, уже более защищенную сеть;

4) Атака роутера. На этом этапе код попадает на роутер, находящийся в промышленной сети и вирус принимает на себя управление;

5) Уничтожение. Это конечная стадия, на которой вирус посылает команду центрифугам. Последние при этом увеличивают скорость вращения, что ведет к разрушению установки.

Принцип работы вирусов Duqu и Flame, целью которых был сбор информации для последующих атак:

1) Инфицирование. Это начальная стадия, на которой через подготовленный файл приложения Word хакер получает root-права для дальнейшего распространения вируса Duqu. Вирус Flame выдает себя за обновление для Windows;

2) Похищение. На этом этапе Flame и Duqu проводят установку кейлоггеров. Это позволяет оперативно собирать информацию о сетевых подключениях и системе в целом. Зараженные системы при этом работают в качестве прокси-серверов;

3) Заражение телефонов. Не менее важная фаза, на которой Flame собирает посредством Bluetooth необходимый контент с мобильных телефонов, которые находятся рядом с ПК. Тут используется уязвимость протокола, хорошо исследовать которую не могут до настоящего времени;

4) Контроль и управление. Заключительная стадия, на которой хакер получает нужные данные и шлет управляющие команды Duqu. При этом задействованы серверы в Индии и Бельгии. Вирус Flame, в свою очередь, занят приемом команд более чем с 80 различных доменов.

Число жертв атак растет

Совсем недавно посетители одного из самых крупных информационных ресурсов Европы имели неприятные последствия. Хакеры ввели в 186 страниц данного сайта специальный код, распространяющий вредоносное ПО. Не изученный до сегодняшнего дня бот занимался рассылкой спама на ПК посетителей.

Сегодня целями шпионских кибератак групп хакеров и государственных учреждений становятся как обычные пользователи, так и заводы, предприятия и даже политические организации. Те, кто не может создать свой вирус, просто покупает уже готовые решения от профессионалов этого дела. Как пример — нашумевшая новость о приобретении Федеральным управлением полиции Германии программы FinFisher для тестирования шпионского софта.

9664_detailed

Сегодня супервирусы поражают миллионы ПК. Большинство этих вирусов используют для внедрения разного рода уязвимости таких всем известных приложений, как Java, AdobeReader, Flash. Да и пути инфицирования используются самые разные, например, размещение вредоносного кода на обычных сайтах и последующее заманивание людей на страницы этого сайта. Или рассылка электронных писем, котрые якобы рассылают известные компании. Открывая приложенный PDF-файл на ПК мгновенно устанавливается вирус.

Компьютеры с Windows — золотое дно

Набор эксплоитов — вот помощь хакеру, который не в состоянии самостоятельно попасть на ПК жертв. Это специальное вредоносное ПО способно быстро распознать уязвимости, посредством которых вирус попадает в систему методом Drive-by Download. При этом участие жертвы не требуется. Самым опасным сегодня считается набор Blackhole, который хакеры покупают на подпольных форумах. Так, лицензия на его применение, как указано в документах производителя, стоит от 40 евро за день до 1200 евро в год. Купленная «отмычка» встраивается в веб-сайты, на которые затем привлекаются пользователи. Это происходит как благодаря фишинговым письмам, так и путем заражения популярных ресурсов частью кода, который в фоновом режиме грузит страницу с Blackhole. Всю необходимую для корректной работы информацию набор получает из каждодневно обновляемого банка данных. Стоит отметить, что этот сложный набор некоторые антивирусы не распознают, поскольку в новой версии 2.0 применили динамические URL как для страниц с самим Blackhole, так и для сайтов, содержащих вредоносное ПО.

Software Bug

«Премиум-версия» Blackhole носит название CoolExploitKit. Ее задача — атака исключительно посредством ZeroDay (уязвимости нулевого дня). Таким образом в числе пострадавших может оказаться любой пользователь. Специалисты крупной компании Symantec утверждают, что данный набор предлагают исключительно «избранным» клиентам. Его стоимость — 100000 долларов в год.

Ключ от «всех дверей»

Самое дерзкое и крупномасштабное достижение программистов Blackhole — обнаруженная вначале 2014-го года и немного ранее интегрированная в специальный набор эксплоитов уязвимость в Java под названием ZeroDay. 5 дней ушло у программистов на подготовку специального патча для Oracle. Хакеры с помощью Blackhole свободно получали контроль над зараженными компьютерами и уверенно заманивали ничего не подозревающих пользователей на зараженные вирусом сайты. Стоит отметить, что эта среда и так достаточно популярна у киберпреступников, ведь установлена она приблизительно на 850000000 ПК во всем мире и это число непрерывно растет.

Совет для пользователей прост: обновлять Java вручную не реже 1 раза в месяц. Это сделать очень просто. Достаточно в строке поиска меню «Пуск» ввести «Java» и выбрать среди полученных результатов запись «Java (32 Bit)» или «Java (64 Bit)». Далее в окне Java Control Panel выбрать вкладку «Update» («Обновить») и в ней нажать «Update now» («Обновить сейчас»). Это сделать необходимо, поскольку как только эксплоиты взломают «дверь», сразу запустится вредоносное ПО, среди которого ZeuS, Citadel и другие новейшие версии опаснейших банковских троянов. Кстати, Citadel — это самый распространенный клон ZeuS. Для него даже существует онлайн-сервис техподдержки, где хакеры сообщают о багах вредоносного ПО и делятся идеями, касающимися новых возможностей трояна. Вся такого рода информация тщательно обрабатываются в реально существующем центре обслуживания. Начальный пакет Citadel содержит утилиту, которая позволяет быстро подготовить бот-сеть для дальнейшего спама. Данную сеть также можно контролировать и развивать в дальнейшем.

Дайте свою оценку данной статье


Поделитесь этой статьей со своими друзьями

Оставьте свой отзыв

Вы должны Войти, чтобы оставлять отзывы. Вы также можете войти через соцсеть: