fl
ГОРИЗОНТЫ ТЕХНИКИ
fl
iiliiiht
CISCO
Cisco - мировой лидер в области сетевых технологий, меняющих способы человеческого
общения, связи и сотрудничества.
Информация о решениях, технологиях и текущей деятельности компании публикуется
на сайтах www.cisco.ru и www.cisco.com
Специалисты 1гопРог1 обнаружили связи между
разработчиками шпионских компьютерных
программ и нелегальными компаниями,
распространяющими медикаменты через Интернет
Специалисты компании IronPort® Systems (ведущий поставщик
корпоративных средств защиты от спама, вирусов и шпионских
программ, теперь входящий в состав компании Cisco) обнаружили
связь между разработчиками вредоносного программного обеспе-
чения - в частности, самого сложного червя-ботнета Storni, который
до сих пор распространяется по сети, - и нелегальными фармацев-
тическими компаниями, которые используют ботнеты для незакон-
ной рекламы своих сайтов через спам. Превращая спам в мощное
рекламное средство, зги компании извлекают из него огромную
прибыль и создают серьезную финансовую мотивацию для даль-
нейшей разработки шпионских программ. В дополнении к своему
ежегодному отчету об угрозах безопасности в Интернете IronPort
анализирует влияние ботнвтов и показывает, как фармацевтичес-
кий спам создает финансовую подпитку для дальнейших “новатор-
ских” разработок вредоносного программного обеспечения.
“В ходе предыдущих исследований мы выявили весьма слож-
ную и изощренную цепочку поставок нелегвльных фармацевтичес-
ких продуктов. Заказы на эти продукты поступают на канадские
фармацевтические сайты, разрекламированные с помощью спвма
через компьютеры, которые заражены программными роботами
“ботнетами”. До сих пор отношения между разработчиками ботне-
тов и организаторами глобальной незаконной поставки медицинс-
ких продуктов оставались неясными, - говорит Патрик Питерсон
(Patrick Peterson), вице-президент по технологии из компании IronPort,
имеющий почетное звание ведущего разработчика Cisco (Cisco
Fellow). - Наше исследование показало, что Storm и другие ботне-
ты, генерирующие спам, побуждают людей делать коммерческие
заказы, которые выполняются через нелегальные цепочки и созда-
ют ежегодную прибыль, превышающую 150 млн USD”.
Исследователи IronPort доказали, что более 80 процентов спа-
ма, генерируемого ботнетом Storni, приходится на рекламу фарма-
цевтических товаров. Спам рассылается миллионами персональ-
ных компьютеров, которые заражены червем-ботнетом Storm, и
использует множество изощренных методов социальной инжене-
рии и web-трюков для влияния на людей. В ходе дальнейшего рас-
следования выяснилось, что шаблоны спама, зараженные адреса
URL, дизайн вредоносных web-сайтов, средства обработки кредит-
ных карт, системы исполнения заказов и даже средства поддержки
заказчиков поставляются российской преступной группой, поддер-
живающей распространение ботнета Storni.
Эта преступная организация привлекает все новые компании к
рекламе незаконных фармацевтических сайтов с помощью спама,
получая комиссионные в размере 40 процентов от объема заказов.
Преступники обеспечивают исполнение заказов, обработку кредит-
ных карт и услуги поддержки заказчиков. Между тем, лаборатор-
ные анализы, проведенные по заказу IronPort, показали, что в двух
третях незаконной фармацевтической продукции неправильно ука-
зана дозировка препаратов, а одна треть вообще не является ме-
дикаментом и содержит нейтральное вещество - так называемое
плацебо. В результате заказчики подвергаются серьезному риску и
могут подорвать свое здоровье, принимая пилюли от неизвестных
заморских поставщиков.
Подробная информация о ботнете Storm и связях между его
создателями и незаконной поставкой медпрепаратов приводится
в специальном отчете компании IronPort под названием “2008
Internet Malware Trends: Storm and the Future of Social Engineering”
{“Тенденции развития вредоносного программного обеспечения в
Интернете в 2 0 0 8 году: Storm и будущ ее социальной инженерикГ).
В
отчете говорится о том, как вредоносные программы заражают пер-
сональные компьютеры, обманывая системы защиты. Вот некото-
рые методы, которые используются для заражения:
Рассылка спама через Web-почту. Сложные программные
роботы используют автоматические и ручные процессы Captcha*
для создания множества бесплатных учетных записей (аккаунтов)
электронной почты. После создания учетных записей злоумышлен-
ники рассылают с них спам. При этом получателю кажется, что со-
общения приходят с обычных адресов, а не генерируются маши-
ной. В 1-м квартале 2008 г. объем таких сообщений (атак “с укра-
денной репутацией”) составил более 5 процентов всего спама, тог-
да как в предыдущем квартале их объем не превышал 1 процента.
Использование функциональности Google. Вредоносные
программы нового поколения направляют трафик на зараженные
сайты с помощью функции поиска Google “I’m feeling lucky". При-
мерно в 1,3% случаев результаты поиска Google содержат ссылки
на зараженные сайты. Принимая во внимание огромные объемы
трафика, который каждую минуту проходит через системы поиска
Google, злоумышленники могут рассчитывать на вполне прилич-
ный “улов”.
IFrame. Этот тип атаки используется, когда человек выходит на
сайт, зараженный вредоносным кодом (например, JavaScript). При
атом сайт выглядит вполне нормально и находится на одном из пер-
вых мест в системе поиска. Между тем, пока вы работаете с этим
сайтом, JavaScript дает вашему браузеру команду загрузить файл
с другого сервера через встроенный iFrame. Этот файл, как прави-
ло, содержит троянский вирус, который устанавливается на компь-
ютере в фоновом режиме без ведома пользователя. После уста-
новки вирус крадет ваши пароли и системные данные.
Ботнеты, описанные в отчете IronPort, имеют ряд уникальных
качеств. Они привязывают рассылку спама к текущим событиям и
популярным сайтам и используют для своего распространения элек-
тронную почту и Интернет. Атаки ведутся в децентрализованном
режиме, но хорошо скоординированы и наносят ущерб не только
через спам. Ботнеты создают удобную платформу для фишинга,
атак через систему мгновенных сообщений и распределенных атак
“отказ в обслуживании” (DDoS). Storni стал первой сложной вредо-
носной программой, использующей методы социальной инженерии.
По данным IronPort, за период с января 2007-го по февраль 2008
года этот вирус заразил 40 млн компьютеров в разных странах мира.
На пике своего распространения в июле 2007 года Storni генериро-
вал более 20 процентов всего спама и одновременно работал на
1,4
млн компьютеров. Каждый месяц Storni заражал (впервые или
повторно) около 900 тысяч компьютерных систем. К сентябрю 2007
года количество компьютеров, одновременно передающих спам
через Storm, сократилось до 280 тысяч в день, а количество сооб-
щений Storm в общем объеме спама упало до 4 процентов. Сегодня
в нескончаемом потоке спама (более 161 млрд сообщений в день)
Storni занимает незначительное место, но существует до сих пор.
Отчет IronPort оценивает ущерб от атак, использующих методы
социальной инженерии, и указывает тенденции будущего развития
*
“Captcha" означает “Com pletely Autom ated Public Turing Test to
Tell Computers and Hum ans A p a rf (полностью автоматический тест
дл я различения компьютера и человека). В ходе тестирования на
экран выводится последовательность искаженны х символов, и че-
ловеку предлагается повторить эту последовательность на клави-
атуре. В России этот метод иногда называют “антиспам-тесТ', так
к а к считается, что распознать искаженны е символы может только
человек, но никак не маш ина.
4
U Радиолюбитель - 0 7 /2 0 0 8
предыдущая страница 4 Радиолюбитель 2008-07 читать онлайн следующая страница 6 Радиолюбитель 2008-07 читать онлайн Домой Выключить/включить текст