Владислав Дорофеев - Принцип Касперского - телохранитель Интернета

В июне 2004 года обнаружен первый сетевой «червь» Cabir для мобильных телефонов, использующих ОС Symbian, и прежде всего смартфонов Nokia и Sony Ericsson. Доставляется на смартфон в виде файла формата SIS (дистрибутив операционной системы Symbian), маскируясь под программу для защиты телефона Caribe Security Manager. Предположительно автор Cabir принадлежал к международной банде «29A», которая специализируется на создании «концептуальных» вредоносных программ, которые используются для проверки творческих возможностей вирусописателей. Этой группе приписывали авторство первого макровируса Cap, вызвавшего глобальную эпидемию, Donut – первого вируса для платформы .NET и Rugrat, первого вируса для платформы Win64.

На переломе 2004–2005 годов было исправлено несколько критических уязвимостей в Windows. Эпидемии пошли на спад.

16 августа 2005 года произошла атака вируса Mytob/ Bozori, использующего уязвимости операционной системы Windows, на системы ведущих печатных изданий, а также радио и ТВ-компаний США. В частности, временно выведена из строя операционная система Windows-2000 в газете New York Times и на ТВ-каналах ABC и CNN. Хакер также взломал базы данных нескольких банков и произвел махинации со счетами, нарушив систему перечисления денежных средств. Инфицирован примерно 1 млн компьютеров по всему миру. По этому делу были арестованы восемнадцатилетний Фарид Эссебар – марокканец, родившийся в России, и 21-летний турок Атилла Экиджи.

20 января 2006 года был обнаружен вирус Nyxem, распространявшийся при помощи массовой рассылки по электронной почте. Вирус активируется третьего числа каждого месяца и делает попытки отключить программное обеспечение, связанное с обеспечением безопасности, а также уничтожить файлы определенных типов (в частности, документов Microsoft Office).

2 февраля 2006 года в результате атаки компьютерного вируса с 16:15 до 17:20 была приостановлена работа всех рынков российской торговой системы – срочного рынка ФОРТС, классического и биржевого рынков. После локализации проблемы пораженный компьютер был отключен от Сети. Специалисты биржи провели проверку всех систем, произвели корректный запуск и возобновление торгов. Необратимых последствий для работы российской торговой системы вирусная атака не имела.

В январе 2007 года вирус Storm начал захватывать зараженные компьютеры и формировать Сеть Storm, которая в сентябре того же года достигла, по различным оценкам, до 30 млн компьютеров.

В 2008 году активизировался вирус Zeus/Зевс: назначение – кража данных, массовые атаки, создание бот-сети. Особо отметился кражей цифровых сертификатов, которые играют важную роль в информационной безопасности, подтверждая легальность того или иного приложения. Заражено 10 млн компьютеров. Ежедневный доход от сдачи в аренду бот-сети 4–50 тыс. долларов.

С октября 2008 года по Интернету гуляет вирус под названием Conficker/Kido. Он уже успел проникнуть более чем в 30 млн компьютеров. Пострадали цифровые системы кораблей британских ВМС, а также Палата общин британского парламента. Вирус легко взламывает пароли, а потом использует зараженные машины для рассылки спама или как базы для хранения украденной информации. В феврале 2009 года компания Microsoft пообещала 250 000 долларов тому, кто поможет поймать создателя вируса Conficker.

В январе 2010 года массированной кибератаке подверглись несколько десятков крупнейших компаний мира из списка Forbes-500, в частности Google и Adobe. Нападение было названо «Операцией Aurora/ Аврора» и получило статус нулевого дня (zero-day). Атака Aurora имела целевой характер, проводилась с помощью таргетированной рассылки электронных писем со ссылкой на соответствующую страницу. При удачном для злоумышленников сценарии после захода на страницу на компьютер пользователя незаметно подгружалась вредоносная программа. Целью хакеров было получение конфиденциальных данных пользователей и корпораций, в том числе исходных кодов крупных проектов. Взлом атакуемых систем осуществлялся через критическую уязвимость версии Internet Explorer 6.0, что привело к отказу пользователей от этой версии. Публикация информации об атаке побудила власти Германии, Франции и Австралии призвать своих граждан использовать альтернативные MS Internet Explorer браузеры. Достоверной информации о последствиях и разрушениях, вызванных зловредом Aurora, до сих пор нет.

В июле 2010 года пойман «червь» Stuxnet, который впервые использовал не одну, а сразу пять критических уязвимостей ОС (прежде всего Windows), имеющие статус «нулевого дня» (zero-day), одну из которых (MS08-067) использовал и широко известный «червь» Kido (Conficker) в начале 2009 года. Особенностью «червя» стало применение похищенных цифровых сертификатов компаний Realtec и JMicron, благодаря которым Stuxnet достаточно долго скрывался от антивирусных радаров. «Червь» был предназначен для получения доступа к системе Siemens WinCC (программируемые логические контроллеры Siemens PLC), которая отвечает за сбор данных и оперативное диспетчерское управление производством. В результате воздействия «червя», в частности, иранской атомной программе был нанесен значительный ущерб. По официальной статистике от Siemens, на начало сентября им было известно о заражении по всему миру пятнадцати клиентских систем, смонтированных на основе их оборудования. Цель атаки и география распространения «червя» (преимущественно Иран) говорит о том, что это дело рук не обычных киберпреступников. Стоит отметить и очень высокий уровень программирования, продемонстрированный авторами «червя». Stuxnet мог быть создан командой высококвалифицированных профессионалов при финансовой поддержке и с государственных структур (предположительно, Израиля и США). Stuxnet открыл новый этап в развитии Интернета – государственного кибертерроризма, став первым образцом кибероружия, направленного на подрывную деятельность. «Червь» Worm.Win32.Stuxnet успешно детектируется и нейтрализуется всеми продуктами «Лаборатории Касперского».