Вредоносный рынок

Вирусописательство и спамерство окончательно оформились в бизнес. Чтобы справиться с организованными группировками, представителям антивирусной индустрии придется разработать новые технологии обнаружения вредоносов и нежелательных сообщений.

В начале февраля уфимские правоохранительные органы задержали группу хакеров, от рук которых пострадали порядка 30 электронных ресурсов десяти крупных российских компаний. Преступники занимались так называемыми DDOS-атаками: они заразили вредоносными программами около 20 тыс. компьютеров, объединили их в ботнет (сеть из зараженных компьютеров, которыми можно управлять). После получения команды от создателя зараженные машины начинали отправлять запросы на атакуемый сервер. Не выдержав перегрузки, он зависал. За прекращение атаки хакеры требовали денег: представители компаний должны были выслать пин-код карты электронной платежной системы и соглашение о ежемесячных платежах. У всех атакованных компаний были установлены серьезные антивирусные приложения, однако ни одно из них с отражением атак справиться не смогло.

Глава одного из лидеров антивирусной индустрии компании Trend Micro Ева Чен недавно заметила в прессе: «Antivirus industry sucks». В литературном переводе - «антивирусная индустрия не слишком хорошо себя чувствует». Она имела в виду, что нынешние способы борьбы с вредоносами устарели. Киберпреступники с каждым днем совершенствуют технологии, а антивирусные компании за ними не успевают.
С какими угрозами придется столкнуться пользователям и как с ними бороться, «Э-У» рассказали специалисты одного из ведущих разработчиков антивирусного программного обеспечения - Лаборатории Касперского: руководитель Глобального центра исследований Александр Гостев и директор антиспам-лаборатории Андрей Никишин.

Ничего личного. Просто бизнес

- Все специалисты Лаборатории только и говорят, что вирусописатели в последнее время объединились в группы, чтобы заработать как можно больше денег. Это действительно так?

Александр Гостев

Александр Гостев:
- Да. В 2008 году вирусописательство окончательно сформировалось как рынок, бизнес, построенный на продаже сервисов. Сегодня в преступном мире существует разделение труда: одни пишут вредоносный код, другие занимаются его распространением, третьи обрабатывают данные, поступающие от зараженных компьютеров, четвертые обеспечивают инфраструктуру для функционирования ботнета и так далее. Естественно, киберпреступники каким-то образом расплачиваются друг с другом за оказанные услуги.
Одновременно 2008 год стал периодом вымирания эксклюзивных вредоносных программ, написанных одним человеком.

- Почему пропали одиночки? Масштаб не тот или их легче поймать?

А.Г.: Современные вирусы настолько сложны, что их разработка и поддержка не под силу одиночке. Человек может попробовать создать вредонос. Но дальше его нужно как-то распространить, вызвать эпидемию. Для этого вирусописателю необходимо разбираться в совершенно разных технологиях, поэтому волей-неволей приходится обращаться к услугам других киберпреступников. Если он попробует сделать все самостоятельно, велика вероятность, что вредоносный код ни до кого не дойдет: его просто отсечет антивирус. 

- Если вирусописательство и спамерство - рынок, каков его примерный объем?

А.Г.: Сколько точно зарабатывают киберпреступники, нам не известно. По подсчетам одной из крупнейших антивирусных компаний McAfee, в прошлом году совокупный ущерб нанесен в размере 1 трлн долларов.

Андрей Никишин: - Мы оцениваем российский рынок спама в 150 - 200 млн долларов.

Эффект посчитан

- Какими каналами чаще всего пользуются спамеры и преступники? Электронная почта?

Андрей Никишин

А.Н.: Для доставки спама самый популярный канал - действительно электронная почта. Во всем потоке писем минимум 80% - спам. Максимум, который мы фиксируем в некоторые дни, - 95%.

Правда, в октябре прошлого года количество спама упало в четыре раза: были закрыты самые большие центры рассылок Attrivo и McColo (80% мирового спама). Но потом его объем снова начал расти. Спамеры не так давно прислали нам письмо, в котором пообещали, что восстановят и даже удвоят объем спама. А в конце было сказано: «Будет весело посмотреть на ваши скорчившиеся недовольные рожи, лузеры».

А.Г.: Среди вирусописателей электронная почта не так популярна. Чаще всего компьютер пользователя заражают вредоносными программами через браузер.

Владельцы сайтов с большой посещаемостью (например, порносайтов) обычно перепродают друг другу трафик: пользователь заходит на сайт, где срабатывает скрытая переадресация, записанная в коде электронного ресурса, и тут же появляется множество автоматически всплывающих окон, новых страниц. Вирусописатели обратили внимание на рынок торговли трафиком. Они предлагают веб-мастерам выгодное предложение: вы перенаправляете пользователей на некий сайт, а мы платим вам хорошие деньги. На своем ресурсе киберпреступники размещают вредоносные программы и заражают ничего не подозревающих любителей порно.

Самый уязвимый браузер - Explorer, самый безопасный - Firefox (в нем есть функция автообновления, которая сама скачивает патчи, закрывающие уязвимости). По нашим подсчетам, даже при наличии установленных антивирусов от подобных атак гарантированно заражается 10% пользователей.

- Какого эффекта от заражения хотят добиться вирусописатели?

А.Г.: Сегодня более 80% программ создаются с целью организовать ботнет. Его используют для зарабатывания денег. Самый простой пример - рассылка спама. Также через ботнет за плату можно распространять новые вирусы, воровать конфиденциальные данные (логины, пароли электронных кошельков, электронной почты, ICQ, банковские реквизиты, номера кредиток), собирать базы электронных адресов, которые потом перепродавать спамерам.

Сейчас активно развивается еще один преступный бизнес: создание клик-ботов. Некоторые рекламодатели, размещающие баннеры, платят владельцам сайтов не за показы, а за клики по их рекламе. Что делают преступники? Они пишут программы, которые направляют пользователей с какого-либо популярного ресурса на их сайт, где программа начинает кликать по баннерам без вашего желания. Таким образом, киберпреступники искусственно увеличивают количество кликов, впоследствии оплачиваемых рекламодателем.

Существует и второй вариант: допустим, вы платите какому-то разработчику за продвижение сайта. Он размещает рекламу, например, при помощи одного из популярнейших в мире сервисов Google Adwords и отчитывается: вчера 3 тыс. пользователей пришли на наш сайт, кликнув по ссылке в Google. Владелец компании, естественно, радуется и платит за оказанные услуги. А на деле треть всех этих пользователей - мертвые души. Последние исследования показывают, что порядка 15% всех кликов в Google Adwords сегодня происходят при помощи ботов.

Наконец ботнет позволяет совершать DDOS-атаки. В последние годы они стали напастью для рунета. Преступники обычно блокируют работу сайтов и требуют выкуп за прекращение атаки.

Обладая ботнетом из 20 - 30 тыс. машин, можно организовать атаку, которая доставит немалые проблемы целой стране. Вспомните Эстонию, когда значительная часть ее жителей осталась без интернета. Так вот, ботнет, при помощи которого была организована эта атака, состоял из 20 тыс. машин.

- В мире существуют ботнеты из 20 - 30 тыс. зараженных компьютеров?

А.Г.: Их много. Сеть, состоящая из более чем 50 тыс. компьютеров, уже считается крупной. Она может приносить владельцу от 5 тыс. долларов в неделю только на рассылке спама. Самый большой из действующих насчитывал порядка полумиллиона машин.

В данный момент мы наблюдаем эпидемию червя Kido, который начал распространяться в интернете 29 декабря. По самым скромным оценкам, им заражено около 10 млн компьютеров. Все они могут однажды объединиться в гигантский ботнет. Пока, к счастью, создатели не активировали его. Но мы с опаской ожидаем момента, когда он начнет функционировать. При помощи сети из 10 млн машин можно произвести фурор: остановить работу любого сайта, начать эпидемию, на порядок превосходящую Kido, разослать рекордное количество спама.

- А эффективность спам-рассылок вы когда-нибудь просчитывали?

А.Н.: В нашем понимании спам не очень эффективен. Во-первых, качество спамерских баз не слишком хорошее. Обычно 40% писем приходит на несуществующие адреса, значит, автоматически отправляется в мусор. Из тех, что посланы реальным адресатам, минимум 95% отсекается хорошим спам-фильтром. В-третьих, какое-то количество людей просто принципиально не читает спам-рассылку. Наконец, из тех, кто читает, довольно маленький процент реклама заинтересовывает и еще меньший процент реально контактирует с заказчиком спама. В итоге от миллиона разосланных писем при самом лучшем раскладе реально можно получить одного клиента.

- Зачем тогда нужен спам?

А.Н.: В нашей стране спам для многих компаний - единственный способ прорекламировать свои услуги или товары. Особенно если это какая-то небольшая компания и ей в принципе наплевать на свою репутацию. Она заплатит 5 тыс. рублей, заспамит пол-Урала, найдет пять-шесть клиентов, отобьет затраты на рассылку и еще в прибыли останется. Стоимость рассылки 1 млн писем - около 40 долларов. Но так мало обычно никто не рассылает. Средний объем - 5 - 6 млн писем.

Мы не одни

- Где чаще всего пишут вирусы?

А.Г.: Пальма первенства недавно, но, подозреваю, надолго перешла к Китаю. Китай вырастил целую армию вирусописателей, что логично. По числу интернет-пользователей эта страна уже опередила США. В прошлом году нами зафиксировано 18,5 млн атак с территории этой страны, произведенных через браузер. На втором месте с большим отставанием США - 1,56 млн атак. Россия - на пятом месте, 420 тыс. атак.

Если говорить обо всех зафиксированных вирусах, то второе место занимает Южная Америка с центром киберпреступности в Бразилии.
Третье место за Россией, точнее - за бывшим СНГ, потому что, например, сейчас по количественному показателю распространения вредоносных программ Украина обгоняет нашу страну.

- А кто из тройки лидеров выигрывает по сложности вирусов? И есть ли какая-то специализация у вирусописателей?

- По сложности создаваемых вредоносов бывший СНГ вне конкуренции. Например, у нас есть основания полагать, что тот же Kido был сделан на Украине.

Китайские программы попроще. Интересно, что в вирусописательстве киберпреступники этой страны ведут себя как и в других отраслях экономики: копируют лучшие зарубежные образцы. Мы не раз замечали, что нынешние китайские вирусы - это технически локализованные российские вредоносные программы, с которыми мы боролись год-два назад.

Специализация у вирусописателей прослеживается. Например, бразильцы делают упор на кражу конфиденциальных данных, а китайцы - на воровство игровых аккаунтов.

- А спам наш отличается от западного?

А.Н.: Безусловно. В США, во-первых, рекламируют запрещенную деятельность. Например, онлайн-казино. Во-вторых, очень популярен спам, в котором потребителя призывают скупать какие-то дешевые акции. Народ кидается их покупать, цена растет и заказчики спама наживаются на их продаже. Много в США фармацевтического спама - предлагают «Виагру» или «Циалес».

- А в России?

- В России лидирует реклама потребительских товаров и ресурсов для взрослых.

- Нужно ли ужесточать законодательство в сфере борьбы со спамом?

А.Н.: Обязательно. В США, например, есть акт, который с ними борется. Правда, сейчас все спамеры переехали в Канаду и Мексику, и объем рассылки не уменьшился. Но тем не менее в Штатах людей могут посадить в тюрьму на год или назначить штраф в миллион долларов за подобные правонарушения. Если по всему миру принять подобные нормы, то спама точно станет меньше.
Кроме того, главное достоинство этого акта - в нем сформулировано адекватное определение спама.

- И каково оно?

- Оно сделано от противного. Есть признаки «чистого» письма. Первый - адрес отправителя не должен быть поддельным. Второй - в письме должен быть указан физический и электронный обратный адрес компании, которая рекламируется. Третий - у получателя должна быть возможность отписки от рассылки.

И, наконец, в США законом предусмотрено создание специального реестра Do-not-spam, в который граждане США смогут внести свой адрес электронной почты. И тогда никакие маркетинговые агентства не смогут посылать на него рекламные сообщения. Если хоть один из признаков нарушен - это спам.

Американцы не привязывались к массовости рассылки, как в России: у нас если человек одновременно отослал 5 тыс. писем, он автоматически считается спамером.

Зло крепчает

- Что грозит нам в будущем? Глобальное заражение?

А.Г.: Последний год ознаменовался лавинообразным ростом угроз. Я помню времена, когда мы фиксировали по 500 вирусов в неделю и поражались, как это много. Сейчас Лаборатория обнаруживает около 3 тыс. вредоносных программ в день. К счастью, мы вышли на некое плато: количество угроз растет, но умеренными темпами. В ближайшее время, согласно нашим прогнозам, мы столкнемся с проблемой не экстенсивного, а интенсивного развития. Вредоносные программы станут опаснее и сложнее.

Кроме того, увеличивается популярность компьютеров Apple и соответственно операционной системы MacOS. Уверен, скоро мы станем свидетелями активного роста количества вирусов для этой системы.

Еще одна ветвь развития - вредоносные программы для мобильных телефонов. Они эволюционируют не так быстро. Однако вирусописатели (в первую очередь отечественные) уже нашли способ зарабатывать деньги и здесь, например, посредством троянских программ, которые скрытно отсылают sms на премиум-номера. Одно сообщение может стоить 10 - 20 долларов.

- А как будет развиваться антивирусная индустрия? Нужно выходить из состояния, которое озвучила Ева Чен.

- Думаю, все усилия антивирусных разработчиков будут направлены на развитие технологии поведенческого анализа. Что это значит? Мы будем обнаруживать вирусы не по какому-то куску кода в его теле, а по характерным особенностям его поведения. Какие команды обычно есть у вредоноса? Он должен открыть файл, прочитать его, скопировать себя, разослать почту и так далее.

- А обнаружение по коду останется?

- Да, конечно. Пока этот способ эффективен, однако вирусописатели уже начали его обходить.

- Каким образом?

- Создатели вредоносов до того, как выпустить свое детище в свет, тестируют его на десятке самых популярных антивирусов. Если какой-то фиксирует их творение, они досконально разбирают, почему это произошло. То есть как мы можем посмотреть код вируса, так и его создатели могут посмотреть наш код.
 
- Так, может, хранить какие-то части антивируса у себя? Например, базы вредоносов. Так они не достанутся вашим противникам.

- Совершенно верно. Сейчас все антивирусные компании работают именно в этом направлении, развивая так называемую технологию «in-the-cloud». В общем виде она выглядит так. На серверах антивирусных компаний хранятся белые и черные списки (записи о файлах от надежных разработчиков и о вирусах соответственно). При открытии нового приложения или файла на компьютере пользователя информация о них направляется в лабораторию, быстро проверяется, и если все чисто, то антивирус позволяет их открыть. Если это известный нам вирус, то он либо удаляется, либо лечится.

Все неизвестные подозрительные файлы отправляются вирусным аналитикам, которые в течение нескольких минут могут вынести вердикт - вирус это или нет. Если это вредонос, аналитики мгновенно через интернет могут заблокировать открытие данного файла другими пользователями. И в течение часа-двух внести обновления в черный список. Единственный минус технологии - необходимо постоянное подключение к интернету. Но, думаю, в век безлимитки это не станет неразрешимой проблемой.