18+
реклама
18+
Бургер менюБургер меню

Дмитрий Артимович – Искусство цифровой самозащиты (страница 9)

18

Особенность «Триады» заключается в том, что это модульный вирус, к нему можно подключить самый разный функционал.

Marcher

Так называемый «банковский зловред» был разработан еще в 2013 году, но его «звездный час» настал летом 2016 года. Знаменит хорошей маскировкой и «интернационализмом».

Marcher представляет собой простой троян, который не проворачивает ничего сверхъестественного, а просто подменяет собой служебные страницы огромного количества банков с помощью всплывающих окон. Механизм следующий:

• Троян проникает в систему вместе с зараженным приложением.

• Ищет на смартфоне банковские приложения и приложения интернет-магазинов, выбирает «заготовки» в соответствии с тем, каким банком вы пользуетесь.

• Отправляет на смартфон «приманку» – сообщение в шторке уведомлений со значком банка/магазина и сообщением в стиле «на ваш счет поступило N рублей»/«купон на скидку 75 % для любого товара только сегодня!».

• Владелец смартфона кликает на уведомление, после чего троян открывает точнейшую копию – страницу, oдин в oдин похожую на ту, что вы привыкли видеть в официальном приложении. И говорит что-то в стиле «соединение с сетью прервано, повторите ввод данных банковской карты».

• Владелец смартфона вводит данные банковской карты – и деньги с карты уходят злоумышленнику.

Godless

Троян Godless впечатляет своей маскировкой – длительное время его наличие в приложениях не распознавала даже хваленая система антивирусной проверки в Google Play. Результат предсказуем: зловред заразил свыше 850 тысяч смартфонов по всему миру, причем почти половина из них принадлежит жителям Индии.

Для начала Godless добывает на смартфоне root-права. После этого троян отправляет себя в папку /system (откуда его уже не удалить без перепрошивки) и шифрует себя при помощи AES-ключа.

С полным комплектом прав доступа Godless начинает понемногу воровать личные данные пользователя со смартфона и устанавливать сторонние приложения.

Pegasus

Эксплойтами пользуются не только киберпреступники, но и спецслужбы. Спецслужбы даже скупают всевозможные уязвимости для целей взлома систем и слежения.

Одной из разработок для слежения за людьми является шпионское ПО Pegasus. Следы этой шпионской программы были найдены в телефонах множества журналистов и активистов по всему миру.

Pegasus – это основной продукт израильской компании «киберразведки» NSO Group, вероятно, наиболее известной из новых компаний, производящих шпионское программное обеспечение. Технологии NSO Group позволяют клиентам (по утверждению компании, исключительно правительствам и никогда – частным лицам или компаниям) выбирать в качестве целей конкретные телефонные номера и заражать связанные с ними устройства трояном Pegasus.

Но вместо того чтобы пытаться перехватить зашифрованные данные, передаваемые одним устройством другому, Pegasus позволяет оператору управлять самим устройством и получить доступ ко всему, что на нем хранится.

Pegasus отслеживает нажатие клавиш на зараженном устройстве – все письменные коммуникации и поисковые запросы, даже пароли – и передает данные клиенту, а также дает доступ к микрофону и камере телефона, превращая его в мобильное шпионское устройство, которое «мишень», не задумываясь, носит с собой.

Раньше для хакерских атак Pegasus требовалось активное участие самой «мишени». Операторы программы посылали текстовое сообщение с вредоносной ссылкой на телефон объекта слежки. Если человек переходил по ссылке, в браузере открывалась страница, скачивающая и запускающая вредоносный код на устройстве. NSO Group использовала разные тактики, чтобы увеличить вероятность перехода по ссылке.

Клиенты посылали спам-сообщения для того, чтобы разозлить «мишень», а затем посылали еще одно сообщение со ссылкой, по которой нужно перейти, чтобы перестать получать спам. Социотехнические приемы использовались для того, чтобы увеличить вероятность клика: вредоносные ссылки вставлялись в сообщения, которые должны были заинтересовать или напугать объектов шпионского ПО.

Со временем пользователям стало известно о таких тактиках и они научились лучше определять вредоносный спам. Требовалось что-то более изощренное.

Решением стало использование так называемых «эксплойтов без клика». Эти уязвимости не требуют никакого участия пользователя для того, чтобы Pegasus смог заразить устройство. В последние годы правительства, использующие Pegasus, предпочитают именно эту тактику.

Эксплойты без клика полагаются на уязвимости таких популярных приложений, как iMessage, WhatsApp и Facetime. Все они получают и обрабатывают данные – иногда из неизвестных источников.

Как только уязвимость обнаружена, Pegasus проникает в устройство, используя протокол приложения. Пользователю для этого не нужно переходить по ссылке, читать сообщение или отвечать на звонок.

«Эксплойты без клика составляют большинство случаев, которые мы видели с 2019 года», – говорит Клаудио Гуарнери из Лаборатории безопасности Amnesty International. Его команда опубликовала технический отчет по методологии проекта Pegasus.

«Эта скверная программа – особо скверная, – сказал репортерам Тимоти Саммерс, бывший компьютерный инженер разведывательной службы США. – Она проникает в большинство систем обмена сообщениями, включая Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, встроенные мессенджеры и почту Apple и другие. С таким арсеналом можно шпионить за населением всего мира. Очевидно, что NSO предлагает разведывательное агентство как услугу».

Говоря проще, используя уязвимости в популярных мессенджерах, можно отправить определенную команду через протокол мессенджера, чтобы заставить ваш телефон скачать и запустить трояна Pegasus. Радует одно: стоит эта услуга у NSO достаточно дорого, так что вряд ли мы с вами станем их целями.

КАК ЗАЩИТИТЬСЯ ОТ ВИРУСОВ НА СМАРТФОНЕ?

Источников заражения огромное количество, но в 99 % случаeв это приложения, которые устанавливаются в обход Google Play или App Store. Поэтому я хочу дать несколько советов, которые должны помочь обезопасить ваше устройство:

1. Устанавливайте приложение только из официальных магазинов Google Play и App Store. Еще лучше ставить приложения, которые выложены туда несколько недель назад и имеют отзывы.

2. Проверяйте разрешения, которые запрашивает устанавливаемое приложение. Если вы, например, запускаете игру, а она требует доступ к звонкам и СМС – это очень подозрительно.

3. Не переходите по ссылкам с неизвестных номеров и почтовых ящиков.

4. Отключите услугу MMS.

5. Не подключайте услугу «Автоплатеж».

Нужен ли антивирус

Зачем антивирус на Android

Самые опасные вирусы на Android

Умные устройства

Mirai

В конце 2016 года французская телекоммуникационная компания OVH подверглась распределенной атаке типа «отказ в обслуживании» (DDoS). Экспертов поразило то, что атака была в 100 раз масштабнее аналогичных. В следующем месяце пострадало более 175 000 веб-сайтов, поскольку Dyn, провайдер DNS (система доменных имен), подвергся еще одной мощной DDoS-атаке. На большей части востока США и в некоторых странах Европы качество интернета значительно ухудшилось.

Эксперты сходятся во мнении, что за атакой на OVH и DYN стоял ботнет Mirai.

Трое молодых людей – Paras Jha, Dalton Norman и Josiah White – создали Mirai. Их первоначальная цель состояла в том, чтобы отключить серверы Minecraft в OVH и вымогать деньги за восстановление работы. После того как интернет-пользователь Anna-senpai, который, по мнению следователей, является псевдонимом Paras Jha, опубликовал исходный код Mirai в интернете, ботнет мутировал.

Mirai ищет интернет-устройства IOT с открытыми портами telnet (порт 23, который является незашифрованным каналом связи). После поиска открытых портов telnet он пытается войти на устройства, используя список/комбо из 61 имени пользователя и пароля, которые используются на этих устройствах по умолчанию и никогда не меняются. После доступа к устройству Mirai скачивает и запускает себя, после этого берет под контроль устройство и удаляет любое другое вредоносное ПО, если оно присутствует на этом устройстве. Mirai использовал достаточно простой недостаток – пароли по умолчанию, а не какой-то сложный механизм заражения.

Последующие его производные (код же был опубликован) уже использовали ряд эксплойтов, позволяющих загрузить и запустить свой вредоносный код. Вообще меня всегда поражала история Mirai. Например, то, что его создатели инициировали совершенно бесполезную и бессмысленную DDoS атаку на блог американского ЦРУшного журналиста Брайна Кребса, после чего выложили исходный код Mirai в открытый доступ. И получили всего 6 месяцев тюремного заключения за то, что парализовали работу крупного сервиса, целого дата-центра и тысяч сайтов.

Вы уже поняли, что умные устройства (роутеры[34], умные камеры, принтеры) также подвержены заражению вредоносным ПО. Например, Mirai распространялся из-за того, что на многих роутерах был включен административный доступ по telnet извне (доступен к подключению из интернета), а логин/пароль на вход устанавливались многими производителями крайне простые – например, root/root или admin/admin. То же касается и веб-камер.

Вредоносное ПО под умные устройства может делать следующее: