Компания Finjan, занимающаяся компьютерной безопасностью, изучила огромную сеть удаленно управляемых персональных компьютеров и выяснила, что кибер-преступники, хозяева этого ботнета, располагаются в Украине. Об этом сообщает ВВС.
В “сферу влияния” этого ботнета попало и несколько компьютеров в сетях шести ведомств британского правительства. Finjan передала подробную информацию об этом лондонскому управлению полиции, и та сейчас проводит соответствующее расследование.
Представитель правительственной канцелярии, которая следит за соблюдением правил использования информационных технологий во всех правительственных учреждениях, заявил, что конкретные кибер-атаки комментировать не будет “из соображений безопасности”.
“Правительство не подтверждает и не опровергает сообщения о том, что какое-либо подразделение стало объектом атаки. Мы также не комментируем ни результатов атаки, ни ее происхождения”, – заявил он.
“Мы постоянно следим за существующими и возникающими факторами риска и стремимся их минимизировать, ставя в известность наши ведомства и давая им рекомендации по отражению угроз”, – добавил представитель.
Уже второй раз за год входящие в правительственные сети компьютеры подвергаются взлому и становятся частью ботнетов. В последнем случае хакерам удалось, используя слабости в интернет-браузерах, заразить и “угнать” компьютеры, включив их в ботнеты.
Как только в машину проникла первая хакерская программа, она используется для того, чтобы сгрузить новые программы, и тогда компьютер оказывается полностью во власти взломщиков.
“Угнанные” компьютеры могут считывать электронные адреса, копировать файлы, записывать удары по клавишам, отправлять спам-сообщения и “фотографировать” изображения на экране (screen shots).
Как только “угнана” одна машина в корпоративной сети, остальные также оказываются под угрозой.
Канцелярия правительства отказалась сообщить, в каких именно ведомствах компьютеры оказались под контролем мошенников, равно как и то, какие действия выполняли “угнанные” компьютеры.
На хакерском форуме в России киберпреступники (которые пока не задержаны) продавали доступ к зараженным машинам – преимущественно в составе корпоративных сетей. За тысячу компьютеров-рабов на торгах давали от $50 до $100.
По данным компании Finjan, ботнет находится под контролем шести преступников, которые могут удаленно управлять зараженными машинами.
Почти половина зараженных машин находятся в США. 6% – примерно 114 тыс. машин в 52 разных организациях – располагаются в Британии, в том числе один компьютер в сети ВВС также оказался “ботоносцем”.
Большинство зараженных машин может быть выявлено обычной корпоративной практикой обеспечения информационной безопасности. Но, по данным Finjan, многие машины в составе ботнетов по-прежнему активны.
В сети хакеров попали компьютеры 70 различных правительственных департаментов разных стран.
Ювал Бен-Итцхак, главный технический специалист Finjan, рассказал ВВС: “Когда мы посмотрели на доменные имена, чтобы узнать, какие компьютеры оказались в хакерской сети, мы с удивлением обнаружили целых ряд правительственных сетей в разных странах, в том числе в Британии”.
“Мы, разумеется, сообщили им об этом, проблемы были решены. Только в Британии в шести правительственных департаментах по крайней мере на одной машине работали ботовские программы”.
“Называть эти организации я не могу, но эта ситуация характерна не только для Британии: такие же программы мы обнаружили на машинах других правительственных сетях, не британских”.
На всех зараженных машинах была установлена операционная система Windows, а враждебные программы проникали в них, используя бреши в защите браузеров Internet Explorer и Firefox.
По словам Бен-Итцхака, “уникальны сами масштабы этой сети. В прошлом году в ней были сотни тысяч. Сейчас речь идет о мега-ботнете”.
Представитель Лондонского управления полиции сообщила: “Следствие продолжается. Мы знаем об этом ботнете и принимаем соответствующие меры”.
Крупные ботнеты используются для координации атак, которые выводят из строя некоторые участки сети или отдельные веб-сайты в режиме оффлайн. Такие акции хакеров получили название “распространяемый отказ сервиса”.
В прошлом году Центр безопасности национальной инфраструктуры (CPNI) – правительственное агентство, входящее в Британскую службу безопасности – в докладе правительству заявил, что положить конец таким атакам непросто:
“Атаки такого рода не отличаются высоким технологическим уровнем, но чрезвычайно эффективны из-за большого числа зараженных машин, которые в них задействованы”.
“Защититься от хорошо продуманного распространяемого отказа сервиса сложно без того, чтобы не затронуть нормальных бизнес-пользователей”.
CPNI считает, что лучшая защита от таких нападений – внимательное наблюдение за работой сети и соблюдение рекомендаций по обеспечению компьютерной безопасности.
Дмитрий Костюк
