70% инструментов для кибератак созданы в России

Согласно тексту доклада, опубликованного сегодня исследовательской группой SERT (специализируется на информационной безопасности и входит в компанию Solutionary. — «Известия»), 70% всех программных пакетов для взлома компьютерных систем созданы в России. Так, по данным группы, из 26 наборов для кибератак (так называемых эксплойт-китов), проанализированных SERT, 18 были созданы на российской территории. Авторство оставшихся 30% вредоносного софта принадлежит китайцам и бразильцам.

Специалисты SERT также отмечают, что 60% уязвимостей, которые использованы в кибератаках, выявлены более двух лет назад, но до сих пор актуальны. Самая старая используемая в таких программных пакетах уязвимость относится еще к 2004 году, но она все еще может быть использована для нанесения вреда. По мнению представителей SERT, несмотря на многочисленные предупреждения, многие компании экономят на обновлениях программного обеспечения, что подвергает серьезному риску безопасность информационных систем. 

Наиболее популярный эксплойт-кит Black Hole, также созданный в России, по мнению специалистов, отличается особым подходом — его создатели используют лишь несколько уязвимостей, но зато концентрируются на их эффективности. Другой программный пакет, Phoenix, наоборот, использует большое количество «дыр» в безопасности — он оперирует 16% известных на сегодняшний день уязвимостей.

Помимо этого специалисты SERT предупреждают, что до 67% вредоносных программ, используемых злоумышленниками в такого рода программных пакетах, не обнаруживается большинством антивирусных приложений. 

Директор SERT Роб Краус отметил, что его команду очень огорчает тот факт, что злоумышленники могут использовать достаточно старые и хорошо известные методы для создания эффективных атак против компьютерных сетей. Он особо подчеркнул, что лишь немногие компании уделяют должное внимание кибербезопасности как к одному из приоритетных направлений деятельности.

В своем докладе исследователи SERT также отметили тренд на небольшое снижение количества DDoS-атак, несмотря на то, что в IV квартале 2012 года были отмечены достаточно крупные атаки на такие сайты, как HSBC, Wikileaks и Demonoid.

Руководитель Центра вирусных исследований и аналитики компании ESET Александр Матросов считает, что изложенная в докладе SERT информация в общих чертах достоверна.

— Согласно данным нашей компании, большинство популярных эксплойт-китов, которым исследователи компании уделяют большое внимание, действительно имеет российские корни, — соглашается специалист. — И мы также наблюдаем использование достаточно давно обнаруженных уязвимостей.

Александр Матросов пояснил, что так называемые эксплойт-киты или эксплойт-паки являются средствами для массовых атак и их создателям не важно, для нападений на какие цели эти программные средства будут использоваться. Эксплойт-паки применяются для того, чтобы создать некую критическую массу атакующих киберсредств. В данных условиях злоумышленники не рассчитывают на стопроцентный успех, но за счет массовости они достигают значительных результатов.

В компании ESET также подчеркивают, что в настоящий момент наибольшую популярность среди злоумышленников приобрели атаки на компьютерную инфраструктуру, использующую платформу Java. Преимущество таких атак в том, что многим компаниям приходится сознательно применять устаревшие версии среды Java, так как того требует какой-то необходимый для ведения бизнеса программный пакет. И это, в свою очередь, сводит на нет большой объем усилий по обеспечению кибербезопасности в компании. 

Переход бизнес-приложений с Java-платформы на какую-либо другую может занять много лет, и неизвестно, когда он закончится.

Сергей Никитин, заместитель руководителя компьютерной криминалистики и исследования вредоносного кода компании Group-IB, частично согласился с выводами исследовательского центра SERT, но высказал и критические замечания. 

— Действительно в России написано много вредоносных программ. Однако кибератаки могут собираться подобно конструктору из элементов, созданных злоумышленниками из разных государств. Один и тот же кусок кода может использоваться в разных эксплойт-паках, но это не дает полной уверенности, что он создан в России, — считает эксперт. — Так как SERT не раскрывает методологию своего исследования, то оно вызывает определенные сомнения. Если исследователи анализировали код программных пакетов на предмет наличия русских комментариев, это говорит лишь о том, что во многих из них использованы элементы, созданные русскоязычными программистами. Но это не является достоверным подтверждением того, что абсолютное большинство таких пакетов создано в России.

По словам Сергея Никитина, если специалисты SERT отслеживали продавцов эксплойт-паков, то это можно рассматривать как более точное подтверждение их российского происхождения. Однако может иметь место и перепродажа вредоносного софта лицами, не имеющими отношения к его разработке. Поэтому называть точные цифры и определять национальность создателей эксплойт-китов, не имея на руках серьезных доказательств, это очень смелое утверждение.