Год назад, 2 декабря 2015 года, в результате сотрудничества между крупными компаниями по кибербезопасности, правоохранительными органами и поставщиками программного обеспечения – в том числе ESET и Microsoft – удалось уничтожить Dorkbot – семейство вредоносных программ, которые просачивались в системы по всему миру на протяжении более четырех лет.
Со времени его обнаружения в апреле 2011 года вирус Dorkbot создал множество проблем для компаний и частных лиц и был охарактеризован компанией ESET как «наиболее часто используемая модификация вредоносной программы» в докладе 2012 года, посвященном Dorkbot: «Охота за зомби в Латинской Америке» (Hunting Zombies in Latin America).
Проникая в компьютеры в более чем 190 странах мира – а особенно в Латинской Америке, на долю которой приходится более 54% случаев заражения, – вирус Dorkbot использовался как для получения финансовой и конфиденциальной информации, так и для выведения из строя корпоративных серверов.
Скрытое проникновение
Данную и другие аналогичные вредоносные программы часто распространяли киберпреступники, которые – после приобретения так называемого «набора для совершения преступления» – атаковали пользователей, отправляя им на первый взгляд подлинные электронные письма, проникая в социальные сети и службы мгновенных сообщений, а также используя съемные USB-накопители.
«Вы можете нажать на какую-то ссылку и тут же об этом забыть, – поясняет Зиа Рехман, эксперт по кибербезопасности в Perspective Risk. – После этого программа устанавливается на ваш компьютер, часто под видом других программ, необходимых компьютеру, а затем начинает контролировать ваш трафик в фоновом режиме».
«Кроме того, ваша компьютерная система может быть включена в [мировую сеть ботнет], – продолжает пояснять эксперт. – Затем [злоумышленник] может использовать все соединения одновременно для доступа, скажем, к Facebook или Ebay, и ваша система будет активно участвовать в таких атаках».
Мастерство ухищрений
Вирус Dorkbot, скрытый в тени многих компьютеров – и часто остающийся незамеченным – был способен устанавливать код на зараженные компьютеры, красть пароли и подключаться к IRC-серверу (Internet Relay Chat – ретранслируемый Интернет-чат), который затем получал команды для загрузки других вредоносных программ.
Не может не тревожить тот факт, что вирус Dorkbot также мог отключать пользователей от обновлений модулей обнаружения вирусов, а это означает, что, несмотря на обнаружение угрозы поставщиками и принятие соответствующих мер, пользователи по-прежнему не знали, что их система была заражена.
Легкодоступная преступникам, вредоносная программа использовалась для атаки на сайты, в том числе на AOL, eBay, Facebook, Netflix, PayPal и пр.
Уничтожение Dorkbot
Именно по этим причинам уничтожение вируса – «ранний рождественский подарок» – было таким долгожданным. Обмен информацией между организациями о поведении Dorkbot позволил объединить опыт со всего мира и уничтожить то, что переходило в разряд значительных угроз.
Такие действия были чрезвычайно успешными: контроль систем по всему миру со стороны Dorkbot был ослаблен. Однако существуют и другие подобные формы постоянно эволюционирующих вредоносных программ, которые по-прежнему представляют огромную угрозу для мировой кибербезопасности.
Эволюция угроз
«В этом году, к примеру, использовался ботнет Mirai, действующий на основе тысяч взломанных устройств «Интернета вещей», начиная от телевизоров до камер наблюдения, для атаки на важнейшие Интернет-сервисы в режиме офлайн», – поясняет Джо Хэнкок, директор по кибербезопасности в Mishcon de Reya LLP.
«Таким образом, когда конкретные атаки со стороны Dorkbot будут в конечном итоге предотвращены правоохранительными органами, общая стратегия действия ботнетов и тех, кто за ними стоит, будет заключаться в разработке инноваций и изменении тактики. Правоохранительные органы и сообщество специалистов по кибербезопасности должны усилить разработку собственных инноваций, чтобы успешно противостоять таким изменениям».
Важность обучения
Как отметил Рехман, риск можно свести к минимуму путем обучения частных лиц и организаций – в частности, правилам поведения в случае, если было открыто вложение или осуществлен переход по ссылке от неизвестного источника.
Чем больше люди знают, тем лучше они могут распознавать угрозы и тем выше их степень защиты. Данная ответственность также лежит на поставщиках средств по обеспечению безопасности, как было отмечено компанией ESET в 2012 году:
«Нам необходимо рассказать пользователям, что мы делаем и почему и как мы защищаем их от того или иного вида угрозы. В отрасли мы понимаем важность обновлений и беспокоимся о контенте, который попадается нам на глаза в нашей повседневной деятельности, но нам нужно поговорить с конечными пользователями на понятном им языке».
Защита мира
Несмотря на успех в деле уничтожения вируса Dorkbot, эта вредоносная программа относится к числу постоянно эволюционирующих угроз для компаний и мировой безопасности. Dorkbot – это «старый» тип вредоносных программ, при этом по-прежнему активный и способный к самообновлению.
Таким образом, становится очевидным, что как никогда важно обеспечить эффективную кибербезопасность для защиты от постоянно возникающих угроз, а также угроз, активных в цифровом пространстве.
Источник: WeLiveSecurity
