Специалисты «Лаборатории Касперского» ежедневно обнаруживают сотни тысяч объектов вредоносного кода. Объем коллекции угроз в настоящий момент насчитывает 620 млн образцов. Тысячи из них отлавливают с помощью специальных ловушек — ханипотов. Они представляют собой цифровые двойники уязвимых устройств. О том, как функционирует система отлова зловредов, «Известиям» рассказали в «Лаборатории Касперского».
Как только уязвимое устройство подключается к интернету — тут же в течение пяти секунд, по данным специалистов «Лаборатории Касперского», — оно подвергается атаке киберпреступников. Это происходит потому, что злоумышленники усовершенствовали свои системы мониторинга. Их автоматизированные средства ежесекундно сканируют весь интернет. Как только вредоносная программа «видит» присоединившееся новое устройство, она пытается либо подобрать логин и пароль, подставляя заводские учетные данные для этого устройства, либо проэксплуатировать его уязвимость.
По словам руководителя управления исследования угроз «Лаборатории Касперского» Тимура Биячуева, это происходит потому, что большинство пользователей никогда не меняют стандартные настройки в своих устройствах после покупки. Кроме того, часто изготовитель оставляет недоработки в программном обеспечении устройств.
— Люди пренебрегают нашими рекомендациями, поэтому зловредам довольно легко проникнуть в только что подключенное к интернету устройство и загрузить свой код, — говорит Тимур Биячуев. — После проникновения зловред начинает обходить интернет и искать новое уязвимое устройство, чтобы распространиться дальше. Таким образом, незащищенные устройства собираются в «бот-сети», которые можно использовать в преступных целях, например, для так называемых DDoS-атак (Distributed Denial of Service — распределенная атака типа «отказ в обслуживании». — «Известия»).
DDoS-атака представляет собой единовременную отправку запросов всеми устройствами зараженной сети. В этот момент атакуемый веб-сайт находится под беспрецедентной нагрузкой. Он оказывается не в состоянии обслуживать реальных клиентов. Таким образом наносится реальный ущерб владельцу. Одна из известных DDoS-атак на немецкую компанию Deutsche Telekom в 2016 году осуществлялась с помощью 900 тыс. устройств.
В «Лаборатории Касперского» созданы специальные ловушки (ханипоты — «горшочки с медом». — «Известия») для отлова зловредов. С их помощью можно получать образцы вредоносного кода или следить за действиями мошенников онлайн.
Ловушка представляет собой программу, которая имитирует работу какого-то устройства, например, видеокамеры или Wi-Fi роутера. В программе прописаны стандартные для уязвимых устройств настройки, например, пароли, зная которые злоумышленники легко получают доступ к имитируемому устройству. После загрузки вредоносного кода в ловушку он попадает в экспертную систему автообработки «Лаборатории Касперского». Эта система решает дальнейшую судьбу конкретного зловреда.
Если же система не смогла поставить вердикт, то образец отправляется на «ручной анализ» вирусному аналитику. 2–5% всех файлов, поступающих в антивирусную лабораторию, обрабатываются вручную. Остальные 95% обрабатываются автоматическим аналитиком — его еще называют «автодятлом». Он умеет анализировать угрозы разными способами, в том числе запускать пойманные зловреды в безопасном изолированном окружении для определения поведения. Если признаки вредоносного поведения обнаружены, система выносит вердикт об опасности кода, о чем мгновенно информирует всех пользователей продуктов «Лаборатории Касперского» и помещает файл в вирусную коллекцию.
На данный момент в вирусной коллекции содержатся миллионы образцов различных типов угроз. Каждый день «автоматическим аналитиком» обрабатывается примерно 360 тыс. новых уникальных вредоносных файлов. Тысячи из них — результат успешной работы ловушек.
— У нас есть сотрудники, в обязанности которых входит ежедневное наблюдение за ловушками, — поясняет ведущий исследователь-разработчик «Лаборатории Касперского» Виктор Чебышев. — Эти специалисты поддерживают сервис, добавляют новые типы ловушек, следят за тем, чтобы ловушки были максимально эффективны.
По мнению Кирилла Кожевникова, независимого эксперта по информационной безопасности, постоянного автора журнала «Хакер», ловушки для обнаружения новых атак и образцов вредоносного кода, несомненно, нужны.
— Вирусописатели, разумеется, от них не в восторге и стараются по возможности ловушки распознавать. Но сделать это довольно сложно, особенно если ловушка правильно настроена и качественно имитирует настоящее устройство или вообще является им. Однако нередко вредоносный код пишется так, чтобы распознавать искусственную среду, скажем, виртуальные машины, в которых вредоносное ПО изучается. Если вредоносное ПО замечает признаки тестирующей среды вокруг себя, то может не выполнять ряд вредоносных действий в надежде притвориться чем-то не опасным. Это стандартное соревнование снаряда и брони не закончится никогда. Но важно понимать, что все эти попытки обмануть автоматические системы и так-то не слишком эффективны, да еще и не помогут против подробно изучающего образец программы человека-аналитика.
Ловушки «Лаборатории Касперского» работают в разных регионах мира, чтобы иметь информацию о том, откуда атака началась. За последние полгода в общем мировом пространстве было найдено 86 560 зараженных устройств. Большая часть из них находится в Бразилии (23% от всех обнаруженных зараженных устройств), второе место с небольшим отрывом занимает Китай (17%). Россия расположилась на четвертом месте (7%).