Целевые атаки - Александр Гостев - Интервью - 2018-03-20
М.Наки – 21
―
04 и мы начинаем наш сегодняшний эфир, который будет посвящен целевым атакам, а также атака на различные крупные компании, банки и прочее, которые совершаются во многом с использованием компьютерных технологий, иногда не совсем.Наш сегодняшний гость – это Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». Александр, здравствуйте!
А.Гостев
―
Добрый вечер!
М.Наки
―
Веду эфир я, Майкл Наки. Я напомню, что вы можете задавать вопросы нашему гостю, можете писать какие-то свои комментарии - может быть, вы сталкивались с чем-нибудь подобным - по СМС: +7 985 970 45 45, и аккаунт vyzvon в Твиттере.Давайте перейдем, собственно, нашей теме. Мы наблюдаем за новостями, мы в последнее время видим все больше и больше информации о каких-то кибератаках массовых, не массовых, видим информацию о потерях, которые несут банки, государства целые из-за компьютерных угроз.
Как вам как эксперту, как специалисту видится эта проблема всевозможных атак? Она становится больше с каждым годом, или есть какой-то определенный уровень, который всегда сохраняется?
А.Гостев
―
Вы знаете, когда я пришел работать в индустрию безопасности более 15 лет назад, в частности, у нас в «Лаборатории Касперского» каждую неделю мы обнаруживали примерно 500 новых вирусов. А вот сейчас в настоящий момент это число составляет 300 тысяч в день. Можете себе представить, как значительно выросло количество угроз, которые создаются.И за это время изменился также их качественный, конечно, состав. Если раньше вирусы создавались, скажем так, студентами, школьниками в основном с хулиганскими побуждениями, либо прославиться, попасть в новости со своим творением, то сейчас подавляющее большинство, более 90% подобных программ создаются с одной целью: это зарабатывание денег для их создателей. Остальные 9% - это целевые атаки, где доля финансовой составляющей не столь очевидна. Зачастую их интересуют просто данные, коммерческая информация, какие-то данные о ноу-хау. И остается еще большая все-таки доля порядка 1%, но в общем количестве атак это заметное число – это атаки, которые производятся с помощью спецслужб различных стран мира с целью защиты национальных интересов. И здесь объектом атаки зачастую становятся наиболее защищенные, казалось бы, предприятия.
М.Наки
―
То есть раньше это были люди, как во всяких сериалах мы видели, какие-то студенты собрались, что-то делают, то сейчас это уже крупные группировки, специалисты?
А.Гостев
―
Киберпреступность, она всегда стремилась к формированию некой экосистемы. Если мы поговорим конкретно о российской киберпреступности, то по нашим оценкам в ней на протяжении десяти лет состоит около 1,5 человек. Да, кто-то приходит, кто-то уходит. Обычно срок пребывания людей в статусе киберпреступника он составляет где-то полтора-два года. Но это ядро – 1,5 тысячи человек – оно остается. И эти люди объединены примерно в 20 группировок, которые, с одной стороны, всячески между собой конкурируют, с другой стороны, сотрудничают. У них есть свои собственные закрытые рынки, где они продают друг другу украденные данные, какие-то технологии и так далее. И возрастной, собственно, диапазон этой группы, он крайне широк, начиная от 15-16 лет, и были случаи ареста киберпреступников, которым под 60.
М.Наки
―
Ничего себе! Слушайте, 1,5 тысячи человек – это не звучит как очень много людей, честно говоря. Вот я так представляю полторы тысячи человек – это даже не стадион. Насколько серьезное влияние они могут оказать на какие-то компании, насколько большой ущерб они могут причинить? То есть, есть смысл их опасаться, раз их не так уж и много?
А.Гостев
―
Сейчас основной проблемой для российских финансовых институтов, российских банков являются именно кибератаки как раз со стороны этих русскоязычных группировок. Я говорю, русскоязычных, потому что в целом мы рассматриваем как русскоязычную экосистему, но при не обязательно, что это люди, которые живут в России. Эти люди могут проживать на Украине, в странах Прибалтики, где-нибудь в Средней Азии. Это экосистема, в которой говорят просто на русском языке. Сейчас эти группировки активно атакуют российские банки на протяжении нескольких лет, и сумма хищений достигает несколько десятков миллионов долларов. Если раньше они атаковали обычных пользователей системы онлайн банкинга, то сейчас они предпочитают красть деньги из банков.Здесь, собственно, у нас есть один просто уникальный пример. Он не связан с России. История произошла два года назад в Бангладеш, когда Центральный банк Бангладеш оказался атакован хакерами, которые пытались украсть 1 миллиард долларов. Удалось им украсть около 80 миллионов. Остальные платежные поручения были остановлены. Эту атаку удалось пресечь, но, в общем, 80 миллионов украли, миллиард – пытались.
В истории российских банков тоже были инциденты, когда пытались украсть, действительно, грандиозные суммы денег.
М.Наки
―
Как это происходит? Я так понимаю, что ни я, ни наши слушатели не очень понимают. Вот вы говорите, 80 миллионов украли, хотели украсть миллиард, и сразу представляется, как люди заходят в банк, берут мешочки и потихонечку их переносят. Что эти атаки вообще из себя представляют?
А.Гостев
―
Традиционный способ проникновение в банки через электронную почту. Сотруднику банка приходит письмо, содержащее либо ссылку на вредоносную ссылку, либо прямо в виде вложения приходит троянская программа. Это не обязательно должен быть человек, который имеет доступ ко всем системам банка. Достаточно проникнуть, грубо говоря, в какой-нибудь филиал. И уже дальше из него, планомерно заражая другие компьютеры, хакеры добираются до людей, которые являются системными администраторами. И вот уже оттуда с помощью традиционных банковских систем перевода денежных средств, ну, например, система SWIFT глобальная система перевода денег между банками…
М.Наки
―
Ей пользуются все.
А.Гостев
―
Да. Соответственно, если вы получили доступ к системе SWIFT, то вы можете формировать какие угодно проводки от лица клиентов банка и отправлять эти деньги, куда вам вздумается. Если банк корреспондент не заподозрит ничего, выполнит эту транзакцию, деньги уйдут. Собственно, в ситуации с Бангладеш из этих 80 миллионов 60 миллионов ушло на счета филиппинских казино, где они успешно были обналичены, отмыты, и след их теряется. Вот так это работает.
М.Наки
―
А банки сами как-то не могут справиться с этой проблемой? Вот вы говорите, присылают письма и через них каким-то образом получают доступ к системам. Неужели банки сами не могут справиться с таким достаточно древним способом атак?
А.Гостев
―
А здесь как раз большую роль играет именно способ проникновения, точнее, не способ, а точка проникновения, поскольку зачастую атаки проходят именно через филиалы, где уровень компьютерной грамотности сотрудников он достаточно низок, не всегда используются современные защитные программы, не всегда установлены все необходимые обновления операционной системы. То есть банк, как правило, стремиться к защите своего офиса центральной структуры, но при этом иногда забывает, что у него есть филиалы, которые также имеют доступ в эту самую сеть. И сами по себе эти атаки не столь легко выявляемы, как традиционные вирусные атаки. Поскольку хакеры сидят в банковской сети очень долго, зачастую несколько месяцев, выжидают, собирают информацию о том, как работают эти системы, и ведут себя абсолютно так же, как бы вел сегодня сотрудник банка в это самое время.Раньше, я помню, лет 10 назад были кибератаки на российские банки, и там в одном случае злоумышленники попались просто на том, что они стали осуществлять свою работу с зараженного компьютера в одном из банковских филиалов в четыре часа утра.
М.Наки
―
Когда обычно люди не работают.
А.Гостев
―
Да, когда обычно в этом филиале никто не работает. И именно эта активность, собственно, и привела к их обнаружению. Сейчас, разумеется, таких ошибок они уже не допускают.
М.Наки
―
А есть ли какие-то средства, которыми можно как-то защититься? Опять же вы из «Лаборатории Касперского». У вас есть там линейка антивирусов. Они как-то могут помочь в такой ситуации?
А.Гостев
―
Традиционно антивирусное решение больше предназначено все-таки скорее для домашних пользователей, для защиты, допустим, ноутбуков, смартфонов и так далее. Для отражения таких целевых атак, которые отличаются уникальностью, поскольку используемые в них вредоносные программы, они, действительно, уникальны. Они создаются под конкретную жертву, больше никогда и нигде не используются. Вот такие вещи необходимо обнаруживать другими методиками. И для этого у нас есть, собственно, отдельное решение, называется КАТА.
М.Наки
―
Какая-нибудь аббревиатура наверняка.
А.Гостев
―
Да, это аббревиатура. Kaspersky Anti Targeted Attack детектор. Это дополнительный элемент защиты, который предназначен именно для защиты сетей предприятий и крупных компаний, когда это аномальное поведение в сети компании можно обнаруживать. И сейчас мы видим, что рынок традиционных антивирусных решений практически целиком начал смещаться в область защиты от целевых атак, поскольку ущерб от них гораздо более внушителен.Ну, и киберпреступникам гораздо проще на самом деле атаковать. Ну, представьте: атаковали банк – украли миллион долларов. Либо им необходимо заразить миллион пользователей, чтобы украсть с каждого по доллару. Задача гораздо более сложная. Поэтому они идут по пути наименьшего сопротивления. Сейчас спектр этих атак начинает сужаться именно в область компаний. То есть обычные пользователи сейчас имеют меньше вероятности столкнуться с вредоносной программой, чем какая-нибудь крупная корпорация.
М.Наки
―
Здесь получается, что рядовые пользователи, которые в игрушки играют или что-то, они могут выдохнуть чуть-чуть, хотя тоже не до конца, потому что те самые школьники, о которых вы говорили, вначале, скорее всего, будут атаковать их, но бизнесу, банкам и компаниям, которые занимаются агрегацией данных, им как-то сейчас стало напряженнее жить.
А.Гостев
―
Для рядовых пользователей уже последние несколько лет главной проблемой все-таки являются все-таки программы-шифровальщики. Особенно Россия здесь является таким печальным лидером…
М.Наки
―
Это типа что-то Wanna Cry, вируса, который мы видели?
А.Гостев
―
Совершенно верно. Да, это вирусы, которые попадают на ваш компьютер, шифруют ваши данные, затем начинают просить денег за восстановление, за расшифровку. Причем во многих очень случаях злоумышленники не восстанавливают данные, даже если вы им заплатили выкуп. Поэтому мы всех пользователей в такой ситуации призываем не платить.У нас есть специальный проект, который ведется нами совместно с другими антивирусными компаниями, а также более чем с тремя десятками различных полицейских организаций, включая Интерпол, Европол, специальный сайт No More Ransom. называется. И если вы стали жертвой шифровальщика, вы может зайти на этот сайт и попробовать там взять либо программу для расшифровки (возможно, она уже создана), либо попробовать восстановить эти данные.
Как мы получаем эти ключи для восстановления – как я сказал, здесь есть полиция; полиция арестовывает этих людей, авторов этих вирусов, изымают у них, собственно, ключи для расшифровки и на этом сервере их публикуют. Так что, в общем, довольно большая вероятность того, что удастся восстановить ваши данные, она существует.
Собственно, Wanna Cry оказался как раз примером того, когда данные нельзя восстановить, даже если вы заплатите деньги. Мы считаем, что, на самом деле, этот вирус был создан, скорее, с тестовыми целями и случайно вырывался на волю из лаборатории, где его создали, и пошел гулять по миру. И вот восстановление данных в нем изначально было не предусмотрено. Несмотря на это, по-моему, всего лишь около ста человек по всему миру заплатили все-таки этот выкуп, собственно, авторам Wanna Cry.
Это было очень интересно, поскольку случилось это все у нас, если я не ошибаюсь, в апреле прошлого года, а оплату принимали они в биткоинах. Просили заплатить что-то 0,3 биткоина. Спустя короткое время курс биткоина начал стремительно расти. В общем, если на момент начала эпидемии в апреле-мае количество денег, которое заработали создатели Wanna Cry, оценивалось в 150 тысяч долларов, то к концу прошлого года, к декабрю сумма выросла примерно в шесть раз и составила примерно миллион долларов. Вот так люди легко и непринужденно заработали миллион долларов в биткоинах, при этом, разумеется, данных никому не восстановили.
М.Наки
―
Ну, правда, потом он упал, поэтому поделом этим людям. Не всё им масленица.Давайте вернемся к целевым атакам. Потому что тут возникают вопросы, только ли банкам стоит бояться? Потому что вы так описываете, как будто действительно, все, кто не банки, могут как-то выдохнуть и не переживать за безопасность.
А.Гостев
―
Банки – это наиболее очевидная цель для преступников. У них логика здесь прямолинейная: деньги, значит – банки. Вместе с этим мы видим растущее число атак и попыток атак на предприятия критической инфраструктуры, в частности, на энергетическую сферу. И здесь уже было несколько инцидентов на Украине в недавнем прошлом. И в 2015 году, и в 2016 году, когда украинские энергосети подвергались атаке со стороны хакеров, и просто физически выключалось электричество в нескольких украинских регионах, и люди сидели без света.Не так давно американские спецслужбы опубликовали бюллетень информационный, что ими зафиксированы попытки вторжения со стороны российских хакеров в американские компании, отвечающие за электроэнергию. И мы, действительно, к сожалению, видим, что будущее развитие атак будет протекать в области, скорее, критической инфраструктуры, то есть: электричество, транспорт, средства коммуникации, любые системы беспилотные такие как автомобили, системы доставки, возможно, «умные дома» и «умные города» - это будущее поле битвы, и к этому готовиться нужно уже сейчас.
С нашей стороны, со стороны «Лаборатории Касперского» мы, в частности, допустим, разрабатываем собственную операционную систему, предназначенную именно для работы в системах, которые относятся к критической инфраструктуре. То есть мы предлагаем альтернативу. Вместо операционной системы Windows есть наша защищенная операционная система, которая должна работать именно в промышленных производствах.
К сожалению, были примеры… Печально известный пример червя Stuxnet, который был обнаружен еще в 2010 году и был создан для атаки на ядерную программу Ирана. То есть его целью являлся завод по обогащению урана. Он должен был попасть туда и вывести из строя центрифуги, в которых происходит обогащение урана. Вывести из строя путем подачи неправильных команд, которые должны были раскрутить эти центрифуги до неположенной скорости, затем резко скорость сбросить, в результате чего должно было происходить просто физическое разрушение этих устройств.
Успешность этой атаки не очень известна. Но есть данные, что в определенный момент времени примерно 30% центрифуг на этом заводе были вывезены. Есть записи с видеокамер наблюдения, как эти сломанные центрифуги оттуда вывозят. Это был пример, который показал реальность подобных атак. И это, действительно, нас заботит гораздо больше, чем традиционные атаки с целью хищения денег.
М.Наки
―
Вы говорите, критические инфраструктуры. Но это сейчас, получается, что всё. Потому что я помню, что и с больницами в Великобритании были проблемы. Сейчас же всё, я так понимаю, основано на сетевых функциях. Это может подвернуться атаке любой завод, любая больница, любой полицейский участок с картотекой. Я помню, с МВД были какие-то проблемы, когда какую-то базу взломали.Вот Аня из Москвы вам задает такой вопрос: «Зачем эти атаки на свет, например? Зачем выключать свет? Какая цель у таких атак?»
А.Гостев
―
Здесь два возможных варианта, почему это может произойти. Первый вариант – это вымогательство, когда киберпреступники говорят: «Заплатите нам денег или мы отключим электричество».
М.Наки
―
Ну, незашифрованный компьютер – это уже вопрос целого электричества.
А.Гостев
―
Рискованный, конечно, способ, который может быть, в принципе, приравнен к терроризму. Ну, и собственно, проблема самого кибертерроризма здесь стоит довольно серьезно, когда вместо физических атак различные террористические группировки могут взять на вооружение проведение кибератак, что является для них более безопасным. Найти человека, который эту атаку провел практически невозможно, чем человека, который приходит и захватывает где-то заложников.И последние геополитические разногласия между разными странами мира, они постоянно сейчас сопровождаются заявлениями различными, что будут кибератаки. Обсуждается вопрос о том, как государство должно реагировать на кибератаку, нацеленную на критическую инфраструктуру. И существует такой документ, «Таллинский мануал» так называемый, разработанный странами НАТО, в котором, в принципе, уже поставлен вопрос о том, чтобы приравнять кибератаку, в частности, на госпиталь к обычной физической атаки и реагировать на нее традиционными средствами.
М.Наки
―
Война.
А.Гостев
―
Вы прислали нам вирус – мы ответим ракетой. Этот, собственно, вопрос встал уже сейчас в полный рост.
М.Наки
―
А насколько вообще можно вычислить, кто атаковал именно? Это, в том числе, со странами, но и, в принципе, с теми же банками - есть ли возможность вычислить своими силами или, например, силами «Лаборатории Касперского», кто, откуда, как-то вот это понять?
А.Гостев
―
Наш опыт работы с российскими правоохранительными органами и международными – мы, в частности, очень плотно сотрудничаем с Европолом и Интерполом в расследовании компьютерных киберпреступлений, – он показывает, что при желании этих традиционных киберпреступников, которые атакуют, допустим, банки или пишут шифровальщики-вымогатели, найти можно.Я, допустим, помню, что пару лет назад в России была очень громкая история с арестом 50 человек, в 9 разных городах России одновременно была проведена полицейская спецоперация. Люди, причастные к созданию одного из банковских троянцев, были арестованы. Были другие случаи ареста российских хакеров. Буквально позавчера в Польше был арестован один из создателей вируса-шифровальщика. И эти примеры известны. С вирусами же, которые создаются не традиционной киберпреступностью, а вирусы, которые больше относятся к деятельности каких-либо стран или спецслужб, - вот здесь гораздо сложнее, потому что международной кооперации в этих вопросах добиться, я думаю, практически невозможно…
М.Наки
―
Как и во многих других.
А.Гостев
―
И подобные инциденты как-то пытаются все-таки спустить на дипломатическом уровне, не доводя до конкретных полицейских расследований.
М.Наки
―
Вы о вирусах так говорите, что вот их по 300 тысяч в день сейчас, и при этом это все делает полторы тысячи человек… нет?
А.Гостев
―
Полторы тысячи - это только российская киберпреступность. Кроме нее есть китайская, и китайская, как вы понимаете, там счет идет уже на десятки тысяч хакеров, и китайская киберпреступность наиболее массовая. Кроме российской и китайской есть еще латиноамериканская, которая включает в себе Бразилию, бразильские хакеры наиболее заметны. Есть очень сильная хакерская школа, допустим, в Турции. Турецкие хакеры специализируются на взломах веб-сайтов, допустим. Мы видим постоянный рост числа хакерских атак со стороны индийских и пакистанских хакеров.В общем, сейчас все крупнейшие страны мира имеют свои какие-то киберпреступные группировки. И вот все вместе они создают эти 300 тысяч вредоносных программ.
М.Наки
―
Хорошо. Но все равно 300 тысяч вредоносных программ в день – это, конечно, достаточно большие цифры. Насколько эти вирусы легко делать? И почему нельзя сделать, условно, одну «таблетку», антивирус, чтобы его «Лаборатория Касперского» разработала - вот ее ставишь, и больше никогда ни один вирус тебя не трогает? Почему нельзя так сделать?
А.Гостев
―
Потому что, во-первых, существует проблема, связанная с тем, что все чаще и чаще вирусы создаются не только для персональных компьютеров и обычных ноутбуков, но и для мобильных телефонов. Здесь, к сожалению, можно говорить о стопроцентной доле андроида. Вирусы – я имею в виду любые троянские вредоносные программы. Для айфона, например, за всю историю существования айфона было обнаружена что-то меньше 10 штук. Для андроида это число составляет также несколько тысяч каждый день, и они, собственно, тоже входят в эти 300 тысяч.Ну, и потом в целом вирусы для традиционных компьютеров, они, несмотря на все, отличаются, конечно, различным поведением. Какие-то пытаются зашифровать, какие-то пытаются украсть у вас пароли на доступ к онлайн банкингу. Какие-то просто пытаются украсть у вас пароли от социальных сетей – от Фейсбука, Твиттера, ВКонтакте и так далее, - чтобы дальше уже от вашего лица рассылать ссылки на себя. Какие-то вирусы занимаются тем, что просто ставят кейлоггер на ваш компьютер, перехватывают все данные, вы вводите. В общем, вариантов этих вредоносных программ, поведения – их несколько десятков.
М.Наки
―
То есть это не обязательно такая штука, которая плашку на весь экран… То есть помимо этого могут быть вирусы, которых вы даже заметить не можете.
А.Гостев
―
Совершенно верно. На самом деле, большинство вирусов стремиться к тому, чтобы быть незаметными, чтобы сидеть тихонько в вашем компьютере и выполнять какие-то действия, например, рассылать спам с вашего компьютера, либо организовывать DDoS атаку, то есть отсылать бесчисленное число запросов на какой-то веб-сайт. И когда такое число компьютеров, которые запросы отсылают, становится несколько миллионов, то падает любой сайт в интернете.И здесь мы видим гигантские эпидемии подобных вирусов для организации DDoS нацеленных не на заражение персональных компьютеров, а, допустим, роутеров, тех самых, которые обеспечивают ваш интернет. Киберпреступники научились заражать их, поскольку люди не меняют обычно пароли по умолчанию, которые идут от производителя, не обновляют на них прошивку. Поэтому, соответственно, пару лет назад была гигантская эпидемия вируса для роутеров. Роутеры, веб-камеры, различные умные устройства, они так же заражабельны и являются источником проведения этих атак, в частности, допустим, атак со стороны этого роутера-ботнета, состоящего из роутеров.
Была проблема с доступа в интернет у более чем миллиона пользователей в Германии. Я помню, что была проблема с доступом в интернет в Сингапуре. Какая-то из западноафриканских буквально на пару дней была от интернета отключена, поскольку у них канала в интернет не такой большой, и он был весь забит мусорным трафиком.
Собственно, киберпреступники стремятся всеми доступными способами монетизировать свои создания. Нельзя у пользователя украсть деньги с его компьютера – используем его компьютер как зомби, пускай он посылает бессмысленные запросы. Мы будем требовать выкуп с владельца веб-сайта за прекращение атаки.
М.Наки
―
Я напомню, что мы сегодня говорим о целевых атаках. И у нас в студии – наш гость Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». И вы можете присылать ваши вопросы, участвовать в эфире по телефону: +7 985 970 45 45, аккаунт vyzvon в Твиттере. Сейчас мы сделаем небольшой перерыв на новости и после этого вернемся к эфиру.НОВОСТИ
М.Наки – 21
―
35. Мы продолжаем наш эфир, посвященный целевым атакам и, в принципе, всяким кибератакам. И у нас в гостях – Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». И хотел бы вот еще о чем у вас спросить, раз уж мы заговорили о нападении государства на государство с помощью, в том числе, целевых атак, про Иран, которых лишился своих центрифуг – насколько это, вообще, масштабно? То есть это одна атака в год или одна атака в день? Насколько это большая проблема для современных государств?
А.Гостев
―
Проблема становится серьезней с каждым днем, поскольку всё больше и больше стран, к сожалению, выходят на эту арену и становятся игроками. Если буквально 5-7 лет назад к числу стран, которые имеют специальные подразделение, предназначенные для проведения кибератак – таких стран можно было пересчитать по пальцам одной руки, то с каждым днем их число увеличивается, и выходят совершенно неожиданные, казалось бы, игроки. Вот, в частности, Северная Корея.
М.Наки
―
Не самая развитая в плане интернета страна.
А.Гостев
―
Казалось бы да, но это, действительно, сейчас один из главных «плохишей» в интернете. И северокорейские хакеры ответственны, в частности за ту атаку на Центральный банк Бангладеш, о которой я рассказывал, где пытались украсть миллиард долларов. Эта же северокорейская группировка ответственна на кибератаку на компании Sony Pictures в 2014 году…
М.Наки
―
То есть это не обязательно страна против страны, это может быть и страновое объединение против каких-то конкретных игроков.
А.Гостев
―
Как раз Северная Корея, она просто рвет здесь все шаблоны в этом смысле, поскольку обычно какая-то страна атакует дипломатические, допустим, или военные структуры другой страны. И понятно, зачем это делается. В ситуации с северокорейскими хакерами, собственно, сначала никто не мог понять, зачем это всё. Потом с тали понимать, что, во-первых, цель – идеология. Сорвать премьеру фильма-интервью – это причина атаки на Sony Pictures. Атака на Центральный банк Бангладеш – это способ заработать деньги, поскольку Северная Корея под санкциями…
М.Наки
―
Не самая богатая страна.
А.Гостев
―
Да, она отрезана от системы SWIFT, то есть невозможно производить платежи. То есть страна выступает в роли такого пирата XXI века, просто грабит всё что можно. Но, к счастью группировка северокорейская только одна. Она довольно массовая, но одна, поэтому и творения, эти вирусы, которые они используют, их довольно просто узнавать в лицо, по почерку определять.С другими странами не все так радостно. Допустим, Китай является одним из старых игроков на арене кибератак. И количество китайских хакерских группировок, которые явно работают на китайское правительство, армию или как-то связаны с ними, оно составляет порядка трех десятков. И раньше они, вообще, действительно, атаковали весь мир. При этом, конечно, отдавая предпочтение атакам на США, где объектом их интереса были как раз технологии. То есть они атаковали компании, занятые в военной сфере и пытались украсть буквально чертежи новейших истребителей, еще что-то такое.
М.Наки
―
Телефонов, судя по появившимся в Китае телефонов.
А.Гостев
―
В конце концов, американцам это надоело, поскольку, действительно, количество атак стало запредельным, и президент Обама незадолго до ухода, собственно, в отставку, он встретился с китайским премьером, председателем Си Цзиньпинем. Он поставил вопрос ребром. Никто не знает, что там было сказано дословно, но после этого количество китайских атак против американских структур упало до нуля. То есть они просто перестали атаковать и переключились на Россию. То есть мы буквально тут же отметили в течение года более трехкратный рост со стороны тех самых китайских группировок, которые раньше атаковали США. Они стали атаковать российские.
М.Наки
―
С одной стороны, это приятно, что на втором месте после США по привлекательности для китайцев в сфере, в том числе технологий, идет Россия. Но, с другой стороны, технологии-то все равно крадут.
А.Гостев
―
Крадут, и именно технологии, относящейся к военной сфере. И также в числе интересов для китайских хакеров являются наши компании в области нефтегазовой промышленности. На что, собственно, Россия ответила тем, что… широко известна история с российскими хакерами, которые атаковали американскую Демократическую партию, и сейчас идут обвинения в том, что российские хакеры создали вирус НепПетя, который тоже значительно прошелся по миру.У нас нет стопроцентной информации о том, что за той или иной группировкой стоит та или иная спецслужба, но есть такое понятие: китайскоязычные, русскоязычные группировки, имеющие тот или иной след. И, действительно. Нам известны примерно четыре русскоязычные хакерские группировки, которые работают на протяжении больше чем десяти лет, - а следы одной из группировок уходят, чуть ли, не в 98-й год, - которые по своим интересам, объектам, которые они пытаются заразить, явно не стремятся денег заработать. Их интересует информация, и объектом их атак становятся дипломатические ведомства, правительственные структуры, военные институты различных стран мира.
В частности, одна и таких группировок была замечена в атаках на Центризбирком Украины в 2014 году перед выборами президента Украины. Также вот эти русскоязычные группировки засветились в тех самых атаках против украинских энергосетей, о которых я говорил.
Собственно, мы видим, что все больше и больше стран, помимо русскоязычных группировок. Есть вирусы, которые явно созданы людьми, которые говорят, допустим, на испанском языке, на французском. Разумеется, Израиль как одна из технологических супердержав здесь тоже не отстает. И, например, тот самый Stuxnet, который атаковал иранскую ядерную программу, считается, был создан именно израильскими спецслужбами в сотрудничестве с американскими. И, собственно, США здесь явно лидер в этой области. И, скажем, вирусы прошлого года Wanna Cry, НеПетя, которые поразили миллионы компьютеров, они своим не источником… но косвенной причиной из создания является утечка секретных данных именно из американских спецслужб.
М.Наки
―
То есть не специально это получилось? В смысле сам вирус был создан специально, но, благодаря неспециальной утечке…
А.Гостев
―
Неспециальной утечек, когда из американского, собственно, Агентства национальной безопасности каким-то образом утекли исходные коды вредоносных программ и, в том числе, эксплойтов для еще неизвестных уязвимостей в операционной системе Windows. И в начале прошлого года хакерская группировка Shadow Brokers, которая взяла на себя ответственность за эту утечку, и которая пыталась до этого эти данные кому-нибудь продать за несколько миллионов долларов. Она, в конце концов, опубликовала их в интернете бесплатно, и там, собственно, были эти самые уязвимости для Windows, от которых на тот момент еще не было защиты, не было патча от производителя. И, разумеется, киберпреступники, получив в свои руки такой инструмент – эксплойты NSA – тут же встроили их в свои вредоносные программы, и одной из этих программ оказался тот самый Wanna Cry.А потом случился еще НеПетя. Это уникальная вредоносная программа не только, потому что он использовал эксплойты, украденные из NSA, не только потому, что шифровал компьютеры, да так, что потом удалял всю зашифрованную информацию с жесткого диска, то есть сначала происходило шифрование, потом тотальное удаление - это уже, скорее, вайпер. Интересен еще способ распространения. Изначально распространение НеПети началось с одного сайта на Украине украинской компании M.E.Doc, которая производит бухгалтерский софт.
М.Наки
―
То есть это не банк…
А.Гостев
―
Нет. Если в России все пользуются в основном софтом от 1С – бухгалтерия, на Украине, понятно, 1С уже давным-давно запрещен, поскольку российская разработка. И все частные компании так и государственные органы перешли на аналогичную украинскую разработку от компании M.E.Doc. Хакеры скомпрометировали сайт компании M.E.Doc, встроили свой вредоносный код в набор обновлений для этой программы, и, таким образом, в один прекрасный день, буквально за пару дней до сдачи полугодовой финансовой отчетности примерно 400 тысяч украинских предприятий загрузили себе, как положено, обновления с сайта компании-производителя. И вот это обновление содержало в себе этот вирус НеПетя, который потом пошифровал, уничтожил буквально всё.Вот это была целевая атака, но она была целевая по своей структуре. Целью были украинские компании и госорганы, но из-за того, что этой системой M.E.Doc пользовались не только украинские компании, но и международные организации, которые имеют на Украине свои филиалы, вирус распространился по всему миру. И здесь наибольший ущерб понесла такая известная датская компания грузоперевозок Maersk, у которой просто встало гигантское количество грузовых терминалов в различных портах мира, в Индии, в частности. У Maersk буквально на две недели просто встали все грузоперевозки, поскольку база данных о том, какие контейнеры куда должны идти, она была вся уничтожена. И Maersk в итоге оценил свой ущерб от этой атаки в 350 миллионов долларов.
Кроме этого мы знаем, что от НеПети пострадала российская компания «Роснефть», которая также заявляла о том, что у нее какие-то из филиалов в Сибири тоже оказались подвержены этому заражению. Казалось бы, где «Роснефть» и где украинские компании. Но интернет в настоящее время он настолько пересекается, что вы никогда не знаете, где это всплывет. «Роснефть», Maersk и австралийский завод шоколадной компании Cadbury также пострадал от НеПети. Здесь, казалось бы, где Австралия, а где Украина…
М.Наки
―
То есть территориальный фактор, он уже как бы не работает.
А.Гостев
―
Не работает. И мы видим, что даже если целью атаки является какая-то организация, например, как с иранским этим заводом в 2010 году – целью-то был иранский завод, но вирус распространился тоже по всему миру и поразил, в частности, американскую нефтяную компанию Chevron. Мы видим, что эти инструменты в интернете невозможно контролировать. Да, вирусы, черви, они распространяются моментально, и это, собственно, хорошее предупреждение всем странам, которые надеются использовать кибероружие для атаки на кого-либо, они должны четко понимать, что, во-первых, вы можете атаковать не конкретную цель, которую вы хотите атаковать – вы можете поразить еще непричастных.
М.Наки
―
Отрикошетить.
А.Гостев
―
Да, и кроме этого, созданное вами кибероружие может быть в дальнейшем использовано против вас, как это получилось с этим эксплойтом от NCA, который был потом использован в Wanna Cry, НеПетя.
М.Наки
―
Получается, что даже если вы страна, компания, у которой вроде и врагов-то нет, и сама она особой суперценности не представляет, то все равно на вас может распространиться целевая атака, которая была нацелена на кого-то другого. Я напомню, что мы беседуем с главным антивирусным экспертом «Лаборатории Касперского» с Александром Гостевым.А что, собственно, делать с этим? Насколько, вообще, компании и страны понимают угрозы и насколько они способны сами это нейтрализовать или они взаимодействуют с различными компаниями, с вашей, например, для того, чтобы как-то попытаться все эти последствия, как я понимаю, достаточно масштабные и объемные, как-то предотвратить или минимизировать издержки от их появления?
А.Гостев
―
Здесь ситуация отличается, на самом деле, от страны к стране. И если мы, допустим, посмотрим на США, в США изначально несколько лет назад, когда начались подобные целевые кибератаки, тогдашняя президентская администрация заняла позицию, что спасение утопающих – дело рук самих утопающих и, дорогие американские компании, в общем, сами как-то с этим справляйтесь, мы не будем вмешиваться в весь этот процесс.И многие говорили о том, что это, знаете, как во времена Карибского кризиса в 62-м году, если бы американским домохозяйствам предложили самостоятельно закупить зенитные установки и самостоятельно обстреливать падающие на них возможные советские ядерные боеголовки.
Понятно, что когда мы говорим, что целевые кибератаки зачастую спонсированы каким-либо государство, государство, которое является объектом этих атак, оно должно брать на себя защиту критической инфраструктуры в целом. И сейчас Америка пошла именно по этому пути. То есть у них сейчас вырабатываются различные нормативные акты, в том числе, обязательные для исполнения о том, что компании должны сообщать об атаках, они должны применять определенные политики и так далее.
В России ситуация не столь пока, к сожалению, оптимистичная. Этот процесс только начался. Одновременно мы видим со стороны российского государства стремление все-таки как-то засекретить эту деятельность. Недавно был принят закон, который расширяет понятие гостайны. Под понятие гостайны сейчас попадает информация о защищенности, а также об инцидентах, связанных с предприятиями госорганов, и предприятиями, которые относятся к критической инфраструктуре, а сюда же относятся и банки, в частности.
То есть нам не очень понятна пока юридическая почва, как работать компаниям в области безопасности в условиях, когда информация о вирусном инциденте в каком-либо банке может, в принципе, считаться гостайной. Но все-таки есть технические средства, с помощью которые эти атаки, так или иначе, надо пресекать. И здесь спектр решений достаточно широк. Как я сказал, у нас есть, помимо традиционных антивирусных решений, технология защиты от целевых атак. И все-таки, с моей точки зрения, самое важное – это повышение компьютерной грамотности, проведение обучения.
М.Наки
―
Ну, есть какие-то тренинги для сотрудников, причем всех, потому что, как мы видели, на филиалах отдаленных какой-нибудь администратор откроет какое-то письмо и всё накроется.
А.Гостев
―
Необходимо показать, как вообще работает социальная инженерия, как злоумышленники заставляют вас запускать файлы неизвестных отправителей, ходить по ссылкам, которые вам приходят в электронной почте, в социальных сетях. Вот этот процесс обучения, он, на самом деле, гораздо более важен, чем просто техническое решение. Технически вы можете защититься, но вы должны понимать просто, что стопроцентной защиты, увы, не бывает – это такая аксиома информационной безопасности. Вы можете только поднять этот уровень вашей защиты максимально к 100%, допустим, 99,9%, но все равно останется какая-то доля вероятности, которая существует. И зачастую именно этот процент приходится как раз на человеческий фактор.Просто нужно понимать, что если у вас есть информация, которая стоит 10 миллионов долларов, то рано или поздно найдется кто-то, кто будет готов потратить 9 миллионов долларов для проведения атаки на вас, чтобы эту информацию украсть, продать и заработать миллион. И здесь, собственно, можно говорить не только о технических методах проникновения в компанию, а как раз о социальной инженерии. Зачем пытаться заразить вашу компанию вирусом, когда можно взять и устроить к вам на работу какого-нибудь человека, инсайдера, который придет к вам в компанию, будет работать системным администратором и будет иметь доступ ко всей инфраструктуре? Это тоже большой фактор риска.
Мы видим, что российские компании последнее время все чаще и чаще стали беспокоиться этой вот проблемой именно обучения сотрудников. То есть технически средства есть, да, всё понятно. Но вот фактор, когда есть человеческий риск, либо инсайдеры, либо простейшая социальная инженерия, когда вас атакуют зачастую даже без помощи каких-то вредоносных программ, но вы никогда не можете знать о том, что те люди, с которыми вы общаетесь в социальной сети, это те собственно… допустим, ваши знакомые. Вам приходит ссылка от вашего знакомого ВКонтакте в личку какая-то. Но это, может быть, не ваш знакомый, это, может быть, хакер, который получил доступ к его аккаунту, угнал, собственно, доступ. Вы с рабочего компьютера открыли эту ссылку - всё, привет!
И, действительно, этот способ, когда атакуют жертву не напрямую, а атакуют либо людей, которые являются друзьями и знакомыми людей, которые работают в интересующей компании, либо атакуют интересующие вас компании через контрактор. Вот те же самые примеры с целевыми атаками. Не так давно ряд российских оборонных предприятий был атакован по электронной почте, когда к ним приходило письмо от их обычных, скажем так, адресатов, то есть от тех компаний, с которыми они общаются каждый день. То есть хакеры получили доступ к тем компаниям и уже с их адресов электронной почты как бы в рамках обычной деловой переписки стали слать вирусы. Но все же доверяют своим контрагентам и тем людям, с которыми они общаются каждый день. И вот эти риски, они очень-очень серьезные. И, конечно, российские банки здесь являются лидерами. Мы видим, что Центральный банк России уже довольно давно создал структуру, которая называется FinCERT, то есть команда по реагированию на инциденты.
И сейчас речь идет о том, что российские банки должны будут в обязательном порядке сообщать в FinCERT о всех кибератаках против себя. Сейчас FinCERT собирает как-то информацию на добровольных началах о том, что идет кибератака на такой-то банк, выглядит этот так-то. И привлекают, разумеется, нас, экспертов в области безопасности. Собственно, мы должны создать соответствующее противоядие. Мы можем помочь в проведении расследования. Мы можем подготовить необходимые документы для следствия, то есть то, что называется, провести экспертизу.
М.Наки
―
То есть откуда, примерно, как, что было задето.
А.Гостев
―
Да. Большой, действительно, спрос идет на то, что называется компьютерная экспертиза, форензика, так называемая, когда что-то уже стало объектом атаки и необходимо просто собрать набор цифровых улик. У нас есть соответствующее подразделение, которое занимается оформление этих цифровых улик в ту форму, которая должна быть принята либо российским судом, либо это западная какая-то или азиатская компания – и мы работаем уже в соответствии с их национальными требованиями.
М.Наки
―
То есть антивирусная «Лаборатория Касперского», которую многие, я думаю, считают, что единственный продукт, - это уже давно не единственное, чем вы занимаетесь.
А.Гостев
―
Абсолютно нет. Сейчас очень хорошо растет рынок сервисов, когда, собственно, кроме традиционных технических решений мы предлагаем знания, которые у нас есть. Это те же самые, допустим, репорты так называемые. Грубо говоря, когда мы находим какую-нибудь целевую атаку, детально ее исследуем, мы не всё ведь публикуем на самом веб-сайте, не все отдаем в паблик и не всё доносим до СМИ. На самом деле, публично известной становится информация примерно о 10% всех атак, которые мы расследуем. 90% информация уходит по подписке.
М.Наки
―
Иначе хакеры увидят, что все всё спалили…
А.Гостев
―
Совершенно верно. И вот идет так называемый приватный репорт. Это сейчас, действительно, очень большой, хорошо растущий бизнес не только для нашей компании, но и вообще для всех компаний, которые занимаются безопасностью. Мы, собственно, предоставляем информацию, которая непубличная, мы говорим о том, какая это атака, мы предоставляем индикаторы зараженности. Это такие наборы данных, которые любая компания может использовать для своей защиты, даже не пользуясь нашим антивирусным решением. Например, они базируются на бесплатных, НРЗБ решениях, которые любой администратор может загрузить и использовать эти правила.
М.Наки
―
Ну, то есть подозрительная активность какая-то.
А.Гостев
―
Появление подозрительной активности в сети. И помимо этих репортов так называемых, мы готовы и отдаем так называемый фиды – это просто такой поток данных о вирусах, который нам известен. Это не способы обнаружения вирусов, это просто набор данных: называния, контрольная сумма и так далее. В частности, допустим, работая и Интерполом, мы отдаем гигантский этот поток данных им. И очень быстро любой полицейский, который подключен к этой интерполовской базе вредоносных программ, введя контрольную сумму файла может получить по нему историю: когда этот файл был создан, где, в каких странах встречался, у какого процента пользователей и так далее. Собственно, видите, здесь нет антивирусного решения, но это просто база данных о файлах, которую мы формируем.
М.Наки
―
Спасибо большое! У нас в гостях был – Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». Не открывайте подозрительные, да и, в принципе, лучше, ссылки, если у вас есть компании, бизнес, или вы государство, то попробуйте заручиться поддержкой, а то всё накроется. Провел эфир Майкл Наки. Спасибо вам, всего доброго!