Украина - полигон, на котором хакеры испытывают свои методы, - исследователь ESET

Украина - полигон, на котором хакеры испытывают свои методы, - исследователь ESET - Фото
Фото - Depositphotos.com
21.10.2019, 09:16

Исследователь вирусных угроз Антон Черепанов: о кибератаках против Украины, возрождении Касперского, черном рынке компаний и слежке по вебкамере


На какие изощренные уловки идут кибер-злоумышленники, чтобы выманить ваши деньги? Стоит ли заклеевать веб-камеру? Почему российские антивирусы Касперский и Dr.Web до сих пор работают на украинском рынке? Кто стоит за масштабными каибер-атаками на Украину?

Корреспондент Liga.Tech побывал в главном офисе компании ESET (выпускает антивирусные программы) в Братиславе и поговорил с одним из главных исследователей угроз в сети Антоном Черепановым. Именно он был одним из тех людей, которые анализировали самые громкие атаки последних лет, когда под ударом оказывались банки, объекты энергетики и множество других компаний: BlackEnergy, Petya.A и WannaCry.

Антивирус ESET обслуживает более чем 100 млн пользователей из 180 стран. В Украине словацкая компания занимает около 70-80% украинского рынка. 

Черепанов рассказал, какое место Украина занимает в мировой кибервойне, как и против каких стран работают хакеры, что на самом случилось три года назад, когда ESET обвиняли в помощи сепаратистам на востоке Украины, и почему Украина так часто находится под прицелом хакеров.

О слежке по веб-камере, вымогании денег и наследстве африканских принцев

- Ваш коллега показывал презентацию, в которой у человека вымогали деньги, угрожая отправить всем его контактам видео с веб-камеры. Насколько это распространено сейчас и что делать в таких ситуациях?

- В основном такие сообщения, которые приходят на почту, - это обычно фейк. То есть никаких данных на вас нет. Это просто социальная инженерия, хакеры пытаются вас обмануть и выманить деньги. Технология не нова. Уже десятилетия кто-то пытается связаться с потенциальной жертвой по поводу наследства африканских принцев (вы, якобы, являетесь родственником или однофамильцем погибшего миллионера и адвокат предлагает вам прокрутить махинацию с целью получения круглой суммы - Ред.)…

- Да-да, даже мне что-то приходило такое. 

- Вот, сейчас это стало еще более популярно.

- То есть, скорее всего, это просто обман?

- В 90% случаев - да. Лишь в отдельных случаях, которые мы находили, действительно во вредоносном ПО была возможность слежки за пользователем. Вирус отмечал, что пользователь переходил на порносайты, но при этом у него не было доступа к веб-камере.  Если пользователь действительно посещал такие веб-сайты, то в письме ему об этом писали. Мол, мы видели, что ты посещал такие-то сайты, у нас есть запись, плати…

 - Получается, более высокая вероятность, что человек поверит?

- Да, так больше доверия. 

- Реально ли смотреть в чужую веб-камеру?

- Да, есть такое вредоносное ПО, которое может это делать, но это редко встречается. Обычно и звука достаточно. Переговоры в скайпе или в чем-то другом или просто с микрофона.

- А насколько просто получить прослушку с микрофона?

- Если это ноутбук, то элементарно. Вы получаете шпионскую программу по почте или другим способом. Даже иногда физический доступ используется. Например, человек оставляет свой гаджет и отеле. Тогда злоумышленники взламывают его и устанавливают вредоносный код, который следит за вами. Но это используется против каких-то очень высокопоставленных чиновников или бизнесменов.

- Антивирус может от этого защитить ?

- Может, конечно. Мы этим и занимаемся. Но такие случаи неординарны. Против обычных людей используются простые шифровальщики и вымогатели.  

- С вашей точки зрения, нужно закрывать веб-камеру?

- Я например не закрываю. Мне все равно.

- Но у вас же, наверное, более продвинутая защита.

- Да, у нас еще дополнительный мониторинг есть. 

- А были случаи когда за политиками так шпионили?

- Дело в том, что мы не знаем, кто есть кто. 

- Так может вы Ангелу Меркель спасли, например.

 - Любой человек может скачать наше ПО. Мы не знаем, что это Петя Иванов и он работает там-то и там-то. Максимум, что он нам пришлет, это статистику об обнаруженных угрозах, но там еще нужно поставить галочку, что он согласен делиться информацией. 

- Но когда ты платишь, оставляешь свои данные… 

- У нас такой информации нет.  Они есть у банка или у тех, кто это продает.

О российских антивирусах Касперском, Dr.Web и санкциях

К разговору присоединился управляющий партнер дистрибютора ESET в Украине Алексей Герасимчук.

- Какая у вас сейчас доля рынка в Украине?

- Алексей: Очень сложно посчитать. Субъективно это около 70-80 процентов. 

- Это общая доля или только бизнес клиенты?

- Алексей: Общая. 

- Как сейчас дела у российских антивирусов Касперский и Dr.Web на украинском рынке?

- Алексей: Указ о санкциях не позволяет использовать эти продукты в органах государственной власти и объектах критической инфраструктуры, но это никак не относится к сегменту обычных пользователей. Почему по сей день тот же российский Dr.Web работает на украинском рынке, несмотря на то, что компания находятся под санкциями? Они не закрывали свой офис и продолжают продавать свой продукт. 

Любая частная структура и по сей день может купить и пользоваться и Касперского, и доктор Dr.Web. Ничего не мешает им работать и сейчас. Пользователи у них сейчас есть в Украине.

- Касперский же был на первом месте в Украине до того, как их включили в список санкций. Не боитесь, что они будут вас вытеснять, если санкции не продлят?

- Алексей: Да, в хорошие времена они занимали долю до 60% и были очень сильны. Я думаю, что они будут по-прежнему пытаться работать на рынке Украины и у них будет все больше клиентов. Особенно, если санкции не продлят.

- Будет бойня?

-  Алексей: На самом деле сейчас на рынке много сильных игроков. И Symantec, и McAfee и другие. Даже у Cisco и других вендоров также есть решения. Рынок большой.

- Рынок растет? 

 - Алексей: Рынок кибербезопасности растет однозначно. Но насколько растет, сложно сказать.

О роли Украины в кибервойнах и российских хакерах

- Какая роль Украины в современных мировых кибервойнах?

- В Украине сейчас действительно очень много интересных угроз. Таких угроз, которые мы не видели нигде. Есть конечно и банальные штуки. Но сложных угроз действительно очень много. Например, Industoer. Это вредоносное ПО создано специально для атак на электроподстанции в 2017 году.  

Бывает так, мы что-то обнаруживаем в Украине, а потом мы это видим в других странах.

Украина стала таким себе полигоном, на котором хакеры испытывают различные методы.

- Почему так получается?

- Я думаю, что сложные угрозы всегда связаны с геополитической обстановкой. Допустим, недавно в Венесуэле мы тоже обнаружили интересные угрозы. Там тоже сложная геополитическая обстановка.

- Можно ли сказать, что это РФ на нас тренируется ?

- Мы анализируем только вредоносное ПО. Мы не знаем, кто за ним стоит. Это не наши задачи. Это должны делать правоохранители.

- Какие сейчас тренды в мире хакеров?

 - Первое это то, что сейчас пытаются залезть не только в компьютеры, но и в различные роутеры, IoT девайсы. Второй тренд, это когда злоумышленники взламывают субподрядчика компании и уже через нее попадают внутрь сети той компании, против которой изначально планировалась атака. Третий тренд - это атаки, которые уничтожают данные на компьютере.

- Как обычно выглядят те, кто взламывает компании?

- Это обычно очень хорошо подготовленная группа людей, где у каждого человека своя специализация. Зачастую они даже покупают у друг у друга услуги. Были случаи, когда большие ботнеты (хакеры взламывают комьютеры и объдиняют их в отдельные сети - Ред.), которые могут взломать почти каждую организацию, понимают, что не могут сами монетизироваться. Они продают доступ к организациям уже другим людям на черном рынке.

Одна группа людей специализируется на том, чтобы получить первоначальный доступ. Вторая группа уже знает, что у них есть доступ к компании. Они могут зашифровать все их компютеры и попросить, к примеру, миллион долларов. 

- Какие самые крупные подобные группы есть?  

- Например, группировка Carbanak. Люди взламывали в Украине банки и пытались через банкоматы обналичить средства. Они взламывали банк и устанавливали на банкоматах вредоносное ПО. У них были сообщники, которые в определенный момент подходили к банкомату и банкомат просто выплевывал деньги.

- И сколько таких Carbanak в мире?

- Больший финансовых группировок в мире, наверное, около десяти.

- А в каких странах они сидят? 

- Сложно сказать. В прошлом году, например, Европол написал, что они арестовали одного из участников этой группы Carbanak и это был украинец, который жил в Испании. То есть, сложно сказать, кто где сидит и на каком языке говорит. Это задача полиции.

- А какие страны атакуют чаще всего?

- В основном атакуют страны Восточной Европы, Казахстан, РФ, Румынию.

- А почему? Много пиратского ПО?

- Да, слабая защита. Проще атаковать.

 О том, кто стоит за вирусом Petya

- Какие выводы были сделаны мировым антивирусным сообществом и в частности компанией ESET после масштабных кибер-атак в Украине, таких как Petya, WannaCry?

- Конечно, мы сделали выводы, улучшили технологии. Сейчас такое не скажу, что не возможно, но более сложно для них будет сделать.

- Кто стоит за этими атаками? Украинские власти обвиняли в этом российских хакеров.

- Мы группируем атаки по техническим характеристикам и можем сказать, что это делала такая-то группа. А кто за ней стоит, мы сказать точно не можем, потому что мы не правоохранительные органы.

- Окей, какая группа стоит за вирусом Петя?

- За Петей стоит та же самая группа, которая  в декабре 2016 года атаковала украинские финансовые учреждения. Об этом были новости, даже СБУ называла имена тех, кто там был. У них есть названия типа PT28 и так далее. Но мы их называли Telebots.

- А кто это такие?

- Профессиональная группа, которая может ломать практически все что угодно. 

- Так это российские хакеры или нет?

- Мы такой информацией не владеем. ФБР выпускали отчет, они лучше знают (Подобный отчет выпускало ЦРУ. В нем  есть сведения о том, что за notPetya стоят российские военные - Ред.). Мы фокусируемся только на техническом анализе.

 - О скандале с украинскими хакерами и сепаратистами

 - В 2016 году был большой скандал, связанный с отчетом компании ESET. В нем вы якобы разоблачили украинских хакеров, следивших за представителями самопровозглашенных ДНР и ЛНР. Что произошло тогда с вашей точки зрения? 

 - Время от времени ESET публикует отчеты о ранее неизвестных вредоносных программах. Тогда мы обнаружили атаки, которые были направлены на украинские правительственные структуры, о чем мы им сообщили. Позже было выявлено больше целей атаки — в частности в Восточной Украине. Именно эти данные и попали в отчет, который я писал лично и за него отвечаю.

Мы - европейская компания. У нас штаб-квартира в Европе. Мы не можем написать ничего противозаконного, поскольку мы соблюдаем все европейские законы. В отчете, который был опубликован на английском языке, все корректно. Там нет ничего такого, что могло побудить кого-то к критике. Все остальное, кто и как перевел и интерпретировал этот отчет, я не ответить не могу.

- В Украине возмущение в частности было в том, что вы разоблачили именно украинских хакеров и специально или не специально помогли сепаратистам, которые были их жертвами. 

Подождите, а откуда мы знаем, что это украинские хакеры. Может это китайские хакеры....

- Ну у вас же в отчете было написано что хакеры из Украины.

- Нет, мы написали что они, возможно, находятся на территории Украины. Но нельзя сказать на 100 процентов. Там было видно, что эти IP-адреса принадлежат украинским провайдерам. Но это не обязательно именно украинские хакеры. Мы написали, что, скорее всего, операция происходит с территории Украины.

Нам вообще все равно, кто кого атакует. Мы детектируем любой тип угроз. У нас нет такой задачи, определить, кто за этим стоит.

Мы изначально начали отчет, потому что украинская компания обратилась к нам и сообщила, что у них есть угроза. Начали исследование по этой причине. 

- Госструктура или частная компания?

 - Госструктура.

- Кто это был?

- Не можем без их разрешения раскрывать 

- То есть, по их просьбе вы это делали?

- Они обратились к нам и мы начали исследование. Нас упрекали: "вам принесли чемодан денег и вы начали исследование…" Бред! Мы пишем обо всем, что считаем интересным. Отчеты все носят исключительно технический характер. Никакой политической составляющей в них нет. 

- То есть, это не было исключительно противостояние украинских хакеров и террористов на оккупированных территориях?

- Да, я больше скажу, даже один их украинских журналистов написал нам, что у него была найдена эта уязвимость. Была заражена одна очень крупная международная организация со штаб квартирой в ЕС, у которой были офисы в Украине.

Если говорить о каком-то противостоянии, то мотив их действий вообще не понятен. Ведь пострадали обе стороны. какой тогда смысл? 

- Ваш росийский дистрибютор на ресурсе Habrahabr.ru употреблял в своем переводе отчета такие слова как “ополченцы” и так далее  

- На Хабре у ESET нет никаких официальных страниц. Единственный официальным блогом компани ESET является сайт www.welivesecurity.com, на котором мы публикуем все свои отчеты. Страница на Хабре ESET не принадлежит. Кто там и что публикует, мы не контролировали.  

- То есть это ответсвенность дистрибютора?

 - Однозначно

- Но вы им объяснили, что так делать не надо?

 Да, мы сразу им объяснили и они все удалили. Это был недостоверный и искаженный материал, от которого мы получили много проблем.

- То есть, никакой помощи сепаратистам не было? 

Однозначно да. Мы не работаем с оккупированными территориями.

Я скажу больше, несколько месяцев после выхода нашего отчета израильская компания СiberX опубликовала отчет о той же самой угрозе, но сместила фокус. Они написали, что заразили еще какой-то украинский завод, а далее просто добавили, что большинство жертв находятся на востоке Украины.

И к ним вообще никаких претензий. Никто не сказал: ааа, Украина атакована, заводы стоят, или что вы там вообще делаете?!

- Так почему вы тогда акцент на востоке Украины сделали? 

- У нас было написано: атакованы журналисты, государственные структуры, международные организации. Это все было в нашем отчете, просто люди его не читали. Просто нашли на русском языке какой-то релиз, вцепились в него и сказали “зрада”.

Поездка журналиста в Братиславу состоялась при поддержке компании ESET


Последние новости