Украина - полигон, на котором хакеры испытывают свои методы, - исследователь ESET
На какие изощренные уловки идут кибер-злоумышленники, чтобы выманить ваши деньги? Стоит ли заклеевать веб-камеру? Почему российские антивирусы Касперский и Dr.Web до сих пор работают на украинском рынке? Кто стоит за масштабными каибер-атаками на Украину?
Корреспондент Liga.Tech побывал в главном офисе компании ESET (выпускает антивирусные программы) в Братиславе и поговорил с одним из главных исследователей угроз в сети Антоном Черепановым. Именно он был одним из тех людей, которые анализировали самые громкие атаки последних лет, когда под ударом оказывались банки, объекты энергетики и множество других компаний: BlackEnergy, Petya.A и WannaCry.
Антивирус ESET обслуживает более чем 100 млн пользователей из 180 стран. В Украине словацкая компания занимает около 70-80% украинского рынка.
Черепанов рассказал, какое место Украина занимает в мировой кибервойне, как и против каких стран работают хакеры, что на самом случилось три года назад, когда ESET обвиняли в помощи сепаратистам на востоке Украины, и почему Украина так часто находится под прицелом хакеров.
О слежке по веб-камере, вымогании денег и наследстве африканских принцев
- Ваш коллега показывал презентацию, в которой у человека вымогали деньги, угрожая отправить всем его контактам видео с веб-камеры. Насколько это распространено сейчас и что делать в таких ситуациях?
- В основном такие сообщения, которые приходят на почту, - это обычно фейк. То есть никаких данных на вас нет. Это просто социальная инженерия, хакеры пытаются вас обмануть и выманить деньги. Технология не нова. Уже десятилетия кто-то пытается связаться с потенциальной жертвой по поводу наследства африканских принцев (вы, якобы, являетесь родственником или однофамильцем погибшего миллионера и адвокат предлагает вам прокрутить махинацию с целью получения круглой суммы - Ред.)…
- Да-да, даже мне что-то приходило такое.
- Вот, сейчас это стало еще более популярно.
- То есть, скорее всего, это просто обман?
- В 90% случаев - да. Лишь в отдельных случаях, которые мы находили, действительно во вредоносном ПО была возможность слежки за пользователем. Вирус отмечал, что пользователь переходил на порносайты, но при этом у него не было доступа к веб-камере. Если пользователь действительно посещал такие веб-сайты, то в письме ему об этом писали. Мол, мы видели, что ты посещал такие-то сайты, у нас есть запись, плати…
- Получается, более высокая вероятность, что человек поверит?
- Да, так больше доверия.
- Реально ли смотреть в чужую веб-камеру?
- Да, есть такое вредоносное ПО, которое может это делать, но это редко встречается. Обычно и звука достаточно. Переговоры в скайпе или в чем-то другом или просто с микрофона.
- А насколько просто получить прослушку с микрофона?
- Если это ноутбук, то элементарно. Вы получаете шпионскую программу по почте или другим способом. Даже иногда физический доступ используется. Например, человек оставляет свой гаджет и отеле. Тогда злоумышленники взламывают его и устанавливают вредоносный код, который следит за вами. Но это используется против каких-то очень высокопоставленных чиновников или бизнесменов.
- Антивирус может от этого защитить ?
- Может, конечно. Мы этим и занимаемся. Но такие случаи неординарны. Против обычных людей используются простые шифровальщики и вымогатели.
- С вашей точки зрения, нужно закрывать веб-камеру?
- Я например не закрываю. Мне все равно.
- Но у вас же, наверное, более продвинутая защита.
- Да, у нас еще дополнительный мониторинг есть.
- А были случаи когда за политиками так шпионили?
- Дело в том, что мы не знаем, кто есть кто.
- Так может вы Ангелу Меркель спасли, например.
- Любой человек может скачать наше ПО. Мы не знаем, что это Петя Иванов и он работает там-то и там-то. Максимум, что он нам пришлет, это статистику об обнаруженных угрозах, но там еще нужно поставить галочку, что он согласен делиться информацией.
- Но когда ты платишь, оставляешь свои данные…
- У нас такой информации нет. Они есть у банка или у тех, кто это продает.
О российских антивирусах Касперском, Dr.Web и санкциях
К разговору присоединился управляющий партнер дистрибютора ESET в Украине Алексей Герасимчук.
- Какая у вас сейчас доля рынка в Украине?
- Алексей: Очень сложно посчитать. Субъективно это около 70-80 процентов.
- Это общая доля или только бизнес клиенты?
- Алексей: Общая.
- Как сейчас дела у российских антивирусов Касперский и Dr.Web на украинском рынке?
- Алексей: Указ о санкциях не позволяет использовать эти продукты в органах государственной власти и объектах критической инфраструктуры, но это никак не относится к сегменту обычных пользователей. Почему по сей день тот же российский Dr.Web работает на украинском рынке, несмотря на то, что компания находятся под санкциями? Они не закрывали свой офис и продолжают продавать свой продукт.
- Касперский же был на первом месте в Украине до того, как их включили в список санкций. Не боитесь, что они будут вас вытеснять, если санкции не продлят?
- Алексей: Да, в хорошие времена они занимали долю до 60% и были очень сильны. Я думаю, что они будут по-прежнему пытаться работать на рынке Украины и у них будет все больше клиентов. Особенно, если санкции не продлят.
- Будет бойня?
- Алексей: На самом деле сейчас на рынке много сильных игроков. И Symantec, и McAfee и другие. Даже у Cisco и других вендоров также есть решения. Рынок большой.
- Рынок растет?
- Алексей: Рынок кибербезопасности растет однозначно. Но насколько растет, сложно сказать.
О роли Украины в кибервойнах и российских хакерах
- Какая роль Украины в современных мировых кибервойнах?
- В Украине сейчас действительно очень много интересных угроз. Таких угроз, которые мы не видели нигде. Есть конечно и банальные штуки. Но сложных угроз действительно очень много. Например, Industoer. Это вредоносное ПО создано специально для атак на электроподстанции в 2017 году.
Бывает так, мы что-то обнаруживаем в Украине, а потом мы это видим в других странах.
- Почему так получается?
- Я думаю, что сложные угрозы всегда связаны с геополитической обстановкой. Допустим, недавно в Венесуэле мы тоже обнаружили интересные угрозы. Там тоже сложная геополитическая обстановка.
- Можно ли сказать, что это РФ на нас тренируется ?
- Мы анализируем только вредоносное ПО. Мы не знаем, кто за ним стоит. Это не наши задачи. Это должны делать правоохранители.
- Какие сейчас тренды в мире хакеров?
- Первое это то, что сейчас пытаются залезть не только в компьютеры, но и в различные роутеры, IoT девайсы. Второй тренд, это когда злоумышленники взламывают субподрядчика компании и уже через нее попадают внутрь сети той компании, против которой изначально планировалась атака. Третий тренд - это атаки, которые уничтожают данные на компьютере.
- Как обычно выглядят те, кто взламывает компании?
- Это обычно очень хорошо подготовленная группа людей, где у каждого человека своя специализация. Зачастую они даже покупают у друг у друга услуги. Были случаи, когда большие ботнеты (хакеры взламывают комьютеры и объдиняют их в отдельные сети - Ред.), которые могут взломать почти каждую организацию, понимают, что не могут сами монетизироваться. Они продают доступ к организациям уже другим людям на черном рынке.
Одна группа людей специализируется на том, чтобы получить первоначальный доступ. Вторая группа уже знает, что у них есть доступ к компании. Они могут зашифровать все их компютеры и попросить, к примеру, миллион долларов.
- Какие самые крупные подобные группы есть?
- Например, группировка Carbanak. Люди взламывали в Украине банки и пытались через банкоматы обналичить средства. Они взламывали банк и устанавливали на банкоматах вредоносное ПО. У них были сообщники, которые в определенный момент подходили к банкомату и банкомат просто выплевывал деньги.
- И сколько таких Carbanak в мире?
- Больший финансовых группировок в мире, наверное, около десяти.
- А в каких странах они сидят?
- Сложно сказать. В прошлом году, например, Европол написал, что они арестовали одного из участников этой группы Carbanak и это был украинец, который жил в Испании. То есть, сложно сказать, кто где сидит и на каком языке говорит. Это задача полиции.
- А какие страны атакуют чаще всего?
- В основном атакуют страны Восточной Европы, Казахстан, РФ, Румынию.
- А почему? Много пиратского ПО?
- Да, слабая защита. Проще атаковать.
О том, кто стоит за вирусом Petya
- Какие выводы были сделаны мировым антивирусным сообществом и в частности компанией ESET после масштабных кибер-атак в Украине, таких как Petya, WannaCry?
- Конечно, мы сделали выводы, улучшили технологии. Сейчас такое не скажу, что не возможно, но более сложно для них будет сделать.
- Кто стоит за этими атаками? Украинские власти обвиняли в этом российских хакеров.
- Мы группируем атаки по техническим характеристикам и можем сказать, что это делала такая-то группа. А кто за ней стоит, мы сказать точно не можем, потому что мы не правоохранительные органы.
- Окей, какая группа стоит за вирусом Петя?
- За Петей стоит та же самая группа, которая в декабре 2016 года атаковала украинские финансовые учреждения. Об этом были новости, даже СБУ называла имена тех, кто там был. У них есть названия типа PT28 и так далее. Но мы их называли Telebots.
- А кто это такие?
- Профессиональная группа, которая может ломать практически все что угодно.
- Так это российские хакеры или нет?
- Мы такой информацией не владеем. ФБР выпускали отчет, они лучше знают (Подобный отчет выпускало ЦРУ. В нем есть сведения о том, что за notPetya стоят российские военные - Ред.). Мы фокусируемся только на техническом анализе.
- О скандале с украинскими хакерами и сепаратистами
- В 2016 году был большой скандал, связанный с отчетом компании ESET. В нем вы якобы разоблачили украинских хакеров, следивших за представителями самопровозглашенных ДНР и ЛНР. Что произошло тогда с вашей точки зрения?
- Время от времени ESET публикует отчеты о ранее неизвестных вредоносных программах. Тогда мы обнаружили атаки, которые были направлены на украинские правительственные структуры, о чем мы им сообщили. Позже было выявлено больше целей атаки — в частности в Восточной Украине. Именно эти данные и попали в отчет, который я писал лично и за него отвечаю.
Мы - европейская компания. У нас штаб-квартира в Европе. Мы не можем написать ничего противозаконного, поскольку мы соблюдаем все европейские законы. В отчете, который был опубликован на английском языке, все корректно. Там нет ничего такого, что могло побудить кого-то к критике. Все остальное, кто и как перевел и интерпретировал этот отчет, я не ответить не могу.
- В Украине возмущение в частности было в том, что вы разоблачили именно украинских хакеров и специально или не специально помогли сепаратистам, которые были их жертвами.
Подождите, а откуда мы знаем, что это украинские хакеры. Может это китайские хакеры....
- Ну у вас же в отчете было написано что хакеры из Украины.
- Нет, мы написали что они, возможно, находятся на территории Украины. Но нельзя сказать на 100 процентов. Там было видно, что эти IP-адреса принадлежат украинским провайдерам. Но это не обязательно именно украинские хакеры. Мы написали, что, скорее всего, операция происходит с территории Украины.
Мы изначально начали отчет, потому что украинская компания обратилась к нам и сообщила, что у них есть угроза. Начали исследование по этой причине.
- Госструктура или частная компания?
- Госструктура.
- Кто это был?
- Не можем без их разрешения раскрывать
- То есть, по их просьбе вы это делали?
- Они обратились к нам и мы начали исследование. Нас упрекали: "вам принесли чемодан денег и вы начали исследование…" Бред! Мы пишем обо всем, что считаем интересным. Отчеты все носят исключительно технический характер. Никакой политической составляющей в них нет.
- То есть, это не было исключительно противостояние украинских хакеров и террористов на оккупированных территориях?
- Да, я больше скажу, даже один их украинских журналистов написал нам, что у него была найдена эта уязвимость. Была заражена одна очень крупная международная организация со штаб квартирой в ЕС, у которой были офисы в Украине.
Если говорить о каком-то противостоянии, то мотив их действий вообще не понятен. Ведь пострадали обе стороны. какой тогда смысл?
- Ваш росийский дистрибютор на ресурсе Habrahabr.ru употреблял в своем переводе отчета такие слова как “ополченцы” и так далее
- На Хабре у ESET нет никаких официальных страниц. Единственный официальным блогом компани ESET является сайт www.welivesecurity.com, на котором мы публикуем все свои отчеты. Страница на Хабре ESET не принадлежит. Кто там и что публикует, мы не контролировали.
- То есть это ответсвенность дистрибютора?
- Однозначно
- Но вы им объяснили, что так делать не надо?
Да, мы сразу им объяснили и они все удалили. Это был недостоверный и искаженный материал, от которого мы получили много проблем.
- То есть, никакой помощи сепаратистам не было?
Однозначно да. Мы не работаем с оккупированными территориями.
Я скажу больше, несколько месяцев после выхода нашего отчета израильская компания СiberX опубликовала отчет о той же самой угрозе, но сместила фокус. Они написали, что заразили еще какой-то украинский завод, а далее просто добавили, что большинство жертв находятся на востоке Украины.
И к ним вообще никаких претензий. Никто не сказал: ааа, Украина атакована, заводы стоят, или что вы там вообще делаете?!
- Так почему вы тогда акцент на востоке Украины сделали?
- У нас было написано: атакованы журналисты, государственные структуры, международные организации. Это все было в нашем отчете, просто люди его не читали. Просто нашли на русском языке какой-то релиз, вцепились в него и сказали “зрада”.
Поездка журналиста в Братиславу состоялась при поддержке компании ESET