Бот в помощь

Ох, неспокойно все в виртуальном нашем общежитии. Не успела «Лаборатория Касперского» толком объяснить, что за шпионскую сеть Red October с явным интересом к нашей оборонке и энергетике ей удалось накрыть, как в США вспомнили о находящемся под следствием (кстати, еще с 2010 года) русском хакере Никите Кузьмине, объявив вьюношу создателем одного из самых опасных в истории компьютерных вирусов, проникшего чуть ли не в святая святых — в НАСА. Для обывателя все очевидно: гонка кибервооружений в самом разгаре, а хакеры, похоже, взяты на государев кошт. Но все ли так просто?

Нынешние хакеры, получившие известность из-за астрономических сумм похищенных ими денег, имеют вполне конкретные профессиональные навыки. Вот только на государевой киберслужбе они вряд ли пригодятся, потому что их таланты в основном лежат в области управления, а там своих управленцев достаточно. Уникальных технических навыков у них просто нет. Даже талант ботовода (управляющего бот-сетью зараженных компьютеров) здесь не очень нужен. Почему?

Не та отмычка

В ходе глобальной шпионской операции Red October, первые признаки которой относятся к 2007 году, из правительственных, военных, исследовательских, дипломатических структур разных стран были сворованы терабайты конфиденциальной информации. Но заражались для этого не все встречные-поперечные компьютеры, а только те, что располагались в специально выбранных организациях.

Происходит это так, рассказывает Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского»: «На электронный адрес, имеющийся в открытом доступе, например на ресепшн, приходило самое обычное письмо с предложением, скажем, приобрести автомобиль дипломатического класса. Обычное такое деловое письмо, которое секретарь с большой вероятностью откроет, а потом с большой вероятностью удалит. И никакого потока однотипных писем, напоминающих спам! Не больше двух-трех адресов на организацию». Так троян попадал на компьютер внутри посольства, военной части или завода. И начинал жить своей незаметной, но насыщенной жизнью: собирал файлы не только с жестких дисков, а еще и с флэшек, причем даже удаленные — сам их восстанавливал. Поджидал подключения мобильного телефона и быстренько переписывал адресную книгу, историю звонков, SMS, отметки в календаре (день рождения тещи — это тоже важно). Внимательно изучал почту, не забывая скопировать электронную переписку из локального хранилища Outlook, с удаленного почтового сервера, а также с внутренних FTP-серверов. Живо интересовался всевозможными логинами и паролями, складывал их в отдельную стопочку. Записывал конфигурации маршрутизаторов и прочего сетевого оборудования. Не ленился запоминать тексты, вводимые с клавиатуры, и украшал эти записи скрин-шотами экрана. А потом отправлял наворованное цифровое добро хозяину и засыпал в ожидании очередной команды.

Команда приходила зачастую с новыми модулями, написанными под новое задание. Всего с 2007 года специалисты обнаружили более 1000 файлов, относящихся к 30 различным «тематикам» (до последнего момента проект Red October продолжал работать, самые свежие шпионские модули датированы 8 января).

В этом еще одно радикальное отличие Red October от традиционной киберпреступности — интеллект человека-оператора. Точнее, целого аналитического отдела. Так считают в «Лаборатории Касперского». Хотя наличие госзаказчика у операции Red October не доказано, трудно поверить, что обычные киберпреступники возьмутся за такую задачу. Парочкой яйцеголовых программистов, которые у них обычно имеются, тут явно не обойтись. Нужна группа разработчиков, одновременно действующих по десятку направлений, плюс IT-архитектор. Аутсорсеры из числа вольных хакеров, то есть неизвестные виртуальные личности под никами, для таких задач не годятся — они склонны поскорее сбыть краденое, как только на горизонте появится покупатель, и надежно хранить чужое добро не приучены. "У них на ресурсах свежие данные подчас свалены кучей, не то что незашифрованные, иногда даже просто в открытом доступе«,— рассказывает Виталий Камлюк. В общем, как все романтики с большой дороги, эти «специалисты» крайне ненадежны в плане долгосрочных рабочих отношений.

Бывалый ботовод сгодится разве что на роль архитектора шпионской сети, хотя интернет-структура Red October покруче мощного ботнета: более 60 доменных имен использовалось атакующими для кражи данных. Домены размещались на нескольких десятках IP-адресов, расположенных в основном в Германии и России, а подключения происходили из 40 стран. Мозговой центр — командный сервер, который собирал все похищенные данные и отдавал команды на продолжение изысканий, — скрыт за цепочкой прокси-серверов и подчиненных управляющих серверов. Но за какую зарплату удачливый ботовод согласится на эту работу? Эти парни слишком любят деньги. Для успешных преступников, поясняет Сергей Никитин, замруководителя лаборатории компьютерной криминалистики Group-IB, около миллиона долларов в месяц на группу из 4—5 человек — это норма. Так что, полагает Сергей Никитин, бизнес-модели киберпреступников и массовых заказных целевых атак разнятся настолько, что практически неизвестны случаи, когда команды киберворов переключались на целевые атаки. К тому же не хватает технологии еще одного типа.

Попасть в молоко

Очень плохо обстоят сегодня дела со средствами точного наведения на заранее заданный компьютер: невозможно быть уверенным, что у заданной цели имеется именно та уязвимость, для которой атакующий приготовил свой эксплойт. Это пока удерживает мир от того, чтобы кибероружие продемонстрировало свой разрушительный потенциал. Но работа идет именно в этом направлении, уверены в «Лаборатории Касперского».

Горячей точкой планеты вначале стал Иран, а потом прилегающие к нему другие страны Западной Азии. Вслед за политической напряженностью в эту сторону направилась и активность в создании кибернетических конструкций: легендарный Stuxnet обрушился на центрифуги завода в Иране. Следом появились шпионские программы Flame и Gauss, заражавшие тысячи компьютеров, но концентрировавшие свои усилия в Иране, Судане и Ливане и позволявшие атакующим выбрать наиболее интересные цели. После чего на сцене появился вредонос SPE (miniFlame) — высокоточный инструмент шпионажа, число жертв которого исчисляется всего лишь десятками. «Разные его варианты проявляются в разных странах: один больше распространен в Ливане и Палестине, другие — в Иране, Кувейте и Катаре», — отмечает Виталий Камлюк. Идет отладка технологий точного наведения кибероружия.

Пока глобальным шпионажем занимаются лишь одиночные команды, руководимые, судя по всему, государством и далеко в своих изысканиях не продвинувшиеся. И это хорошая новость: «кибердиспансеризация» критически важной инфраструктуры, которую проводят друг для друга разные страны, показывает, что для хорошей защиты от шпионов достаточно IT-директорам ключевых госструктур заняться своими прямыми обязанностями. Тогда на засекреченные компьютеры аэрокосмического агентства США не будут попадать трояны Gozi российского происхождения. Но есть и вторая новость: станет гораздо хуже, когда производство заказных шпионских систем будет поставлено на коммерческий поток.

На войне как на войне

Шпионаж — дело предельно деликатное. "К примеру, троянская программа Flame не обнаруживалась антивирусами в течение двух лет, поскольку по своей структуре данное ПО очень похоже на обычные программы, имеющиеся на любом компьютере",— напоминает Максим Григорьев, ведущий специалист по информационной безопасности Positive Technologies. «Подобные шпионы малозаметны, они умеют «прятаться» в системе, не выдавая своего присутствия, — добавляет Кирилл Леонов, представитель «Доктор Веб». И еще. Шпионам, как и преступникам, как воздух потребно анонимное существование в Интернете и использование чужестранных IP-адресов. В этом заинтересованы также политики и идеологи информационных войн. Имела место кибератака или нет? Все зависит от того, как подать это в СМИ. «Кто стоит за каждой конкретной атакой: хулиганы-одиночки, организованные преступники, компания-конкурент, свое или другое государство — в виртуальном пространстве понять сложно, все активно маскируются друг под друга», — замечает Рустэм Хайретдинов, глава компании Appercut Security. Выход один. "Будет усиливаться борьба с анонимностью, что может привести к появлению в киберпространстве эдакой нейтральной Швейцарии«,— говорит Николай Федотов, главный аналитик InfoWatch. Рустэм Хайретдинов подтверждает: «Некоторые страны примеряют на себя роль „цифровых офшоров“ — мест, где решения большинства стран касательно киберпреступников не будут действовать».

А когда эффективные технологии наведения на цель, отработанные в рамках операции Red October, выведут индустрию кибератак на уровень коммерческой сверхдоходности, на сцене появится настоящее кибероружие. Некоторые эксперты полагают, что все, что мы видели до сих пор, это только локальные киберконфликты. Кибервойну будут вести военные, а не хактивисты и частные организации, как сейчас. И в ней найдется работа для киберпреступников, которые встанут под ружье в качестве наемников, потому что с началом боевых действий резко повысится спрос на услуги ботоводов и хакеров. «На черный рынок придут большие деньги от воюющих сторон, — размышляет Николай Федотов. — И вся мощь компьютерного андеграунда легко перейдет с мирного воровства на рельсы боевого рейдерства». Короче, как говорили древние стратеги, мечтаешь о мире — готовься к войне.

Елена Покатаева

Зловреды

Лихой 2012-й

Для атак через Интернет злоумышленники воспользовались 6 537 320 уникальными хостами (сайтами), что на 2,5 миллиона больше, чем в 2011 году.

96,1 процента зафиксированных атак было произведено с вредоносных хостинг-площадок, расположенных в интернет-пространстве 20 стран.

Количество атак через веб-браузер за год увеличилось с 946,4 миллиона до 1,596 миллиарда.

Для 96 процентов всех атак в Интернете использовалось 20 вредоносных программ.

Ежедневно антивирусные продукты «Лаборатории Касперского» блокируют на компьютерах российских пользователей около 4000 банковских троянцев.

Совокупные потери по платежным картам на территории Евросоюза составили около 1,5 миллиарда евро. Из них 900 миллионов (60 процентов) приходится на долю сделок, заключенных без ведома владельца счета через Интернет, по телефону или по почте — так называемые CNP-транзакции (card-not-present), то есть без предъявления карты. По данным Европола, большинство номеров кредитных карт, используемых злоумышленниками для совершения покупок в европейских интернет-магазинах, попало в чужие руки вследствие утечек на территории США.

Топ-10 стран, где на серверах размещается вредоносное ПО, используемое для атак (% от всех атак)

США — 25,5

Россия — 19,6

Нидерланды — 16,8

Германия — 11,4

Великобритания — 5,6

Украина — 4,4

Франция — 3,5

Китай — 2,0

Британские Виргинские острова — 1,6

Канада — 1,2

Другие — 8,4

Источник: «Лаборатория Касперского», 2013 г.

Почему вирусы заражают компьютеры российских госпредприятий?

Не обновляется популярное прикладное ПО (Adobe Flash Player, Adobe Acrobat Reader, Java Virtual Machine) — 75%.

Сотрудники работают с привилегиями администратора вместо пользовательских — 10%.

Нет разделения рабочих процессов друг от друга — 5%.

Неправильное управление доступом к корпоративным данным — 5%.

Помощь инсайдера — 5%.

Источник: Group-IB, 2013 г.

Что делать

Хочешь мира — готовься к кибервойне

Кирилл Леонов, представитель «Доктор Веб»:

Обнаружением и пресечением таргетированных кибератак занимаются специально созданные для этого организации. В США этим, например, занимаются Центр стратегического командования (STRATCOM) с штаб-квартирой в Небраске, а также АНБ. Есть специальные подразделения вроде 24-й воздушной армии со штаб-квартирой на базе ВВС Лэкленд в Техасе, у которой нет ни одного самолета, зато имеется целый батальон специалистов по информационной безопасности. Киберподразделения работают в составе флота, в сухопутных войсках — под управлением командования развития телекоммуникационных технологий (Army Network Enterprise Technology Command), при 9-м соединении связи (9th Army Signal Command), который дислоцируется в Форт-Хуачуке в Аризоне. Есть кибервойска у китайцев — третий технический отдел Народно-освободительной армии Китая. Что с этим делать? Следует принять многоуровневый комплекс мер для обеспечения информационной безопасности и строго его соблюдать. В СССР это называлось «режим».

Валерий Андреев, заместитель директора по науке и развитию компании ИВК:

На мой взгляд, из-за налета нездоровой политкорректности нами потеряно много времени в деле устранения этой угрозы. Не думаю, что это было кому-то выгодно, просто не хватало рук (мозгов). Усилия силовиков последних лет вдруг одну за одной стали выявлять древние «закладки». Что неудивительно — противодействие наконец заработало. Пусть пока выявляются лишь древние артефакты. Как в случае с вирусами, кривая выявления через некоторое время неминуемо нагонит кривую внедрения. И квалификация тех, кто выявляет, будет выравниваться с квалификацией тех, кто создает.

Этот процесс очень важен для любой страны, а тем более мировой державы, поэтому не исключены шарашки по типу королевских, обмен задержанными и прочие прелести «военного времени». Просто так быстрее, а время пошло очень быстро, опасность вполне реальна.

Андрей Зеренков, эксперт по информационной безопасности Symantec в России и СНГ:

Хотим мы этого или не хотим, но все мы вовлечены в кибервойну. И не важно, что является целью противника — ваши личные счета, жизненно важные системы вашего банка, ключевые объекты системы энергообеспечения или обороны страны, — так или иначе успешная атака отразится и на вас. Надо понимать, что мы все в одной лодке, которую можно потопить самыми различными средствами, и противодействие атакам должно быть комплексным и на всех уровнях. Рядовые пользователи должны строго соблюдать требования информационной безопасности (ИБ), а профессионалы — обеспечивать их защиту и противодействие злоумышленникам. Безграмотность в вопросах ИБ сродни предательству.

Война и мир

Когда ружье выстрелит?

Кажется, кое-кто неверно понимает современную концепцию кибероружия. Чисто информационное воздействие, мягко говоря, не очень эффективно само по себе. Штучки в духе «Крепкого орешка 4.0» становятся невозможны при минимальной вменяемости айтишников противника. Нужно затратить кучу денег, времени и квалифицированной рабочей силы для создания монстра вроде Stuxnet, а в итоге — месячный простой одного завода, и то если повезет. Столь низкую эффективность яйцеголовых генералы им простили. На первый раз, поскольку дело-то новое, незнакомое. Но поворчали: «Уж лучше было по старинке, крылатой ракетой...» Следующая попытка удара через киберпространство, скорее всего, будет неудачной, поскольку противник уже сделал выводы.

Военный аналог трояна и вируса — шпион и диверсант. Эмпирически установлено, что этот персонаж мало что может сделать сам по себе — своим пресловутым плащом и кинжалом. Наибольший эффект получается при взаимодействии с другими родами войск. Когда шпион не стреляет сам, а дает информацию спецназу; не взрывает лично, а подсвечивает цель для бомбардировщика; не режет провода, а сообщает дату высадки. Поэтому от троянской программы вероятного противника не следует ждать прямых действий — блокирования компьютеров, перенастройки маршрутизаторов, ложных звонков на смартфон. Скорее всего, они ориентированы на наведение обычного оружия или передачу разведывательной информации.

Что мы видим сегодня? Оставить кого-то без связи на пару дней, парализовать грузоперевозки на несколько часов, ослепить спутник и тому подобные действия — все это может сыграть поистине драматическую роль непосредственно в ходе сражения. А в мирное время лишь разозлит противника, заставит его укрепить защиту. Последствия же диверсии будут устранены довольно быстро: уязвимости и «черные ходы», через которые произошло воздействие, будут сразу же обнаружены и закрыты. Поэтому «хакеры в хаки» сейчас сидят тихо и занимаются разве что разметкой будущих целей.

Оставить комментарий

Ваш комментарий будет опубликован после модерации.