Ігор Козаченко: В Україні вже йде кібервійна

Недавня атака вірусом PetyaA наочно показала не тільки рівень захищеності українських інформаційних систем, але і ступінь обізнаності з питань кібербезпеки. Пішли емоції, відновлена ​​робота, зроблені висновки ...

- Глава кіберполіції в недавньому інтерв'ю згадав, що атака вірусом PetyaA була б неможлива без участі спецслужб - найімовірніше, російських ...

- При кібератаці, добре підготовлені спецслужби, зазвичай використовують методи мімікрії. Тому, тільки технічними методами, складно визначити країну атаки. Я так само вважаю, що кібератаки можна прирівняти до терактів і відповідно, визначати країну атаки тими-ж методами. Один з них - це визначення кому це вигідно, і хто потенційно може за цим стояти. І за цим фактором я однозначно згоден з главою кіберполіції.

Ігор Козаченко

Існує також оману, що коли відбувається атака, то відразу видно, хто атакує, немов там прапор вивішений. Насправді не можна відразу визначити, хто за цим стоїть - необхідний дуже глибокий аналіз. Відповідаючи на одній з конференцій з інформаційної безпеки на аналогічне питання, я приводив скріншоти, де першою з атакуючих країн була вказана Україна. 70% атак відбуваються зсередини країни, так як це зробити простіше і ефективніше. Найчастіше користувачі, особливо користувачі домашніх мереж, нехтують найелементарнішій захистом свого комп'ютера. Звідси і зараження десятків тисяч комп'ютерів ботами з можливістю надалі проводити атаки на інформаційні ресурси країни. Це і є аутсайдер, і це найголовніше - підготовленість наших співвітчизників. От скажіть, у вас вдома стоїть на комп'ютері антивірус?

- Так.

- Значить, у Вас хоч якийсь захист є. А багато на таке питання відповідають, що антивіруса у них немає. А значить, комп'ютер, а в подальшому домашня мережа схильна до зараження. На основі таких комп'ютерів і створюється бот-мережу, керуючий сервер отримує доступ до цієї мережі і здійснює, як приклад, DDoS-атаку тобто атаку на відмову в обслуговуванні, або атаку на інформаційні системи країни. Тому, щоб знайти того, хто стоїть за цією атакою, потрібно знайти керуючий сервер і комп'ютер, який ним керує. Ось цей комп'ютер і буде належати виконавцю атаки, а через нього можливий вихід і на замовника.

- Чи мав місце в підтвердженні з атакою PetyaA?

- 90% ймовірності, що так. Чому? Тому що, метою атаки була не зашифрувати дані і отримати за це викуп, а повне знищення даних на комп'ютерах, які зазнали кібератаки. Також, показовим є те що, сама атака сталася напередодні святкування Дня Конституції України.

По-перше, вірус-вимагач зашифрував дані, але ніхто не звернувся з пропозицією "дайте нам грошей, і ми надамо вам унікальний ключ для розшифровки". Тобто це була заздалегідь спланована акція, метою якої було дискредитувати інформаційні системи і їх захист. По-друге, абсурд полягає ще в тому, що після шифрування даних на комп'ютері жертви, другим етапом відбувається знищення всієї інформації на даному комп'ютері! Результат і наслідки ми бачили.

- Вірус атакував не всі вразливі комп'ютери, а тільки вибрані коди ЄДРПОУ. Як ви вважаєте, якою була головна мета зловмисників і чому була обрана для атаки саме програма Медок?

- Справа не в тому, яка точка входу була обрана. Це могла бути будь-яка структура, будь-який провайдер з великою базою даних клієнтів, реєстри Мін'юсту, які мають доступ до багатьох інформаційних ресурсів. До речі, до цього мали місце атаки, в тому числі на реєстр Мін'юсту і при цій атаці, в першу чергу постраждали нотаріуси.

Друга атака - весна 2017 року, атака шифрувальником XData - пройшла практично непомітно, але вона і була тільки пробою пера. Будь-яка система, що має доступ до будь-яких інформаційних ресурсів користувачів, цікава для атакуючого і чим цей доступ глобальніше, то більший інтерес.

У зв'язку з цим і був обраний об'єктом атаки Медок - це очевидно, тут зіграло багато факторів. Перший - велика мережа користувачів як державних, так і комерційних;

другий - те, що це було 27-28 число, кінець місяця, здача звітності через софт MeDoc; третій - користувачі звертаються в цей момент за оновленнями, а значить можливість (з великою ймовірністю) провести повномасштабну атаку; четвертий - це вибірковість, а саме за допомогою сценарію (коди ЄДРПОУ) були атаковані ті інформаційні ресурси, які є важливими були для атакуючого.

Аналізуючи повний сценарій даної атаки - це, швидше за все, була обкатка рішення по, не побоюся цього слова, кіберзброї. При цій розвідці боєм потрібно отримати відповіді на три головних питання: перше - це швидкість зараження, друге - швидкість проникнення і третє, і найголовніше, - це швидкість реакції, яким чином користувачі і особливо адміністратори безпеки відреагують на блокування даної уразливості. І всі ми знаємо, що відповідальність за цей інцидент так ніхто на себе і не взяв - це підтверджує, що це був цілеспрямований замовлення, з високою ймовірністю спецслужб.

- Але це не перша атака в українських реаліях?

- Одна з. У 2014 році була атакована ЦВК (Центральна виборча комісія - прим. Ред.). До цього жертвами стали енергосистеми України, наприклад, Закарпатські обленерго. Чому Закарпаття? Тому що замовнику було важливо відпрацювати атаку на енергетичний сектор саме цього регіону. До цього була атака на фінансові структури: на Мінфін і на Казначейство, тому що потрібно було апробувати інструменти атак на фінансовий сектор України. До цього були атаки на публічні державні ресурси - Адміністрації президента, Кабміну, МЗС, МО, СБУ, МВС, Держспецзв'язку, вони тривають і зараз. Також, поза увагою, не залишаються атаки на ЗМІ України, так як вони цікаві з точки зору пропаганди і можливості в подальшому бути полігоном для донесення "потрібної" інформації до громадськості. Всі ці атаки були точковими і переслідували чітко сплановані цілі, які - можете зробити висновки самі, особливо якщо це все зібрати в загальну стратегію.

- Зараз Медок більш захищений?

- Думаю так! Вони забезпечили собі сильний захист. Одним з елементів захисту - це ROMAD EDR - надане нашою компанією унікальне рішення по захисту кінцевих користувачів. Це програмне забезпечення класу Next Generation Endpoint Protection and Responce (NGEP), яке дозволяє захистити АРМ (автоматизоване робоче місце) від шкідливого програмного забезпечення завдяки новітньому рівню кіберзахисту. Наше рішення, в тому числі, дає реальний захист від так званих загроз "нульового дня". Це програмне вже розгорнуто і в повній мірі захищає робочі ПК і сервера мережі компанії як їх там називають. Крім цього, переглянута і доповнена політика безпеки всієї інфраструктури компанії. А найголовніше - досвід! Вони пройшли бойове хрещення, а значить стали сильніше!

- Повертаючись до атаки. Якщо порівнювати з тим, що Ви бачили за останні три роки, була атака PetyaA найпотужнішою?

- З моїм досвідом в сфері кіберзахисту і маючи достатній досвід захисту виборів з 2004 року, подібні атаки модифікувалися й ускладнювалися. Коли в 2004 році відбулася перша DDoS-атака на інформаційні ресурси ЦВК, рівень атаки займав 2 Мбита. Тоді ми думали, що це колапс. Ми захищали інформаційні ресурси держави спеціальним обладнанням, воно тоді було новітнє і дуже дороге, і ми думали, що це все, гірше не буде. На сьогоднішній день 2 Мбита - це дрібниця в порівнянні з будь-яким пінгом, який можна згенерувати на сучасному комп'ютері і провести DDoS-атаку, а маючи невелику бот-мережу, навіть домашню провести повномасштабну DDoS-атаку. Так, останні атаки, що стосується DDoS-атак, вже піднялася до рівня 14-18 Гб на канал, і це вже було відчутно для тих провайдерів, які мають такі канали зовнішні. Що стосується вірусних атак, вони стали більш вишуканими. Чому? Тому що вирусописатели почали застосовувати кілька технологій в одному пакеті. Найчастіше атака має симбіоз DDoS-атаки, як відволікаючий маневр; вірусної атаки, як отримання наміченого результату сценарію (отримання паролів, шифрування даних, видалення даних, стеження, отримання даних і т.д.); отримання управління і доступу до інформаційного ресурсу.

- Вірус PetyaA досяг тих результатів, яких хотів досягти?

- Де факто можна з упевненістю сказати, що результат отриманий, атакуючі досягли мети: вони зібрали статистичну інформацію, а якщо врахувати, що після 27 числа відбувався саміт G-20, а до цього звучала заява про те, що Росію можуть відключити від SWIFTa, то, звівши ці всі речі, вони показують: "Ось що ми зробили. А тепер уявіть, що ми зробимо те ж, але в масштабах всього світу". Тобто в один прекрасний момент за дві години може бути повністю паралізовані всі світові інститути влади, управління, енергетики, транспорту, медицини. Чи не працює інформаційна система, жоден реєстр, ні фінансова, ні енергетична система. Все паралізовано, аж до телефону; немає світла, немає гарячої води, немає зв'язку. Протягом лічених годин - колапс. І при цьому виходить на сцену один поважний чоловік і каже: "У мене є ключ, який допоможе розшифрувати вашу систему, але ви повинні виконати певні зобов'язання. І до цього всього ще є таймер, на якому йде зворотний відлік".

Але давайте бачити і позитивні сторони даної атаки - керівники великих компаній і уряд України стали дивитися дуже позитивно в сторону кібербезпеки, так як наслідки подібних атак змушують їх рухатися в правильному напрямку. Це підтверджується останніми нормативно правовими актами в області кібербезпеки, а також рішучими діями з боку уряду і керівників великих компаній. Відповідно, виділяти фінансові ресурси для того, щоб забезпечити інформаційну безпеку - це вже великий прорив в тому, щоб будувати єдину інформаційну захист країни і кібербезпека в цілому. І благо тому, що на помилках вчаться. Дай Бог, щоб це була остання помилка, і щоб ми дійсно йшли на крок попереду від можливих загроз.

- Трошки все-таки по Медку. Скажіть, якщо вина Медка в тому, що його змогли атакувати? Дуже багато вийшло інформації про те, що Медок винен у всьому, захист чи не відкритий двір, ламай, хто хоче, заходь хто хоче.

- Як я вже казав, Медок - це один з багатьох сценаріїв проведення атаки на інформаційні ресурси держави і комерційний сектор. На його місці може або могло виявитися будь-яке велике державне або приватне підприємство, яке послужило б так званої точкою входу.

Я не розумію, чому всі так ополчилися проти Медка. Давайте повернемося на секунду до "Петі". Експлойти, які використовувалися в "Петі", були викрадені у одного з найбільш захищених агентств у світі - АНБ США (NSA). У крадіжці обґрунтовано звинувачують хакерську групу Shadow brokers. За результатами розслідувань багатьох антивірусних компаній за цією групою стоїть Російська спецслужба.

Так, про яку вини ми можемо говорити? Рівень фахівців, які стояли за атакою NonPety, дозволяв зламати практично будь-яке підприємство, компанію, організацію.

Тому ми всім нашим клієнтам і говоримо, що існуючі на сьогодні антивірусні рішення не в змозі повною мірою захистити їх інформаційні системи. Пояснюємо, що необхідні засоби захисту так званого наступного покоління - next generation.

Розробники Next generation рішень, все як один стверджують, що статична сигнатура, яка використовується традиційними антивірусами, застаріла. Це те рішення, яке використовувалося протягом 20 років і більше використовуватися не може. Як показав PetyaA, і як надивилися ми від наших потенційних клієнтів, ор стояла страшенна. "Падали" машини, в тому числі і повністю оновлені, на яких стояли останні версії операційних систем з усіма можливими патчами. Вони "падали" точно так же, як всі інші - падали разом з Eset, Symantec'амі і McAfee і іншими світовими антивірусними іменами.

- Медок міг щось зробити, щоб цього не сталося?

- Рівень атаки був настільки високий, що практично ніхто б не встояв, - це моя думка. Сьогодні Медок, завтра Казначейство, післязавтра Нацбанк, далі найбільші провайдери України. Механізм міг і може бути різним. Якби це було на кілька років раніше, жертвою міг би стати Укртелеком. Чому? Тому що Укртелеком, на той момент, був монополістом інформаційного середовища в Україні, і заражати інформаційну структуру країни було б логічно. Але зараз Медок виявився набагато зручніше для атакуючих, так як має велику клієнтську базу. І як, я вже говорив, ця атака була відпрацюванням одного з потенційно можливих сценаріїв. Завтра це може бути комплексна точка входу. Наприклад, база реєстрів, друга - найбільший провайдер, і третя - інформаційна система подачі звітності.

- Тобто можуть зайти через податкову і атакувати так само, як і через Медок?

- Це просто один із прикладів, як можна випробувати ефективність свого кіберзброї ... Те, що це прототип - немає сумніву й те що спектр дії насправді може бути більш широкий не викликає сумніву!

- Тобто це була проба?

- Так, і демонстрація сили. Додати туди пару сегментів, про які я говорив раніше, це атаки в 2014-2016 роках, на наші інформаційні ресурси - то захопили під контроль би все. Що за цим би було? - "ліг" б енергоринок, "лягла" б фінансова система, "лягла" інформаційна структура, "лягла" б вся українська інформаційна інфраструктура. Висновки про наслідки робіть самі.

- Які з цього всього можна зробити висновки?

- Багато хто думає, що кібервійна - це щось далеке і ефемерне, я ж, можу однозначно заявити, що кібервійна вже йде в Україні. Щосекунди. І, відповідно, є люди, які дійсно воюють за клавіатурою. Ми одні з них і намагаємося наш щит вчасно підставити під шкідливий меч.

Україна, в цілому, стала логістично набагато краще підготовлена ​​до такого роду атак. Однак технологічно ми говоримо про те, що навіть не всі західні вендори, а, точніше, ніхто із західних вендорів не зміг утримати попередню загрозу.

Тому висновок, який потрібно нам усім зробити - це шукати і впроваджувати захисні рішення, які можуть надати захист від сучасного виду загроз. Як показала практика, стандартні антивіруси не змогли, та й не могли вирішити задачу захисту, через архаїчності структури свого софта.

Тим більше, що вже з'являються нові рішення - наступні покоління захисту кінцевих точок (користувачів). Компанія Gartner в своєму Magic Q, uadrant привласнила їм класифікацію NGEP. До їх складу входимо, і ми з нашим next generation продуктом, який вивчає системні виклики операційної системи і на їх підставі формує поведінкові характеристики малварних сімейств. Завдяки тому, що ми орієнтуємося на поведінкові характеристики, тобто не на те, як малварі виглядають, а на те, як вона себе веде, нам не потрібно ганятися за шкідливими файлик, які не завжди можуть і бути присутнім в системі. Грубо кажучи, все "Петі" поводяться однаково. Не важливо, якого він покоління. Головне, що поведінкові характеристики одні й ті ж. Якщо піти трохи глибше, це поведінка описується так: вразити головний завантажувальний запис комп'ютера. Так як всі види "Співати" поводяться однаково, то ми робимо висновок, що вони належать до одного роду (сімейства). І якщо вміти виокремлювати такі характеристики, то якщо в наступній атаці буде використаний ще один "Петя", до того часу, поки він веде себе як "Петя", загрози для захищається нами мережі, немає. Для нашої технології модифікації "Петі" є ще одним нащадком, від якого автоматично спрацьовує захист.

За гарднерівського класифікації термін "антивірус" не використовується для представників next generation. Повторюся, ми позиціонуємо себе як endpoint detection and response, так званий EDR. Це і є засіб захисту від малварі нового покоління!

Підписуйся на наш Telegram . Отримуй тільки найважливіше!