У киберпреступности нет границ: интервью ИА REGNUM
Компания ESET, международный разработчик антивирусного программного обеспечения и решений в области компьютерной безопасности, в сентябре 2010 года объявила о начале официального сотрудничества Центра вирусных исследований и аналитики российского представительства ESET с компанией Group-IB, специализирующейся на расследованиях компьютерных преступлений. Руководитель Центра вирусных исследований и аналитики компании ESET Александр Матросов и генеральный директор компании Group-IB Илья Сачков рассказали о причинах объединения, хакерах, компьютерных угрозах и будущем интернета в интервью корреспонденту ИА REGNUM Новости.
ИА REGNUM: Для начала хочется узнать, чем занимается каждая из ваших компаний и почему потребовалось объединить Ваши усилия?
Александр Матросов: Антивирусные компании развивают различные технологии и механизмы противодействия киберпреступности с технической точки зрения. Компания Group-IB занимается расследованием деятельности киберпреступных групп и преследованием их с точки зрения российских законов. И чтобы более эффективно противостоять с двух сторон различным киберпреступным угрозам для наших пользователей мы решили объединить усилия. Собственно Центр вирусных исследований и аналитики, созданный в феврале этого года, занимается мониторингом угроз непосредственно в регионе стран
Илья Сачков: Работая вместе с ESET, мы дополняем друг друга. Мы занимаемся расследованием компьютерных преступлений в России. На данный момент число зарегистрированных таких преступлений выходит за все разумные и неразумные границы. Логика нашей компании: чтобы сократить количество инцидентов - необходимо их расследовать и привлекать людей к ответственности. При этом, согласно статистике, чем разнообразнее становятся услуги по технической безопасности, тем более разнообразными становятся киберпреступления.
Очень часто в последнее время стали происходить инциденты, связанные с распространением вредоносного программного обеспечения, и дело, в основном, касается не обычных пользователей компьютеров, а финансовых организаций, против которых действительно существуют угрозы, исходящие от работы вредоносного программного обеспечения. Если бы мне рассказали об этом лет 10 назад, я бы не поверил и решил, что это какая-то страшилка для финансовых компаний. На самом деле, это правда. И, к примеру, по последнему нашему инциденту, люди, которые занимались распространением вредоносного программного обеспечения для мошенничества с помощью систем банковского обслуживания, только в России зарабатывали порядка 24 млн долларов в месяц. И это одна преступная группа.
ИА REGNUM: Как именно вы дополняете друг друга?
И.С.: Наши усилия сосредоточены на детективной работе в области информационных технологий, а коллеги из ESET очень сильно помогают нам с мониторингом угроз, связанных с вредоносным программным обеспечением, и проводят так называемую компьютерную криминалистику вредоносного кода, а мы занимаемся другими областями компьютерной криминалистики. В результате этого симбиоза у нас есть мировая база данных ESET, у ESET есть возможность предоставлять своим клиентам, кроме антивирусной защиты, услуги по расследованию инцидентов, таким образом обеспечивая концепцию комплексной безопасности. Т.е. если у компании выявлено заражение, можно обнаружить, откуда это заражение пришло и наказать конкретного человека.
А.М.: Вирусная лаборатория занимается технической стороной вопроса, именно анализом вредоносного кода и сбором той информации, которую получают непосредственно из обрабатываемых сэмплов, а компании Group-IB занимается мониторингом с точки зрения активности каких-то преступных групп, которые занимаются распространением этих сэмплов. И та информация, которую мы получаем, анализируя конкретную вредоносную программу хорошо дополняется той, которую собирает компания Group-IB при расследовании деятельности той или иной преступной группы.
ИА REGNUM: Оказываете ли вы помощь правоохранительным органам в расследовании?
И.С.: Один из примеров: не так давно была задержана группа из 10 хакеров, которые распространяли вирус, блокирующий компьютер пользователя с требованием отправить платное sms на короткий номер. Доход группы был колоссальный: если не ошибаюсь, то порядка 20 млн рублей ежемесячно. В итоге, совмещая работу правоохранительных органов, нашу аналитическую работу и коллег из ESET в области аналитики программного обеспечения, удалось заметно сократить количество вирусов, которые блокируют работу компьютеров. Сейчас, когда у правоохранительных органов есть методичка, в составлении которой мы участвовали, помогающая расследовать такой тип преступлений, этот вид преступной деятельности перешел в область рискованного. А есть огромное количество нерискованного, и хакерам проще заниматься им.
Второй тип инцидентов, который сейчас очень популярен и который действительно наносит большой ущерб и несет в себе угрозу, я бы сказал, экономической безопасности России, - это мошенничество с системами банковского интернет-обслуживания. Это когда хакеры создают специальный тип вредоносного программного обеспечения, направленный на кражу электронных ключей юридических лиц, которые используются для доступа к системе интернет-банкинга. Сейчас в России интернет-банкинг для юридических лиц интенсивно развивается, при этом компании среднего и малого бизнеса мало заботятся об обеспечении информационной безопасности и как только хакеры поняли этот тренд, появилось огромное количество различного вида программного обеспечения, направленного на кражу этой информации. Обеспечивая себе довольно крупную прибыль, хакеры вкладывают немалые средства в разработку новых типов вредоносного программного обеспечения. Если раньше основной атаке подвергались компании, которые не заботились об информационной безопасности, то сейчас существует такой тип программного обеспечения, который работает с самыми современными системами безопасности.
А.М.: Здесь хотелось бы добавить, что когда речь идет о каких-то крупных финансовых организациях, идет речь о целенаправленных атаках. Чаще всего злоумышленники обладают информацией об установленных защитных технических средствах в той или иной компании и уже используют специально разработанное программное обеспечение, позволяющее обходить защиту конкретных систем. Что в принципе возможно, т.к. ни одно средство защиты не дает 100-процентной гарантии.
ИА REGNUM: Что вообще представляют из себя группы, занимающиеся киберпреступлениями? Какой он, "типичный хакер"?
И.С.: Хакеры нового поколения - это не те хакеры, которые были в 90-х, которые все деньги вкладывали в машины и квартиры. Они вкладывают деньги в личную безопасность и юридическую защиту, а также в разработку новых систем киберпреступного бизнеса.
А.М.: Они заинтересованы в продолжительной работе своего бизнеса и стараются всячески инвестировать в это.
И.С.: Современная киберпреступная группа очень похожа на так называемую ОПГ, как говорили в 90-х годах. Т.е. это не школьники и студенты, которые сидят в разных концах страны, это очень сплоченная команда, которая состоит из нескольких подразделений. Если говорить о мошенничествах в сфере банковского обслуживания, то таких подразделений два. В одно из них входят люди, которые занимаются собственно распространением вредоносного программного обеспечения, люди, которые имеют доступ к административной панели программного обеспечения и видят, какие ключи каких компаний украдены, люди, которые организуют DOS-атаки, когда с компьютера клиента отправляется платежное поручение, чтобы клиент не мог в течение дня включить доступ к банку и проверить данные, а в этот момент операционист успевает отправить платежное поручение. Вторая группа занимается экономической составляющей, т.к. деньги юридического лица не так просто перевести в наличные. Они обеспечивают работу однодневных компаний и обеспечивают обналичивание денег в таких городах как Тольятти, Екатеринбург, Челябинск. После вывода деньги поступают в системы электронных платежей и распространяются по членам преступной группы. При этом у преступных групп очень хорошие юристы, связи. Работая против таких групп, правоохранительных органы прекрасно осознают опасность такой работы. Могу провести аналогию современной хакерской группы с наркобизнесом, потому что это тот же уровень опасности.
А.М.: Дело в том, что Илья привел пример большой и хорошо подготовленной группы, но есть более мелкие, которые, к примеру, оказывают услуги по обналичиванию средств за определенный процент. Вообще киберпреступников можно разделить на несколько групп: одни занимаются "обналичкой", другие - распространением вредоносного ПО, третьи занимаются разработкой генераторов ботов.
ИА REGNUM: Как Вы оцениваете объемы киберпреступности в России? Что способствует развитию киберпреступности в России?
И.С.: На сегодня уровень киберпреступности достаточно высокий. Ежегодный оборот составляет около 1 млрд долларов и эта цифра будет увеличиваться. Это те деньги, которые сейчас крутятся на рынке киберпреступности именно в российском сегменте. Стоит учесть, что эти деньги получены не только с российских пользователей и компаний, для наших хакеров важны европейский рынок и американский.
ИА REGNUM: Какие страны чаще всего сталкиваются с киберпреступностью - как с организацией преступных групп, так и с целенаправленными атаками?
И.С.: Я не так давно вернулся из Канады, где проходил форум Digital Crimes Consortium, где собираются люди, занимающиеся расследованием компьютерных преступлений со всего мира. Там было отмечено, что сейчас глобальный тренд - это Россия и Китай. При этом российские хакеры дают очень много методик. Также рынок Латинской Америки сейчас неплохо развивается. Честно говоря, я до конца не понимаю, почему именно Россия и Китай, но действительно, таланты у нас очень хорошие, как организаторские, так и технические.
Среди стран, которые чаще всего подвергаются хакерским атакам, - страны Европы и США. Как ни странно, в этом списке находятся и развивающиеся страны африканского континента.
А.М.: Среди регионов по разработке самых технологичных вредоносных программ сейчас лидирует Россия. Дело в том, что самые сложные с точки зрения анализа, разработки и противодействия антивирусным средствам обнаружения и дальнейшего лечения - это именно российские киберпреступники. Конечно, они могут находиться не только в России, они могу находиться и за рубежом, но иметь российские корни.
ИА REGNUM: Как вы узнаете авторство?
А.М.: Эта часть уже связана с мониторингом. Когда вредоносная программа разработана, она должна быть продана кому-то. Соответственно отслеживая различные взаимодействия по той или иной активности с точки зрения распространения и продаж вредоносной программы, можно отследить, какая киберпреступная группа с этим связана. А дальше дело уже зависит от мониторинга этой преступной группы. Чаще всего сложно найти разработчика данной вредоносной программы, но определить преступную группу, которая имеет отношение к разработке той или иной вредоносной программы, можно.
ИА REGNUM: По размеру ущерба кто страдает больше, рядовые пользователи или компании?
И.С.: В России больший ущерб наносится юридическим лицам. В мире - по крайней мере, до 2008 года в основном от деятельности хакеров страдали рядовые пользователи - держатели пластиковых карт. Чаще всего они. Сейчас примерно 50/50. В России пока больше страдают юридические лица, потому что интернет-банкинг пока еще развивается.
ИА REGNUM: Если вспомнить об активно обсуждаемой в последнее время теме червя Stuxnet, можно ли говорить об использовании вредоносного программного обеспечения в качестве инструмента для промышленного шпионажа?
А.М.: Да, хотелось бы отметить, что в этом году явно заметна тенденция увеличения целенаправленных атак. При чем стало известно о двух громких инцидентах целевого характера. Первое - в конце января была проведена так называемая атака "Аврора", целевая атака на крупные зарубежные корпорации такие как
И вторая атака - это собственно червь Stuxnet. Это еще более интересный случай, по нашим оценкам эта вредоносная программа имеет очень высокую стоимость, т.к. использовалось пять ранее неизвестных уязвимостей, четыре из них применялись для операционных систем Microsoft Windows, и одна - непосредственно нацеленная на системы Siemens. По нашим подсчетам, только одни уязвимости обошлись бы более 100 тыс. евро, а разработку всей вредоносной программы мы оценили в полмиллиона евро по самым низким расценкам. В частности Stuxnet имел возможность обновляться с удаленных серверов, мог загружать дополнительный функционал и цели злоумышленников могли меняться в различные периоды этой атаки. При этом в самой программе есть счетчик установок, позволяющий контролировать распространение червя. Также была возможность самоликвидации программы с того или иного компьютера.
Т.к. Stuxnet не имел возможности получения прямой монетизации, это не похищение каких-то финансовых данных и т.п., а замысел злоумышленников был гораздо глубже, то здесь, скорее всего, речь идет о какой-то составляющей, связанной с какими-то влиятельными организациями, в том числе с, возможно, правительством какой-то страны, которая была заинтересована в распространении этой вредоносной программы. Многие утверждают, что целью злоумышленников был Иран, в частности,
ИА REGNUM: Получается, установленный антивирус сообщает, сколько вирусов обнаружено?
А.М.: Пользователю предоставляется возможность оперативного оповещения вирусной лаборатории и отправки подозрительных файлов. Перед отправкой пользователю выводится предложение об отправке, после чего он принимает решение.
ИА REGNUM: После проверки системы одним антивирусом другой может обнаружить заражение? Как такое может быть?
А.М.: Любая антивирусная компания не гарантирует 100-процентное обнаружение вредоносных программ, т.к. обнаружение строится на изначальном знании об угрозе и антивирус может не обнаружить совершенно новый тип заражения. Однако компании совершенствуют эвристические алгоритмы для противодействия ранее неизвестным угрозам. Однако все сводится к обнаружению поведенческих признаков, которые ранее уже встречались.
И.С.: Такое может случиться с каждым антивирусом, не бывает идеальной защиты и если какая-то компания сообщает о том, что обеспечивает 100-процентную защиту, то она откровенно врет. Если бы была создана концепция идеального антивируса, то весь рынок бы давно захватил один монополист.
ИА REGNUM: Ваша оценка защищенности современных операционных систем?
А.М.: С точки зрения количества обнаруживаемых уязвимостей и обнаруживаемых вредоносных программ лидируют операционные системы Microsoft, во многом благодаря их большей распространенности. И хотя, количество уязвимостей в Linux и MacOS достаточно велико, внимание исследователей, как правило, сосредоточено на Windows, в том числе потому, что найдя уязвимость в Windows и обнародовав ее, можно сделать себе рекламу. Тем не менее, количество вредоносных программ для других операционных систем растет. Отдельно стоит упомянуть о том, что недавно была обнаружена вредоносная программа, написанная на java, которая с одинаковым успехом исполняется как в среде Windows, так и в Linux и в MacOS. Платформа Linux интересна для злоумышленников чаще только при проведении целевых атак определенных серверов, пока атаки этой платформы массово не монетизируемы.
ИА REGNUM: Чего стоит опасаться пользователям в будущем? И как противостоять новым угрозам?
И.С.: Если в ближайшее время международное сообщество не договорится о том, как бороться с киберпреступностью, то через два года мы потеряем контроль над сетью интернет - таков мой пессимистичный прогноз развития ситуации. Большинство заражений, в основном, связано с неправильным пользованием компьютера. Поэтому даже рядовому пользователю компьютера необходимо изучать правила информационной безопасности. Тенденция такова, что киберпреступность будет расти и люди будут зарабатывать больше денег, а интернет станет менее безопасным. У киберпреступности нет границ, а у каждой страны свои законы и если ничто не изменится с точки зрения международного законодательства, то киберпреступность продолжит очень хорошо развиваться.
А.М.: Мы видим увеличение количества вредоносных программ ежедневно, а на сегодняшний день мы обрабатываем более 300 тыс. уникальных экземпляров подозрительного кода, которые поступают как от сети ThreatSense.Net, так и от приманок, которые мы размещаем в сети интернет. Что касается дополнительных трендов - киберпреступность становится более технологичной, маленькие преступные группы уже не выживают, на их место приходит серьезное преступное сообщество с четким разделением сфер влияния. С каждым годом все становится серьезней и серьезней и если раньше на эту проблему в России смотрели сквозь пальцы, то в этом году стали уделять более пристальное внимание - правоохранительные органы стали чаще обращаться к нам за экспертизами.