Вячеслав Медведев, Dr.Web: «Раньше хакер писал вирусы для удовольствия — сейчас работает ради денег»

О разгроме банковского трояна Carberp, жизни хакера Васи на Канарах и криминальных группировках в Cети

Написание и использование вредоносного программного обеспечения породило огромную индустрию, которая приносит большие доходы. Действуют целые биржи по самому широкому спектру услуг — вирусы можно собрать, как конструктор, рассказал «Реальному времени» менеджер проектов компании «Доктор Веб» Вячеслав Медведев. По его словам, хакеры промышляют практически всеми видами деятельности, от обычного шантажа и воровства данных о картах, до промышленного шпионажа и масштабных диверсий. При этом роль антивирусов претерпевает серьезные изменения.

Антивирус должен сделать написание вируса сложным и дорогим

— Какие на данный момент стоят основные угрозы перед пользователями? С чем приходится иметь дело, какие есть проблемы и тенденции?

— Сейчас наблюдаются две пересекающиеся тенденции — это недостаток финансирования и неосведомленность об угрозах.

Дело в том, что большинство пользователей, системных администраторов и руководителей компаний считают, что вопрос антивирусной безопасности у них закрыт. У них установлен антивирус, соответственно, они считают, что знают о нем все, и подавляющее большинство уверено, что он должен ловить 100% вирусов любого типа. При этом они совершенно не осведомлены о том, что сейчас вредоносные программы, в том числе и вирусы, создаются совершенно иначе, чем раньше.

— Какие появились различия?

— Раньше хакер работал для собственного удовольствия. Некоторые приносили нам на дискетке вирусы только ради того, чтобы их имя попало в вирусные базы. Но это было давно. Сейчас вирусописатели работают ради денег. Соответственно, они заинтересованы в том, чтобы вредоносная программа проникла в систему и, естественно, ни в ходе проникновения, ни в ходе работы не была обнаружена при этом ни одним средством защиты.

Раньше хакер работал для собственного удовольствия. Некоторые приносили нам на дискетке вирусы только ради того, чтобы их имя попало в вирусные базы. Но это было давно

— Как это достигается?

— Киберпреступники устанавливают наиболее популярные среди потенциальных жертв антивирусные системы, иные средства защиты. Разработка вредоносной программы продолжается до того момента, когда она перестает детектироваться этими средствами защиты.

В большинстве случаев системы безопасности как компании, так и частные пользователи устанавливают по умолчанию, не настраивая проактивную защиту и другие параметры. В результате вредоносная программа попадает даже в защищенную систему.

По сути разработка необнаруживаемой вредоносной программы — вопрос денег и времени. В этих условиях задача разработчиков антивирусов — использовать технологии, затрудняющие создание подобных вредоносных программ. Антивирус должен защищать еще до момента начала атаки, работая в тылу врага.

— Можете привести пример такой программы?

— Был такой банковский троянец Carberp, предназначенный для кражи денег через системы дистанционного банковского обслуживания. В свое время он «знал» почти все отечественные системы ДБО. Наша компания принимала участие в поиске кибермошенников, ежедневно выпускавших под сотню или даже больше образцов этой вредоносной программы, каждый из которых не обнаруживался ни одним антивирусом.

Сейчас точно так же не обнаруживаются троянцы-шифровальщики, требующие выкуп за расшифровку данных. Люди думают, что у них плохой антивирус, в то время как зачастую это не так. Просто они не понимают, зачем он им нужен, живут в реалиях девяностых годов, когда все было по-другому. Сейчас антивирус не может перехватить 10-20% вредоносных программ из тех, что появляются ежедневно. Задачи антивируса изменились. Правда, и возможности антивируса с тех лет сильно выросли.

— Какие задачи стоят сегодня перед антивирусом?

— В первую очередь, с его помощью необходимо затруднить создание вредоносной программы, сделать этот процесс дороже. Во-вторых, как можно больше угроз он обязан нейтрализовать «на входе». В-третьих, он должен получать постоянные обновления (выглядит очевидной задачей, но обновления должны происходить, даже если этому противодействует вредоносная программа). И, наконец, еще одна его задача — пролечить вредоносные программы, уже проникшие в систему.

Люди покупают и используют только антивирус, в то время как нужно применять комплекс мер, в числе которых — ограничение списка запускаемых программ, ограничение доступа к недоверенным ресурсам, резервное копирование — с тем, чтобы в случае использования троянцем уязвимости можно было бы восстановить данные. И, естественно, требуется антивирус, который добьет или пролечит проникшую заразу. Такова жизнь.

Киберпреступность превратилась в индустрию

— Какие существуют способы заработка на вредоносах?

— Самые разные. Наиболее известные — это требование выкупа за расшифровку файлов, испорченных троянцами-энкодерами. Нужно понимать, что за всем этим стоит целая отрасль, а вовсе не хакер-одиночка. Это могут быть криминальные группировки со своим руководством, исследователями, которые ищут уязвимости, с разработчиками и дроперами, которые снимают деньги с каких-то сетей. Злоумышленники могут пользоваться подпольными биржами.

Но за распространением вируса может стоять и один злоумышленник. Существуют подпольные биржи, на которых можно купить все нужное — уязвимости, эксплойты, услуги по выводу денег… Такие случае мы тоже знаем.

Все слышали о том, что хакер украл миллиард долларов в «Ситибанке». Но кто-то слышал, что хакер Вася поселился на Канарах и живет в особняке, построенном из золота?

— Возникла целая криминальная индустрия. Чем она занимается?

— Все слышали о том, что хакер украл миллиард долларов в «Ситибанке». Но слышал ли кто-то, что хакер Вася поселился на Канарах в золотом особняке? А ведь украден миллиард! Возникает вопрос: куда деваются деньги? Суть в том, что троянец — это очень сложная по нынешним временам программа, для написания которой требуется хорошая квалификация. Например, чтобы создать шифровальщик, нужно написать криптографическую систему, которая будет правильно реализовывать алгоритмы, и они будут невскрываемы. И удается это далеко не всем. Но и написать вредоносную программу мало — ее нужно внедрить жертвам, продать украденное, обналичить денежные средства…

— Сколько человек необходимо для написания вредоноса и сколько это может стоить?

— Стоимость зависит от многих факторов, но точной суммы назвать не могу — не интересовался. Обладая высокой квалификацией, написать вредоносную программу можно и в одиночку. Денег хочется всем. Любой вирус может быть написан и распространен одним человеком. История вирусных атак знает такие примеры, однако это сложно. Большинство начинающих злоумышленников очень молоды — им в основном 18-24 года. Естественно, им негде набраться опыта, они не работали в серьезных конторах. Поэтому купить проще, чем разработать — этим все и занимаются. Есть биржи, на которых можно купить все: заказную разработку, код, системы, на которых можно вывести деньги, поддельные карточки, нанять дроперов, которые будут снимать деньги в банкоматах. Предусмотрены любые услуги. И некоторые из них по отдельности зачастую не содержат криминала. Да, многие производители программного обеспечения запрещают искать уязвимости в их коде. Тем не менее их находят и выставляют на продажу. Те, кто это делают, сами денег не воруют, а вот автора эксплойта, написанного для обхода такой уязвимости, могут арестовать. Кстати, не так давно в России арестовали автора так называемого эксплойт-пака — набора эксплойтов.

Благодаря таким возможностям при желании можно собрать, как из конструктора, все, что требуется. Эффективность этого конструктора будет гораздо ниже, чем у самостоятельной разработки высокого класса. Но собранную таким образом вредоносную систему можно продать нескольким злоумышленникам и получить много денег. Это и есть международный бизнес, в котором крутятся огромные суммы. Вкладываешь деньги и получаешь результат.

Есть биржи, на которых можно купить все: заказную разработку, код, системы, на которые можно вывести деньги, поддельные карточки, нанять дроперов, которые будут снимать деньги из банкоматов. На все есть услуги.

— На чем в основном специализируется теневой кибер-бизнес?

— В основном на банковских троянцах и шифровальщиках. Как таковой исчерпывающей статистики нет. Например, Центробанк недавно сделал статистику по воровству через банковские системы. Но полная картина отсутствует, и это — одна из причин, по которой компании не создают такие системы защиты, какие на самом деле им нужны: люди не могут представить, с какой вероятностью их компанию атакуют и какие убытки они в этом случае понесут. Вместо статистики все апеллируют к тому, что там, на Западе, что-то взломали — а о российских примерах утечек практически неизвестно, и это создает иллюзию защищенности.

Если мы заговорили о Западе, то нужно сказать, что там отношение к антивирусам такое же, как и у нас. Разница в том, что российские средства ИБ эффективнее, наши разработчики лучше. Отечественные антивирусы действительно ловят вредоносные программы.

— Про шифровальщиков можно поподробнее?

— Их очень много и мало одновременно. Мы заносим в антивирусные базы информацию о примерно 20 образцах в день, но всего в антивирусную базу в день может попасть несколько тысяч записей. При разработке шифровальщики тестируются на всех известных антивирусах. Их задача — проникнуть в систему, в том числе и через почту, и зашифровать файлы, а затем вывести требование о выкупе. Они могут сначала зашифровать все файлы, а могут начать шифровку и сразу же потребовать оплату. Очень сильно различаются суммы выкупов — от биткойнов до рублей и долларов, — но схема работы достаточно примитивная. При этом зашифровать они могут любые файлы.

— Как от них защищаться, если антивирусы не помогают?

— Прежде всего нужно сказать о мифах. Многие надеются на «теневые копии», резервное копирование. Но это понимают и злоумышленники. Если пользователь работает под учетной записью администратора, то теневые копии уничтожаются. Вирус может зашифровать файлы на удаленных дисках, куда копируются копии данных, испорченные файлы могут попасть в архивы. Пользователи устанавливают антивирус с настройками по умолчанию и не ставят обновления безопасности, работают под правами администраторов — и в итоге расплачиваются за наивность.

Нужно знать, что ни одна из мер не спасает на 100%, у резервного копирования своя роль, у антивируса — своя. И искусство защиты (а защита — это искусство) — в сочетании возможностей различных типов программных продуктов.

— Как часто атакуют промышленные объекты?

— Атаки на промышленные системы проходят постоянно. В том числе и в России, но о них обычно не говорят в связи с закрытостью информации.

В общем и целом это не представляет ничего интересного по сравнению с атаками на банки, где системы банкоматов должны быть отделены от всей компании. Однако заражению сначала подвергается рабочая станция, потом сервер, а затем злоумышленники добираются до якобы защищенной сети банкоматов.

АПТ-атаки на технологические системы отличаются тем, что здесь антивирус не может быть установлен принципиально. Техпроцессы должны работать по четкому графику. Если ракета начнет отрабатывать каждый цикл по другим миллисекундам, она полетит не туда, а то и вовсе взорвется. За какой промежуток времени антивирус закончит проверку, неизвестно, потому что его базы обновляются каждый час и даже чаще и, соответственно, чуть, но может измениться время проверки.

В таких системах антивирус устанавливают не на конкретные технологические системы, а в их «обвязке», на шлюзовых решениях. Соответственно, возникает проблема защиты от неизвестных вредоносных программ, защиты от использования неизвестных уязвимостей. Если есть возможность войти в систему через Интернет, можно найти в ней уязвимость, которая не закрывается годами, и внедрить вирус, который не будет определяться используемым антивирусом.

Не существует ни одного нормального технического документа, который бы оценивал риски и меры по защите для облаков

По такой системе на Тайване взламывали системы управления ядерными реакторами (правда, по имеющейся информации, была лишь скачана технологическая информация), а в Москве — светофоры.

Облака — крайне небезопасная среда

— Как оцениваете популярную тенденцию использования облачных технологий, это решение многих проблем, универсально ли оно с точки зрения безопасности?

— Облака — это опасная тенденция. При наличии хорошего интернет-канала и отказоустойчивого датацентра они дают возможность нормально функционировать многим компаниям. Но, как правило, при реализации бизнес-процессов через облако не рассматриваются вопросы отказоустойчивости бизнес-процессов при отсутствии связи с облаком, вопросы безопасности. Во многом это связано с тем, что не существует ни одного нормального технического документа, который бы оценивал риски и меры по защите для облаков. Типичный пример веры в облака: многие знают о сервисе ТОР. Сам по себе он надежен, но однажды (как было сказано в отчете) неизвестное лицо получило доступ к серверу, находящемуся на территории датацентра, и выполнило все необходимое для проведения атаки на сервис.

При переходе к облачным технологиям забывают, что провайдеры услуг в отличие от собственных сотрудников не проходили проверок у служб безопасности компании, а сами провайдеры услуг не несут фактически финансовой ответственности за проблемы безопасности.

— То есть сервер взломали не через Интернет?

— Когда мы принимаем людей в компанию, мы их проверяем, контролируем, служба безопасности бдит. А тут мы отдаем свои данные на сторону — дата-центры разнесены по всему миру. Что там за люди работают? Здесь вопрос цены информации той же самой нефтяной компании, газовой компании: можно заплатить уборщице, которая что-то сделает с сервером. И такие случаи были! Недаром офицеры безопасности ходят за персоналом во время уборки в кабинетах — поставить аппаратную закладку на кабель, соединяющий компьютеры, при нынешней стоимости «железа» — ерундовая задача.

— Что такое аппаратная закладка?

— В место соединения порта внутри расширения кабеля или даже в мышь можно поместить какую-то аппаратную часть, которая всю информацию будет куда-то передавать. Был такой случай: взяли мышки — красивые, геймерские, поместили внутри все необходимое для работы с компьютером, включая необходимый код, и разослали компаниям в виде подарков. «Подарок на Новый год, мы с вами встречались на конференции…». Все мыши через некоторое время вышли на связь. Многие забывают, что USB-устройства универсальны, вы воткнули его как мышку, а оно может работать как клавиатура, установщик и вообще как что угодно. Таких уязвимостей много — скажем, недавно прогремело по всему миру Bad USB.

— Какие еще существуют уязвимости облачных сервисов?

— Многие не понимают, что облако — это не доверенная среда. Данные могут поменяться во время передачи от облака к компании или, тем более, во время работы сотрудников, которые работают из дома. Одно дело — хранить информацию в компании, которая защищена, и другое — иметь дело с непонятным дата-центром.

Облако используют именно с точки зрения бизнеса. Удобство пользователя, быстрота обслуживания, работа принтеров и т.д. Это понятно всем людям

Еще одна проблема — отказоустойчивость сервисов в целом. Мало работать с отказоустойчивым дата-центром. Для обеспечения отсутствия перерывов в работе нужно внутри компании поставить почтовый сервер, который будет в случае атаки гарантировать бесперебойную работу хотя бы внутри сети, файловый сервер, который позволит работать с данными, обычно получаемыми из облака во время отказа. Нужно использовать шлюз, который должен проверять входящий трафик для гарантии, что в данные не был внедрен вредоносный код во время передачи.

Внутри по сути должна быть полная инфраструктура, от которой только что отказались. И это только для отказоустойчивости. Плюс требуется инфраструктура поддержки канала… Плюс нужно контролировать, что облако обладает целостностью и за данными непосредственно в датацентре никто не следит. Вы уверены, что на уровне гипервизора (сервера, на котором «крутится» виртуальная машина в этом облаке) нет никакой закладки? Поставить ее — лишь вопрос цены. Это сложно, дорого, но вполне реально.

Госорганы думают о защите в последнюю очередь

— Что делать с государственными ЦОДами, которые сейчас активно строятся?

— Там возникает другая проблема. Мы сталкивались с ней на примере таких госкомпаний, которые о безопасности думают в последнюю очередь. Сначала строят какую-то систему — нужную, удобную. А потом приходят к нам и говорят: «Мы обратились во ФСТЭК, ФСБ, а нам сказали, что в соответствии с таким-то приказом нам необходимо установить антивирус». Мы объясняем: установить антивирус не получится, потому что у вас, например, нет необходимых компонентов, не предусмотрены соответствующие режимы работы. А они говорят: «У нас уже все подписано!».

Всем уже внедрено, что облако экономически выгодно и используют его именно с точки зрения бизнеса: удобство пользователя, быстрота обслуживания, работа принтеров и т. д.

Осознание новых реалий еще не пришло

— Какие, на ваш взгляд, существуют проблемы в области информационной безопасности в нашей стране?

— Специалисты по безопасности не умеют говорить с точки зрения бизнеса. Это тем более плохо, что с точки зрения российского бизнеса риски информационной безопасности, риски потерь от хакеров для компаний по экономическим причинам гораздо ниже, чем вероятность ущерба, скажем, от рейдерской атаки или изменения курса доллара.

Для «Андроида» число вредоносных программ, которые скачиваются из Google Play, исчисляется сотнями тысяч

Может, и были мелкие компании, которые теряли большие деньги от хакерских атак, но в России такая информация не публикуется. Это тоже сказывается на отношении к бизнесу информационной безопасности.

Другое дело, когда в США, Англии, Германии, Франции налажены все бизнес-процессы, у них стабильная экономическая ситуация. Начинают считать копейки для повышения удобства клиентов.

Смартфоны — самые незащищенные устройства

— Можно ли с телефона платать банковской картой?

— Для «Андроида» точно такая же рекомендация, как и для Windows. Для проведения платежей нужно отдельное устройство, которое не используется ни для чего другого, потому что любое подключение к компьютеру или Интернету — это всегда риск заражения. Не нужно думать, что на AppStore или Google Play нет вирусов. Какие бы ни были проверки софта, неизвестные вредоносные программы, которые не определяются средствами защиты, туда проникают. Например, создается программа, которая не детектируется антивирусом, используемым в соответствующем магазине, и классифицируется как игровая. Для iOS это провернуть сложнее, для «Гугла» проще, было бы желание. Вредоносные программы, которые можно скачать из Google Play, исчисляются сотнями тысяч.

— Как защищаться?

— Устанавливать антивирус, но помнить, что возможности антивирусов для мобильных в связи с малой мощностью самой платформы ограничены — нужно защищать и те компьютеры, с которыми синхронизируются мобильные устройства.

При установке той или иной программы необходимо читать лицензионное соглашение: в большинстве случаев вирусы попадают на мобильные устройства из-за игнорирования тех разрешений, зачастую подозрительных, которые запрашивает программа. Проще говоря, люди не смотрят, что именно ставят, и получают вредоносную программу.

Фото Романа Хасаева, en.wikipedia.org, kvnews.ru, blog.kaspersky.ru

Александр Третьяков

Подписывайтесь на телеграм-канал, группу «ВКонтакте» и страницу в «Одноклассниках» «Реального времени». Ежедневные видео на Rutube, «Дзене» и Youtube.

Новости партнеров