Україна - полігон, на якому хакери випробовують свої методи, - дослідник ESET

Україна - полігон, на якому хакери випробовують свої методи, - дослідник ESET - Фото
Фото - Depositphotos.com

Дослідник вірусних загроз Антон Черепанов: про кібератаки проти України, відродження Касперського, чорний ринок компаній і стеження через вебкамеру


На які витончені хитрощі йдуть кібер-зловмисники, щоб виманити ваші гроші? Чи варто заклеювати веб-камеру? Чому російські антивіруси Касперський і Dr.Web досі працюють на українському ринку? Хто стоїть за масштабними кібератаками на Україну?

Кореспондент Liga.Tech побував у головному офісі компанії ESET (випускає антивірусні програми) в Братиславі й поговорив з одним із головних дослідників загроз в мережі Антоном Черепановим. Саме він був одним із тих людей, які аналізували найгучніші атаки останніх років, коли під ударом опинялися банки, об'єкти енергетики і безліч інших компаній: BlackEnergy, Petya.A і WannaCry.

Антивірус ESET обслуговує більш ніж 100 млн користувачів з 180 країн. В Україні словацька компанія займає близько 70-80% українського ринку.

Черепанов розповів, яке місце Україна займає в світовій кібервійні, як і проти яких країн працюють хакери, що насправді сталося три роки тому, коли ESET звинувачували в допомозі сепаратистам на сході України, і чому Україна так часто знаходиться під прицілом хакерів.

Про стеження через веб-камеру, вимагання грошей і спадщину африканських принців

- Ваш колега показував презентацію, в якій у людини вимагали гроші, погрожуючи відправити всім його контактам відео з веб-камери. Наскільки це поширено зараз і що робити в таких ситуаціях?

- В основному такі повідомлення, які приходять на пошту, - це зазвичай фейк. Тобто ніяких даних на вас немає. Це просто соціальна інженерія, хакери намагаються вас обдурити і виманити гроші. Технологія не нова. Вже десятиліття хтось намагається зв'язатися з потенційною жертвою з приводу спадщини африканських принців (ви, нібито, є родичем або маєте те ж прізвище, що і загиблий мільйонер, і адвокат пропонує вам прокрутити махінацію з метою отримання круглої суми - Ред.)...

- Так-так, навіть мені щось приходило таке.

- Ось, зараз це стало ще більш популярним.

- Тобто, швидше за все, це просто обман?

- У 90% випадків - так. Лише в окремих випадках, які ми знаходили, дійсно шкідливе ПЗ давало можливість стежити за користувачем. Вірус відзначав, що користувач переходив на порносайти, але при цьому у нього не було доступу до веб-камери. Якщо користувач дійсно відвідував такі веб-сайти, то в листі йому про це писали. Мовляв, ми бачили, що ти відвідував такі-то сайти, у нас є запис, плати...

- Виходить, більш висока ймовірність, що людина повірить?

- Так, так більше довіри.

- Чи реально дивитися в чужу веб-камеру?

- Так, є таке шкідливе ПЗ, яке може це робити, але це рідко зустрічається. Зазвичай і звуку досить. Переговори в скайпі або в чомусь іншому або просто з мікрофона.

- А наскільки просто отримати прослуховування з мікрофона?

- Якщо це ноутбук, то елементарно. Ви отримуєте шпигунську програму поштою або іншим способом. Навіть іноді фізичний доступ використовується. Наприклад, людина залишає свій гаджет у готелі. Тоді зловмисники зламують його і встановлюють шкідливий код, який стежить за вами. Але це використовується проти якихось дуже високопоставлених чиновників чи бізнесменів.

- Антивірус може від цього захистити?

- Може, звичайно. Ми цим і займаємося. Але такі випадки неординарні. Проти звичайних людей використовуються прості шифрувальники і здирники.

- З вашої точки зору, потрібно закривати веб-камеру?

- Я наприклад не закриваю. Мені все одно.

- Але у вас же, напевно, більш просунутий захист.

- Так, у нас ще додатковий моніторинг є.

- А були випадки коли за політиками так шпигували?

- Справа в тому, що ми не знаємо, хто є хто.

- Так може ви Ангелу Меркель врятували, наприклад.

- Будь-яка людина може завантажити наше програмне забезпечення. Ми не знаємо, що це Петя Іванов і він працює там-то і там-то. Максимум, що він нам надішле, це статистику про виявлені загрози, але там ще треба поставити галочку, що він згоден ділитися інформацією.

- Але коли ти платиш, залишаєш свої дані ...

- У нас такої інформації немає. Вони є у банку або у тих, хто це продає.

Про російські антивіруси - Касперський, Dr.Web і санкції

До розмови приєднався керуючий партнер дистриб'ютора ESET в Україні Олексій Герасимчук.

- Яка у вас зараз частка ринку в Україні?

- Олексій: Дуже складно порахувати. Суб'єктивно це близько 70-80 відсотків.

- Це загальна частка або тільки бізнес клієнти?

- Олексій: Загальна.

- Як зараз справи у російських антивірусів Касперський і Dr.Web на українському ринку?

- Олексій: Указ про санкції не дозволяє використовувати ці продукти в органах державної влади та об'єктах критичної інфраструктури, але це ніяк не відноситься до сегменту звичайних користувачів. Чому до цього дня той же російський Dr.Web працює на українському ринку, незважаючи на те, що компанія знаходяться під санкціями? Вони не закривали свій офіс і продовжують продавати свій продукт.

Будь-яка приватна структура досі може купити і користуватися і Касперським, і Dr.Web. Нічого не заважає їм працювати і зараз. Користувачі у них зараз є в Україні.

- Касперський же був на першому місці в Україні до того, як їх включили до списку санкцій. Чи не боїтеся, що вони будуть вас витісняти, якщо санкції не продовжать?

- Олексій: Так, в хороші часи вони займали частку до 60% і були дуже сильні. Я думаю, що вони будуть як і раніше намагатися працювати на ринку України і у них буде ще більше клієнтів. Особливо, якщо санкції не продовжать.

- Буде бійня?

- Олексій: Насправді зараз на ринку багато сильних гравців. І Symantec, і McAfee і інші. Навіть у Cisco та інших вендорів також є рішення. Ринок великий.

- Ринок росте?

- Олексій: Ринок кібербезпеки зростає однозначно. Але наскільки зростає, складно сказати.

Про роль України в кібервійнах і російських хакерів

- Яка роль України в сучасних світових кібервійнах?

- В Україні зараз дійсно дуже багато цікавих загроз. Таких загроз, які ми не бачили ніде. Є звичайно й банальні штуки. Але складних загроз дійсно дуже багато. Наприклад, Industroer. Це шкідливе ПЗ створене спеціально для атак на електропідстанції в 2017 році.

Буває так, ми щось виявляємо в Україні, а потім ми це бачимо в інших країнах.

Україна стала таким собі полігоном, на якому хакери відпрацьовують різні методи.

- Чому так виходить?

- Я думаю, що складні загрози завжди пов'язані з геополітичною обстановкою. Припустимо, нещодавно в Венесуелі ми теж виявили цікаві загрози. Там теж складна геополітична обстановка.

- Чи можна сказати, що це РФ на нас тренується?

- Ми аналізуємо тільки шкідливе ПЗ. Ми не знаємо, хто за ним стоїть. Це не наші завдання. Це повинні робити правоохоронці.

- Які зараз тренди в світі хакерів?

- Перше - це те, що зараз намагаються залізти не тільки в комп'ютери, а й в різні роутери, IoT девайси. Другий тренд, це коли зловмисники зламують субпідрядника компанії і вже через нього потрапляють всередину мережі тієї компанії, проти якої спочатку планувалася атака. Третій тренд - це атаки, які знищують дані на комп'ютері.

- Як зазвичай виглядають ті, хто зламує компанії?

- Це зазвичай дуже добре підготовлена ​​група людей, де у кожної людини своя спеціалізація. Найчастіше вони навіть купують один у одного послуги. Були випадки, коли великі ботнети (хакери зламують комп'ютери і з'єднують їх в окремі мережі - Ред.), які можуть зламати майже кожну організацію, розуміють, що не можуть самі монетизуватися. Вони продають доступ до організацій вже іншим людям на чорному ринку.

Одна група людей спеціалізується на тому, щоб отримати початковий доступ. Друга група вже знає, що у них є доступ до компанії. Вони можуть зашифрувати всі їх комп'ютери і попросити, наприклад, мільйон доларів.

- Які найбільші подібні групи є?

- Наприклад, угруповання Carbanak. Люди зламували в Україні банки і намагалися через банкомати отримати готівку. Вони зламували банк і встановлювали на банкоматах шкідливе ПЗ. У них були спільники, які в певний момент підходили до банкомату і банкомат просто випльовував гроші.

- І скільки таких Carbanak в світі?

- Великих фінансових угруповань в світі, напевно, близько десяти.

- А в яких країнах вони сидять?

- Складно сказати. Минулого року, наприклад, Європол написав, що вони заарештували одного з учасників цієї групи Carbabank і це був українець, який жив в Іспанії. Тобто, складно сказати, хто де сидить і якою мовою говорить. Це завдання поліції.

- А які країни атакують найчастіше?

- В основному атакують країни Східної Європи, Казахстан, РФ, Румунію.

- А чому? Багато піратського ПЗ?

- Так, слабкий захист. Простіше атакувати.

  Про те, хто стоїть за вірусом Petya

- Які висновки були зроблені світовим антивірусним співтовариством і зокрема компанією ESET після масштабних кібератак в Україні, таких як Petya, WannaCry?

- Звичайно, ми зробили висновки, поліпшили технології. Зараз таке не скажу, що неможливо, але більш складно для них буде зробити.

- Хто стоїть за цими атаками? Українська влада звинувачувала в цьому російських хакерів.

- Ми групуємо атаки за технічними характеристиками і можемо сказати, що це робила така-то група. А хто за нею стоїть, ми сказати точно не можемо, тому що ми не правоохоронні органи.

- Окей, яка група стоїть за вірусом Петя?

- За Petya стоїть та ж сама група, яка в грудні 2016 року атакувала українські фінансові установи. Про це були новини, навіть СБУ називала імена тих, хто там був. У них є назва типу PT28 і таке інше. Але ми їх називали Telebots.

- А хто це такі?

- Професійна група, яка може ламати практично все, що завгодно.

- Так це російські хакери чи ні?

- Ми такою інформацією не володіємо. ФБР випускали звіт, вони краще знають. Ми фокусуємося тільки на технічному аналізі.

Про скандал з українськими хакерами і сепаратистами

- У 2016 році був великий скандал, пов'язаний зі звітом компанії ESET. У ньому ви нібито викрили українських хакерів, які стежили за представниками самопроголошених ДНР і ЛНР. Що сталося з вашої точки зору?

- Час від часу ESET публікує звіти про раніше невідомі шкідливі програми. Тоді ми виявили атаки, які були спрямовані на українські урядові структури, про що ми їм повідомили. Пізніше було виявлено більше цілей атаки - зокрема в Східній Україні. Саме ці дані і потрапили до звіту, який я писав особисто і за нього відповідаю.

Ми - європейська компанія. У нас штаб-квартира в Європі. Ми не можемо написати нічого протизаконного, оскільки ми дотримуємося всіх європейських законів. У звіті, який був опублікований англійською мовою, все коректно. Там немає нічого такого, що могло спонукати когось до критики. Все інше, хто і як переклав і інтерпретував цей звіт, я відповісти не можу.

- В Україні обурення зокрема було в тому, що ви викрили саме українських хакерів і спеціально або не навмисно допомогли сепаратистам, які були їх жертвами.

- Зачекайте, а звідки ми знаємо, що це українські хакери. Може це китайські хакери...

- Ну у вас же в звіті було написано що хакери з України.

- Ні, ми написали що вони, можливо, знаходяться на території України. Але не можна сказати на 100 відсотків. Там було видно, що ці IP-адреси належать українським провайдерам. Але це не обов'язково саме українські хакери. Ми написали, що, швидше за все, операція відбувається з території України.

Нам взагалі все одно, хто кого атакує. Ми шукаємо будь-який тип загроз. У нас немає такого завдання, визначити, хто за цим стоїть.

Ми спочатку почали звіт, тому що українська компанія звернулася до нас і повідомила, що у них є загроза. Почали дослідження з цієї причини.

- Держструктура або приватна компанія?

- Держструктура.

- Хто це був?

- Не можемо без їх дозволу розкривати

- Тобто, на їхнє прохання ви це робили?

- Вони звернулися до нас і ми почали дослідження. Нам закидали: "вам принесли валізу грошей і ви почали дослідження ..." Маячня! Ми пишемо про все, що вважаємо цікавим. Звіти всі носять виключно технічний характер. Ніякої політичної складової в них немає.

- Тобто, це не було виключно протистояння українських хакерів і терористів на окупованих територіях?

- Так, я більше скажу, навіть один із українських журналістів написав нам, що у нього була знайдена ця вразливість. Була заражена одна дуже велика міжнародна організація зі штаб квартирою в ЄС, у якої були офіси в Україні.

Якщо говорити про якесь протистояння, то мотив їх дій взагалі не зрозумілий. Адже постраждали обидві сторони. Який тоді сенс?

- Ваш російський дистриб'ютор на ресурсі Habrahabr.ru вживав у своєму перекладі звіту такі слова як "ополченці" і таке інше

- На Хабрі у ESET немає ніяких офіційних сторінок. Єдиним офіційним блогом компанії ESET є сайт www.welivesecurity.com, на якому ми публікуємо всі свої звіти. Сторінка на Хабрі ESET не належить. Хто там і що публікує, ми не контролювали.

- Тобто це відповідальність дистриб'ютора?

- Однозначно.

- Але ви їм пояснили, що так робити не треба?

- Так, ми відразу їм пояснили і вони все видалили. Це був недостовірний і спотворений матеріал, від якого ми отримали багато проблем.

- Тобто, ніякої допомоги сепаратистам не було?

- Однозначно так. Ми не працюємо з окупованими територіями.

Я скажу більше, через кілька місяців після виходу нашого звіту ізраїльська компанія СiberX опублікувала звіт про ту ж саму загрозу, але змістила фокус. Вони написали, що заразили ще якийсь український завод, а далі просто додали, що більшість жертв знаходяться на сході України.

І до них взагалі ніяких претензій. Ніхто не сказав: ааа, Україна атакована, заводи стоять, або що ви там взагалі робите?!

- Так чому ви тоді акцент на сході України зробили?

- У нас було написано: атаковані журналісти, державні структури, міжнародні організації. Це все було в нашому звіті, просто люди його не читали. Просто знайшли російською мовою якийсь реліз, вчепилися в нього і сказали "зрада".

Поїздка журналіста в Братиславу відбулася за підтримки компанії ESET

Читайте російською: Спасет ли заклеивание камер на смартфоне и как собирают данные о просмотре порно. Интервью