Техподдержка для хакеров

Современный черный рынок имплантов – программ, которые внедряются на устройства при хакерской атаке, — предлагает аренду вредоносного ПО, которое можно сформировать под конкретные задачи простым расставлением галочек в нужных местах. Если ПО не сработает, техподдержка поможет злоумышленникам разобраться в причинах и устранить их. Именно поэтому, при отсутствии надлежащего уровня киберзащиты на предприятии, любой человек с тремя классами образования может попытаться получить доступ к сети промышленной организации. Об этом и многом другом в интервью «Газете.Ru» рассказал старший исследователь-разработчик «Лаборатории Касперского» Кирилл Круглов.

— Понятно ли откуда атакуют российские промышленные предприятия? С какого континента, из какой страны?mdash; Мы допускаем с высокой долей вероятности, что, помимо Африки и Европы, откуда действуют киберпреступники, занимающиеся массовыми кампаниями, существуют настойчивые группировки, базирующиеся в азиатском регионе. Да, страны уточнить не удастся, так как не будем забывать про ложные флаги, когда группировки из одной страны намеренно используют признаки группировки из другой страны или региона, чтобы запутать следы. Поэтому можем назвать только регион.— Как начинается обычно цепочка взлома российского промышленного предприятия?mdash; Здесь может быть много сценариев, и они чаще универсальны для предприятий всего мира.

Атака может быть продиктована политическим решением, или идея взлома возникнуть из-за нечестной конкуренции, или предприятие может быть выбрано из-за того, что оно с высокой долей вероятности заплатит, если его инфраструктура будет подвергнута шифрованию.

Возможно также, что на просторах интернета был продан архив с логинами и паролями к системам в этой организации. Таким образом, купив недорого доступ к большому числу компьютеров внутри предприятия, злоумышленники могут уже на этом этапе принять решение, что они будут его атаковать.— Если продают логины и пароли, значит это предприятие уже кто-то атаковал?mdash; Может вы удивитесь, но нередко бывает так, что какую-то организацию злоумышленники решили взломать «с нуля».

Чаще всего крупные организации, в том числе промышленные, подвергаются атакам каждый день. Зачастую такие атаки нацелены на сбор небольшого количества данных.

У нас есть интересные исследования на этот счет: данные, которые собираются злоумышленниками, в основном представляют собой информацию для доступа, логины и пароли, файлы-ключи. Их собирают в больших масштабах, взламывая тысячи различных организаций и промышленных предприятий. Это делается для того, чтобы потом реализовать их на разных площадках или через каких-нибудь брокеров, посредников, получая за это $2, $8, $25.Но если название компании довольно известное, то одна пара ключей может стоить и $100, и $150.

— А сколько существует потенциальных покупателей?mdash; Их мы посчитать не можем. А вот товар – да. Судя по тем торговым площадкам, которые нам удалось обнаружить за два года, там десятки тысяч скомпрометированных систем, доступ к которым продается прямо здесь и сейчас. И в течение дня они добавляют несколько сотен новых аккаунтов в среднем. Поэтому защищать нужно абсолютно все промышленные предприятия.— Допустим первый этап пройден: кто-то купил данные российской промышленной компании, — например, список адресов сотрудников. Что происходит дальше?mdash; Полученная информация используется злоумышленниками по-разному. Они могут начать рассылать фишинговые письма. И не один раз, а каждый день отправлять по одному письму в надежде, что пользователь, получив такое письмо, откроет вложение или перейдет по ссылке внутри письма, таким образом скачав вредоносное программное обеспечение, предоставляющее злоумышленнику удаленный доступ. Получив удаленный доступ, не важно к какому компьютеру в организации, злоумышленник уже может начать разведку, будет собирать информацию, выяснять, где находятся системы, которые представляют для него наибольший интерес, и планомерно двигаться к этим системам, шаг за шагом.— Что происходит после разведки?mdash; Заражение нужного компьютера. На него устанавливается имплант. Это то, что раньше называлось backdoor, но эволюционировало, поскольку бэкдоры объединились с другим пластом вредоносного ПО — программами-шпионами, программами-кейлогерами. С точки зрения функций это такой «швейцарский нож».

Само слово «имплант» указывает на способ, которым это вредоносное ПО внедряется в систему. Оно старается быть скрытым, старается встроиться в среду, чтобы не выделяться.

— Как давно появились импланты?mdash; Думаю, лет 7-8 назад.— Имплант пишется под конкретное предприятие?mdash; Не обязательно.— Они продаются?mdash; Да, конечно. Это целый большой рынок. Более того, мир коммерческого вредоносного ПО не стоит на месте, а очень сильно развивается. Злоумышленники подхватили идею «платформа как сервис» от известных IT-брендов и начали предоставлять свои вредоносные программы вместе с инфраструктурой. Поэтому сейчас какому-нибудь начинающему хактивисту или только что образовавшейся группе не нужно «изобретать велосипед с нуля». Они могут пойти и приобрести полностью всю инфраструктуру, которую можно использовать для атаки, порой за очень небольшие деньги.— Любой человек в этом разберется?mdash; Да, конечно.— То есть это просто инструкция пошаговая?mdash; Да. Авторы или владельцы инфраструктуры продают ее за небольшие деньги, предоставляя инструкцию, техподдержку, если что-то не работает, помогают настроить.— То есть там есть техподдержка? Злоумышленники говорят: «Мы не можем взломать компанию. Они отвечают: «Ваш звонок очень важен для нас. Подождите две минуты и мы поможем настроить оборудование»?mdash; Я не думаю, что они прямо участвуют в атаке, но они точно помогают с тем, чтобы вся инфраструктура работала. Если какие-то IP-адреса попадают в блок-лист, то им меняют IP-адреса. Для того чтобы вредоносное программное обеспечение на первом этапе не было задетектировано, используются так называемые сервисы для обфускации. Они запутывают, перемешивают весь код вредоносного ПО, поэтому его не так-то просто обнаружить. Суть в нем старая, а вот эта оболочка, в которую он завернут, новая.

И если вдруг получается, что такое упакованное вредоносное ПО детектируется, то, соответственно, клиент вправе обратиться в техподдержку и ему сделают еще раз, и проверят, что все работает как надо.

— Судя по вашему описанию, это работает лучше, чем любая официальная техподдержка…— Иногда мне кажется, что злоумышленники кооперируются куда эффективнее, чем легальные компании.— Вы говорили о развитом рынке имплантов. Они подразделяются на разные виды, группы?mdash; Да, их огромное множество. Кроме того, законодательством некоторых стран разрешено создавать программы для негласного получения информации. Поэтому продается такое полулегальное шпионское ПО, которое создано коммерческими организациями, например, для спецслужб.Этих имплантов сотни. Они объединяются в семейства и отличаются по реализации.

— То есть, например, продаются импланты для промышленных предприятий, а другие для банков?mdash; Специализированные продукты встречаются крайне редко. Поскольку их задачи крайне специфичны и едва ли кто-то на рынке будет приобретать их для первых этапов атаки. Обычно специфика проявляется, когда злоумышленники доходят до уже какой-нибудь очень особой инфраструктуры. Например, до шифрования виртуальных сред. Там есть определенные характеристики, которые, отличают шифровальщика виртуальных сред от шифровальщиков обычных дисков.Также вредоносное ПО, которое используется для атак на промышленные системы с целью не украсть данные, а нарушить работу систем промышленной автоматизации, точно так же должно содержать в себе специфику. И эта специфика будет варьироваться от индустрии к индустрии, и даже в рамках одной индустрии, если используется программное обеспечение разных производителей. Это, конечно же, учитывается в каждом конкретном случае.Но такое вредоносное ПО «последнего шага» встречается довольно редко. Можно, наверное, на пальцах обеих рук пересчитать такие случаи за последние 10 лет.— Я знаю, что сейчас даже не продают, а дают в аренду вредоносное ПО. Это касается имплантов?mdash; Да, я думаю, что такая форма связана с тем, что за последние лет шесть было много утечек исходных кодов вредоносных программ разного толка — и шифровальщиков, и имплантов, и прочего. В связи с чем авторы решили перейти от модели продажи конкретного законченного продукта к модели продажи доступа к инфраструктуре, где такие импланты можно производить.— Что значит производить?mdash; Это программы-конструкторы с разными настройками, где нужно только расставить галочки. Почитав инструкцию, вы можете выбрать необходимые для вас параметры, указать куда отправлять данные, где у вас будет командный сервер, нажать кнопку «создать», и таким образом получить свой уникальный кусок ПО.

— Получается можно собрать из «вредоносного Lego» свой имплант?mdash; Да, это работает примерно так. И таким образом авторы защищаются от утечек.— Шифровальщика тоже можно собрать под свои задачи?mdash; Да.Вредоносные программы, создаваемые в таких конструкторах, являются наиболее распространенным видом компьютерных угроз в современном мире. И для промышленных систем в том числе.— Получается, сейчас любой человек может взломать промышленное предприятие? И даже специализированное образование уже не нужно?mdash; Если задаться такой целью, то шансы на успех однозначно выше нуля. Это как кататься на скейтборде. Если у человека есть две ноги, то в теории он может научиться на нем кататься (а есть люди, катающиеся и без ног). Здесь примерно то же самое. Это требует некоторых личностных навыков: внимательности, собранности, усидчивости, способности целенаправленно прикладывать усилия для решения задачи, даже если с первого, со второго, с десятого раза это не получилось.

То есть должна быть серьезная мотивация, но образование для этого не особенно нужно. Я считаю, что достаточно первых трех классов начальной школы.

Но любой, у кого есть мотивация, с высокой долей вероятности разберется, сможет. Поэтому так важно сейчас уделять особое внимание комплексной киберзащите наших промышленных предприятий, о чем уже очень давно говорят специалисты «Лаборатории Касперского».