Аналитика и комментарии

26 декабря 2017

Информационная безопасность – это новая медицина

В интервью NBJ генеральный директор и основатель компании Group-IB Илья САЧКОВ поделился своей точкой зрения на наиболее актуальные и животрепещущие проблемы в области информационной безопасности, на роль государства в борьбе с киберпреступлениями, а также рассказал о некоторых аспектах деятельности компании Group-IB.

NBJ: Какого вида атаки представляют в настоящее время наибольшую опасность для российских банков? Могли бы вы привести какую-то статистику?

И. САЧКОВ: В октябре на конференции CyberCrimeCon 2017 мы презентовали новый ежегодный отчет, в котором подробно рассказали о трендах и тенденциях в мире киберпреступности. Например, за прошедший год мы зафиксировали снижение целевых атак на банки в России почти на 35 %. Почему? Все преступные группы, в последние годы активно атаковавшие российские банки, здесь, в России, не только для вымогания денег, но и для отвлечения внимания от основного инцидента. Мы замечаем, что все чаще преступники стараются атаковать банки не «в лоб», а через доверенных партнеров – интеграторов, подрядчиков. Иногда банковских  сотрудников атакуют вне офиса, когда они находятся дома или в кафе, проверяют личную почту, соцсети.

NBJ: Какое преступление является наиболее типичным с точки зрения ИБ для банковской сферы сейчас?

И. САЧКОВ: По нашим оценкам, рынок банковских Android-троянов оказался самым динамичным и быстрорастущим. Ущерб от них вырос на 136 %. Он составил $13,7 млн и перекрыл ущерб от троянов для персональных компьютеров на 30%. Мы предсказывали этот рост еще в прошлом году, поскольку заражения вредоносным ПО становятся незаметнее, а хищения автоматизируются при помощи метода автозалива.

Почти 85% смартфонов в мире работают на платформе Android, в отличие от iOS, это открытая экосистема с незначительной цензурой. Неудивительно, что большинство вирусов пишутся именно под нее. Все новые банковские трояны, написанные под Android, умеют похищать деньги автоматически. В конце октября мы зафиксировали новую волну массового распространения Android-троянов, маскирующихся под мобильные приложения ведущих банков страны. Пользователи, желающие установить на свой смартфон мобильное приложение банка, набирали в поисковике характерный запрос формата «скачать приложение банка ХХХ». После этого на первых страницах поисковиков им выдавались тестировали новые инструменты, тактики и схемы. А затем переключили свое внимание на другие страны и регионы: США, Европу, Латинскую Америку, Азию и Ближний Восток.

Однако это не означает, что российские банки вне зоны риска. Хакеры из групп MoneyTaker и Cobalt сфокусировались на атаках на карточный процессинг и на банкоматы. В среднем сумма
хищения при таком способе ниже, зато для хакеров это почти стопроцентный вариант. Они могут обеспечить безопасный вывод и обналичку денег через «дропов». Атакующие находятся в одной
стране, их жертва (банк) в другой, а обналичка происходит в третьей.

С технической точки зрения киберпреступники стараются как можно дольше оставаться незамеченными, используют шифрованные каналы связи, а также так называемые «бестелесные» инструменты, которые не оставляют следов, т.е. работают только в оперативной памяти и уничтожают себя после перезагрузки. Это серьезно затрудняет процесс расследования. События последнего времени показали, что меняются цели у прогосударственных хакеров. Они проводят кибератаки на финансовый сектор «по заказу». Весной этого года группа Black Energy взломала интегратора на Украине и получила доступ в сеть украинских банков. Через пару месяцев началась эпидемия WannaCry и NotPetya, за которыми стоят группы Lazarus и BlackEnergy. Прогосударственные хакеры могут атаковать банки не только для кражи денег или финансовой информации, но и для диверсий или саботажа. Атака NotPetya привела к нарушению или полной остановке процессов в компаниях нефтегазового и финансового секторов. Нередко 
вирусы-шифровальщики использовали рекламные сообщения, сопровождавшиеся стандартным текстовым сопровождением: «Установите приложение ХХX банка прямо сейчас, оплачивайте услуги, делайте переводы и открывайте вклады!». После клика по ссылке запускалась переадресация на сторонние ресурсы, где и предлагалось скачать мобильное приложение, под которым скрывался банковский троян.

Основные жертвы Android-троянов – физические лица, обычные пользователи. Пока мы не фиксировали атак на юридические лица, однако все необходимое для этого у киберпреступников
уже есть, и мы ожидаем, что они могут начаться в ближайшее время.

NBJ: Как вы думаете, в чем заключаются причины роста хакерских атак на финансовые организации?

И. САЧКОВ: Большинство хакеров мотивированы деньгами. Рост числа атак и сумм хищений является ярким индикатором финансовой активности киберпреступников, изменения их тактики
и целей. Если хакеры находят новые, более высокооплачиваемые и безопасные способы заработка, то начинают «инвестировать» именно туда, создавая новые инструменты, услуги, схемы проведения атак. Таким новым полем деятельности для них сейчас становятся ICO и блокчейн-стартапы. Все, что связано с криптовалютами, привлекает внимание хакеров. Если раньше финансовые учреждения опасались взломщиков-грабителей, то теперь новой и более серьезной для них угрозой могут стать хакеры, финансируемые различными государствами. Их
целью станет слежка за финансовыми потоками, сбор компромата на интересующих их клиентов банков, а также нарушение работоспособности внутренней инфраструктуры.

NBJ: Компания Group-IB заявила о том, что вирус BadRabbit, который распространился в 2017 году по России и Украине, должен был проникнуть в системы крупных российских банков из топ-20. Это произошло, или же проникновения удалось избежать? Как противостоять подобным вирусам?

И. САЧКОВ: Распространение BadRabbit было массовым, хотя жертв оказалось гораздо меньше, чем в случае с NotPetya. На Украине в результате атаки BadRabbit пострадали несколько стратегических объектов (аэропорт, метро, госучреждения), в России – редакции федеральных СМИ. Также были зафиксированы попытки заражений банковских инфраструктур, правда, неудачные. Первую атаку мы зафиксировали еще 24 октября в 11:17. Наше решение TDS Polygon
успешно обнаружило вредоносный файл еще на этапе загрузки. Мы уведомили пользователей о попытках заражения.

Ответ на вопрос, как противостоять подобным вирусам, довольно обширный. Есть и экстренные способы, и тактические действия, и стратегические. Если говорить кратко, смысл такой: используйте современные технологии. Как мы видели, TDS Polygon успешно регистрирует факты пересылки подобных вредоносных файлов.

NBJ: Главной проблемой ИБ часто называют социальную инженерию. Вы с этим согласны?

И. САЧКОВ: Не совсем так. Социальная инженерия – это лишь один из инструментов, который используют киберпреступники для кражи денег или информации. Она дает возможность манипулировать действиями другого человека, используя его слабости, эмоции или желания. Умело эксплуатируя набор таких мотиваций, как жажда наживы (получите «на халяву» подарок, бонусы, льготы), страх (ваш аккаунт заблокирован, срочно введите пароль), любопытство (посмотри свои фото по ссылке), авторитеты (просьба прислать документы «руководителю»), злоумышленники могут усыпить бдительность пользователя, войти в доверие и получить доступ к персональной информации жертвы или данным банковских карт. Методы социальной инженерии используются в киберпреступлениях самого разного масштаба: от мелкого мошенничества в мессенджерах до многомиллионных хищений из банков. Например, фишинговая рассылка фиктивных писем с вложенным вредоносным файлом является одним из распространенных способов атаки.

NBJ: Как вы оцениваете роль государственных органов в предотвращении, исследовании, расследовании киберугроз в финансовой системе?

И. САЧКОВ: Когда происходит кибератака террористов на объекты критической инфраструктуры, взлом сетей госучреждений или банков, к расследованию подключаются спецслужбы, полиция, регуляторы. В этом случае есть большая доля вероятности, что преступление будет раскрыто. Однако мы видим, что большое количество инцидентов, в том числе и в финансовой сфере, остаются вне поля зрения правоохранительных органов и государства. Почему так происходит? Во-первых, сами жертвы могут не осознавать, что подверглись атаке, или стараются не заявлять об инциденте, опасаясь огласки и репутационных рисков. Во-вторых, госорганы часто закрывают глаза на «мелкие преступления». Отсюда – лукавая статистика, официальные данные о киберпреступлениях часто бывают существенно заниженными.

Не так давно в ЦБ РФ обсуждали вопрос, начиная с какой суммы ущерба банки должны отчитываться об киберинцидентах. Я считаю, что нужно фиксировать каждый инцидент! Есть преступные группы, которые воруют со счетов по 50–100 рублей, но делают это масштабно.

За последние годы произошел важный сдвиг. Понемногу исчезает ореол романтики, который раньше окружал хакеров, за совершение киберпреступлений стали давать реальные сроки, связанные с лишением свободы, тогда как раньше злоумышленник мог получить условный срок и вернуться к атакам на банки. Моя позиция довольно жесткая: государство и общество должны относиться к киберпреступникам так же, как и к обычным уголовникам.

NBJ: Пусть не существует универсальных средств защиты и предупреждения киберугроз, и все-таки, какие из имеющихся в арсенале технологий и продуктов вы считаете наиболее актуальными и эффективными? Почему?

И. САЧКОВ: В этом году в прессе было много шума вокруг антивирусов, но наш многолетний опыт расследования компьютерных преступлений показывает, что антивирусы не спасают от целевой атаки. На многих зараженных машинах, куда проникали банковские трояны, были установлены самые популярные антивирусы. Или вот свежий пример. Хакеры из группы Cobalt нашли на GitHub Proof of Concept уязвимость CVE-2017-11882 (ей уже 17 лет!), а также python-скрипт, который позволяет создать собственный уязвимый документ «.rtf». Уже спустя несколько часов Cobalt  начала массированную рассылку фишинговых писем по банкам, содержащих во вложении вредоносный документ. Антивирусное решение пропустило письмо, и оно попало к сотруднику банка. Спустя несколько часов антивирусные решения начали определять файл как вредоносный, но злоумышленники отреагировали незамедлительно. Они тут же переделали эксплоит так, что он снова перестал детектироваться многими популярными антивирусами. Такие вот «кошки-мышки».

Заметим, что наша система TDS Polygon успешно обнаружила атаку, и сотрудник CERT Group-IB оповестил клиента об угрозе.

NBJ: Как банки могут снизить риски в сфере ИБ?

И. САЧКОВ: Стопроцентной гарантии защиты от целевых атак на банки не существует. Но снизить риски и повысить эффективность защиты банков можно и нужно. Лучше всего это позволяет сделать Threat Intelligence (кибер-разведка по подписке) – система сбора, мониторинга и анализа информации об актуальных угрозах, преступных группах, их тактике, инструментах. Услуги Intelligence-компаний востребованы зарубежными, а в последнее время и российскими банками. Подписчики сервиса киберразведки могут узнать о тактике и механике атак заранее, что позволит вовремя остановить атаку, полностью очистить сеть и закрыть атакующим доступ. В общем, быть на шаг впереди хакеров – значит сохранить свои деньги.

Согласно отчету исследовательской компании Forrester «Vendor Landscape: External Threat Intelligence, 2017», Group-IB стала одним из ведущих мировых поставщиков услуг Threat
Intelligence. Хотя методика самого исследования по внутренним правилам Forrester не позволяет публично выделять лидеров, Group-IB показала лучшие результаты по большинству из 17 способностей (навыков) поставщиков, разделенных по трем ключевым признакам: тактические
индикаторы, «сырые данные» (Raw Intelligence), Fnished Intelligence. Всего Forrester проанализировала предложения 30 поставщиков. В отчет попали как компании, которые традиционно сильны в Intelligence, например FireEye, CrowdStrike, так и новички, которые раньше в этой области замечены не были. Подавляющее количество поставщиков – из США, но в списке есть компания Digital Shadows из Великобритании и SenseCy из Израиля. Россия представлена двумя компаниями: Kaspersky Lab и Group-IB.

NBJ: Расскажите о работе вашего отдела расследования высокотехнологичных преступлений.

И. САЧКОВ: Group-IB начинала свой бизнес в 2003 году с расследований киберпреступлений и компьютерной криминалистики. С самого начала компания собирала знания о хакерах, преступных группах, их методах и инструментах. В базе Group-IB более 100 000 профайлов преступных групп и персоналий.

Вообще, если вспомнить историю,,Group-IB была одной из первых частных компаний в России, которые в то время занимались расследованиями компьютерных преступлений. Несмотря на то, что изначально монополия на расследования киберпреступлений была у государства, а именно у Бюро специальных технических мероприятий (БСТМ) МВД и Центра информационной безопасности (ЦИБ) ФСБ, мы смогли завоевать доверие госструктур безупречной работой и качественной криминалистической экспертизой. За это время мы поучаствовали более чем в 1000 расследований, 150 особо сложных и резонансных из них окончились для злоумышленников и организованных преступных групп строгим приговором. Им дали более 5–6 лет лишения свободы. В наших сервисах криминалистики и расследований мы реально противостоим ОПГ,  взаимодействуем с клиентом и правоохранительными органами.

При этом важно понимать, что мы не киберполиция. Мы не занимаемся оперативно-розыскной деятельностью, не задерживаем и не арестовываем киберпреступников. Наша задача – изучив инцидент, собрать необходимые цифровые доказательства и построить цепочку связей, рассуждений, коррелирующих признаков, которые помогут службе безопасности компании или правоохранительным органам отправить преступников за решетку.

NBJ: Что представляет собой ваша лаборатория компьютерной криминалистики и исследования вредоносного кода?

И. САЧКОВ: Лаборатория Group-IB занимается сбором и оформлением цифровых доказательств более 10 лет. Мы знаем, что и как искать на любых типах носителей, даже если данные были удалены, скрыты и зашифрованы. При выезде на место инцидента и проведения оперативно-розыскных мероприятий наши эксперты используют мобильные криминалистические комплексы («криминалистические чемоданчики»), которые позволяют изымать сведения без нарушения целостности устройства, что сохраняет носитель информации в доказательной базе, и проводить их экспресс-исследования на месте.

Кроме самой информации, для криминалиста важна хронология ее создания, доступа к ней и ее использования. Мы обладаем собственными разработками, которые позволяют посекундно восстановить цепочку действий злоумышленника и обнаружить не детектируемые антивирусами вредоносные файлы. Исследованием последних занимается специальное подразделение вирусной аналитики, задача которого – установить и зафиксировать следы, ведущие к разработчикам и операторам атаки. Мы не раз помогали подразделениям полиции по борьбе с экономическими преступлениями и подразделениям Федеральной службы по контролю за оборотом наркотиков находить преступников по цифровым следам. В 2011 году лаборатория Group-IB была названа крупнейшей криминалистической лабораторией в Восточной Европе. Она единственная в России, в которой специалисты имеют сертификаты GIAC по Digital Forensics и Malware Analysis. Результаты наших экспертиз гарантированно принимаются в качестве доказательств не только в российских, но и в иностранных судах.

NBJ: Сейчас много говорят о кадровом голоде в сфере ИБ. Ощущаете ли вы его в рамках Group-IB? Какие базовые требования к соискателям вы предъявляете?

И. САЧКОВ: В нашей компании сейчас чуть более 200 человек, количество сотрудников постоянно увеличивается. Это аналитики, криминалисты, расследователи, специалисты по защите bнформации, разработчики и программисты, продавцы и маркетологи. Средний возраст сотрудников – 26 лет. 80% сотрудников компании являются техническими специалистами, которые занимаются изучением хакерского андеграунда, проводят исследования киберинцидентов и расследования преступлений в сфере высоких технологий, а также разрабатывают и продвигают защитные технологии и продукты.

Компьютерный криминалист или киберразведчик – это штучный товар, его надо вырастить «под себя». Ни один российский вуз не выпускает готовых специалистов, способных расследовать компьютерные преступления или предотвращать целевые атаки. Мы готовим будущих звезд киберразведки и компьютерной криминалистики уже со студенческой и школьной скамьи. Мы читаем лекции, проводим олимпиады по компьютерной криминалистике, организуем стажировки. Этим летом у нас школьники участвовали в расследовании «синих китов», искали DDoS. Многие из них, получив такой опыт, хотят работать в Group-IB, и лучших мы, конечно, берем. Случайных
людей в Group-IB нет. Я слышал о случаях трудоустройства в ИБ-компании бывших хакеров, black hat, но это точно не про нас. Мы никогда не возьмем на работу бывших киберпреступников.

NBJ: Каковы ваши прогнозы на ближайшее будущее в сфере ИБ: какие тенденции возобладают,
как будут развиваться события?

И. САЧКОВ: Вся мировая преступность, а именно кражи, международный терроризм, заказные убийства, уйдет в сеть. На долю классической преступности в офлайне останется меньше 1%. Она станет быстрее, масштабнее и полностью перейдет в «цифру». Изменятся технологии атакующих. К интернету будет подключено огромное количество устройств. Это будут не только системы умного дома, как сейчас, но и целые умные города: водоснабжение, канализация, системы вывоза мусора, дроны, камеры и светофоры. Возникнет множество новых угроз, например, вирус-шифровальщик сможет зашифровать не только компьютер, квартиру или дом, но и целый город!

Я верю, что в будущем большинство атак можно будет предотвратить еще на этапе их подготовки при помощи технологий раннего предупреждения. Вообще информационная безопасность – это новая медицина! Скоро она будет волновать каждого человека, потому что вся наша жизнь пронизана информационными технологиями.

Оксана Дяченко
Поделиться:
 

Возврат к списку