Привет, планета, это программа Вести.net, и на этот раз мы записываем ее в Мексике, в Канкуне, потому что здесь только что завершился SAS — Security Analyst Summit, закрытая конференция, которую проводит "Лаборатория Касперского".
Само событие на этот раз получилось очень громким благодаря двум анонсам. Первый из них просочился в прессу еще за день до начала конференции, причем, даже не в России — в Америке, через New York Times, и ожидаемо произвел фурор: не каждый день хакеры миллиард крадут.
В данном случае фурор — не преувеличение. Информация о самом крупном в истории киберпреступлении произвела неизгладимое впечатление на традиционную и интернет-прессу. Слово Carbanak до сих пор не встречалось ни в одном из языков, а сейчас Google выдает по этому запросу 900 тысяч упоминаний. Собственно, состоит этот Carbanak из двух частей: названия давно известного трояна Carberp и имени одного из файлов зловреда – Anunak. Судя по всему, это хулиганская транслитерация с русского.
В любом случае, группировка Carbanak умудрилась ограбить более 100 банков в 30 странах мира. По информации "Лаборатории Касперского", злоумышленникам удалось украсть от 300 миллионов долларов до миллиарда, причем мишенью были именно банки, а не их клиенты.
Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов рассказывает: "В начале 2014 года к нам обратился один украинский банк с просьбой разрешить некую загадку. Приехал человек с видео и жесткими дисками. На видео было видно, что в отделении банка стоят банкоматы. В три часа ночи а комнату, где стоят банкоматы, заходит человек. Он даже не успевает подойти к банкоматау, как банкоман начинает моргать и выдавать деньги. Сначала мы думали, что это инсайдер внутри банка, но, к сожалению, когда узнали о количестве инцидентов по банкам, столо понятно что нет никаких инсайдеров. Дальше мы начали думать про вредоносные программы, которые по таймеру выдают деньги, но на жестких дисках, которые нам предоставили, не было никаких вредоносных программ".
Выяснилось, что команду давали зараженные компьютеры в самом банке. Собственно говоря, ничего сверхъестественно нового в атаке не было — использовался троян Carberp, исходный код которого выложен в Интернет. Это такой хакерский opensource: совершенствуй как хочешь, и поэтому у него множество версий. Сначала была гипотеза, что банда действует на Украине, но потом среди жертв появились и российские банки. При этом деньги всякий раз выводили иным способом — через онлайн-банкинг или систему переводов SWIFT, или просто переводами.
"Вредоносная программа может захватывать содержимое экрана, рабочего стола. Поначалу мы не обратили на это внимания. Но другое дело – как они это делают. Есть конфигурационный файл, который говорит, как часто делать скриншоты. И есть делать скриншоты раз в несколько миллисекунд, то получается прямой видеопоток с зараженного компьютера", — поясняет Голованов.
То есть, фактически, за компьютерами устанавливалось видеонаблюдение, которое позволяло досконально изучить, как и когда производятся операции со счетами. Это тактика, до сих пор применявшаяся в шпионских кибероперациях, которые называются APT (Advanced Persistent Threat, или целевая атака). Работает это так: хакеры ищут в организации-жертве уязвимого сотрудника, тематика переписки которого известна, и присылают ему не вызывающее подозрений электронное письмо, которое содержит вредоносное приложение. Оттуда вирус распространяется по внутренней сети банка.
Сергей Голованов уточнил: После того, как они заражали первую машину, то начинали прыгать с машины на машину, пытаясь добраться до компьютера системного администратора. Как только они попадали на подобные компьютеры, они начинали учиться тому, как оператор взаимодействует с базой данных, сервером, какие пароли он вводит, нужны ли специальные криптографические ключи. Потом они, используя средства удаленного доступа, повторяли те действия, которые выполнял оператор. И все это они делали незаметно".
То есть, собственно банковское программное обеспечение, а оно у всех разное, никто не взламывал: с помощью удаленного доступа хакеры просто изображали оператора.
Кроме того, киберпреступники пользовались чужими счетами как перевалочной базой. Как выяснилось в ходе расследования, некоторые банки проверяют счета своих клиентов лишь раз в 10 часов. Этого окна хватало хакерам, что бы незаметно увеличить сумму накоплений на счете, например, от одной тысячи долларов до двух. А затем они переводили эту добавленную тысячу на свои счета. Таким образом, клиент не терял своих денег и не обращался в банк с жалобами.
География мошеннической операции — от США до Китая, да и группа, судя по всему, действовала интернациональная. "Когда мы начали разбирать инфраструктуру, которую использовали злоумышленники, то пришли к пониманию, что организация является международной. У нас была четкая атрибуция по исходным кодам на Украину, у нас быо четкое понимание анализа серверов управления в России, были сервера в европе, настроенные таким образом, что атрибуция шла на европейских злоумышленников. Были деньги, переведенные в Китай".
Об арестах ничего не известно, но очевидно, что операцию преступники свернули. Неизвестна и судьба похищенных средств, а даже с учетом того, что кибербанда могла состоять из нескольких десятков человек, у беглецов сейчас есть деньги, чтобы прятаться долго. Так что детектив может оказаться с открытым финалом.
Еще раз вернемся к фантастической сумме в миллиард долларов и тому, как ее насчитали. Около 300 миллионов долларов ущерба видели в банках и финансовых организациях сами ребята из "лаборатории Касперского", еще 300 миллионов добавлено по информации правоохранительных органов. И последняя треть — это предполагаемые потери тех банков, которые так и не признали, что оказались жертвами преступления.
Второй анонс "Лаборатории Касперского" тоже, можно сказать, о великом киберпреступлением, но совсем другого рода. Тут уместнее вспомнить про теории заговора, тайные операции, плащи, кинжалы и вот это все.
"Лаборатория Касперского" обнаружила американский киберарсенал. Специалисты по кибербезопасности опубликовали отчет о деятельности самой опасной хакерской группировки в мире — Equation Group.
В руки специалистов попали более не используемые серверы, зарегистрированные еще 15-20 лет назад, и найденные там данные позволяют заключить, что хакерская группировка имеет непосредственное отношение к разведслужбе США.
Хакеры из Equation Group использовали эти серверы для управления точечными кибератаками. Фактически, была найдена целая платформа, долгосрочный проект, над которым работало не одно поколение разработчиков. Наиболее ранние файлы, найденные специалистами по кибербезопасности, относятся к 2001 году. При этом имена доменов, используемых злоумышленниками для управления вирусами, были зарегистрированы еще в 1996 году и работали вплоть до конца 2013 года.
Затем хакеров, предположительно, что-то спугнуло, и они перестали пользоваться найденными серверами, однако сигналы от зараженных компьютеров продолжали на них поступать. Злоумышленники побоялись закрывать серверы самостоятельно. Возможно, потому, что они были открыты на подставных лиц. К тому же, уже в ближайшее время серверы должны были закрыть за неуплату.
Так, за последний год "Лаборатория Касперского" выявила около 700 жертв Equation ("Уравнения") в 30 странах мира — это правительственные и военные структуры, телекомы и СМИ, а также научно-исследовательские институты. Помимо них, в Европе и США вирус атакует исламистских активистов, проникая в их компьютеры через тематические форумы.
В арсенале Equation были найдены весьма интересные программы. В их числе usb-червь Fanny — зловред, распространявшийся на флешках, преимущественно, в Пакистане. Он появился в 2008 году и уже тогда использовал две "уязвимости нулевого дня", которые были открыты лишь двумя годами позже. В 2010 году этими же уязвимостями воспользовался вирус Stuxnet, направленный против иранской ядерной программы. Создание этого вируса часто приписывают АНБ.
"Fanny появился за год до Stuxnet, использовал те же самые эксплойты (фрагменты программного кода или последовательность команд, использующие уязвимости в программном обеспечении), и никто про это не знал. Все думали, что Stuxnet — это первые, кто начал это использовать. Оказалось, что нет. Люди, которые создавали Stuxnet, уже имели доступ к базе предыдущих известных уязвимостей. И мы сейчас считаем, что не исключено, что Fanny выполнял роль разведывательного модуля, который собирал первоначальные данные, а потом уже на основе этой информации и делали Stuxnet, выпуская его по следам Fanny там, где он уже прошелся", — считает главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев.
Помимо этого, специалисты из "Лаборатории Касперского" наткнулись на модуль-установщик, автоматически перепрошивающий жесткий диск. Однажды попав на винчестер, вирус селится в нем навсегда. "Если человек стал жертвой, он может переустановить операционную систему, отформатировать диск, но это все равно не поможет, так как этот код, живущий в прошивке и стартующий на уровне железа до загрузки вообще всего, будет получать управление, активироваться и соединяться с центром управления и загружать новые модули. Так что мы так честно и откровенно говорим, что никакого другого способа избавиться от этой штуки в вашем винчестере, кроме как взять диск и разбить его молотком, выбросить и больше никогда не пользоваться, нет", — отмечает Александр Гостев.
По данным "Лаборатории Касперского", наибольшую активность группа проявляла в последние пять лет — с 2009 по 2014 годы. Однако с тех пор специалисты не обнаружили ни одного нового вируса, хотя до этого они создавались сотнями. "Я не думаю, что они прекратили свою работу. Думаю, что они к этому моменту нашли что-то новое, что-то более радикальное, революционное. Может быть, они целиком ушли в область заражения железа — подмены firmware или работы в режиме гипервизора", — предполагает Гостев.
В обнаруженных файлах специалисты также нашли текстовые строчки с названиями проектов. Среди них — названия кейлоггеров Strateshutter, UR и GROK. Эти же вирусы фигурируют в материалах Эдварда Сноудена, и их описание полностью соответствует найденным "Лабораторией Касперского" модулям. По этой причине пресса сразу же связала Equation с АНБ.
"На некоторых слайдах из NSA [АНБ] в каталоге тех инструментов, что они используют, есть названия этих же модулей, их функционал полностью им соответствует. Вот из этого и делается вывод, что, вероятнее всего, это выглядит, как... Если утка ходит как утка, крякает как утка — она утка. Но у нас таких данных нет, мы не можем сказать достоверно, что это творение этой страны или этой спецслужбы. Мы говорим, что у нас есть такие файлы, в которых есть такие строчки. Но прямых доказательств у нас, конечно же, нет", — подчеркивает Александр Гостев.
Тут интересно вот еще что: ни "Лаборатория Касперского", ни другие компании, занимающиеся безопасностью, не могут находить, детектировать этот самый вирус на винчестере. А поскольку перепрошивать Equation, судя по всему, может диски почти всех производителей, то средств борьбы с ним никаких нет. Разве что и правда: в любой непонятной ситуации бейте по своему винчестеру молотком.
Есть еще один небезынтересный аспект во всей этой кибершумихе: основные игроки на рынке безопасности — частные компании, и до сих пор нет никакого четкого протокола взаимодействия правоохранительных органов и спецслужб с коммерческими корпорациями.
Понятно, что у бизнеса больше денег, а значит, он может нанять и платить хорошие зарплаты большому количеству специалистов высоко уровня. Но почему бизнес должен выполнять работу силовых ведомств? Непонятно...
Директор INTERPOL Global Complex for Innovation Нобору Накатани сообщил: "Когда ИНТЕРПОЛ создал киберподразделение, мы обратились к пяти ведущим компаниям по компьютерной безопасности – Symantec, Intel, McAfee, "Лаборатории Касперского". Пятый – F-Secure. Мы просили поддержки. Положительно ответили только две компании — Terend Micro и "Касперский". Партнерам не позволено использовать наше название – ИНТЕРПОЛ – в рекламе. Так что я думаю, что у этих компаний взгляды такие же, как у нас: в киберпространстве нужно наводить порядок".
Кстати, для съемок вечерних посиделок на SAS использовали дрон с камерой – обычный, коммерческий, очень красиво светившийся в темноте. И участники саммита с восторгом смотрели, как этот дрон раз в 15 минут рушится на землю. Смешно было, в первую очередь, потому, что никого ни разу не задело. Но дронов-то каждый день все больше.
Для квадрокоптеров разрабатывают правила пользования. Американские регуляторы хотят ограничить коммерческие полеты небольших беспилотных летательных аппаратов, и это, похоже, первая попытка вывести эту отрасль из "серой" законодательной зоны.
Согласно правилам, по данным газеты The Wall Street Journal, дроны должны будут летать на высоте ниже 150 метров, в дневное время, не превышать скорость 160 километров в час и всегда находиться в поле зрения оператора. В свою очередь, владельцы квадрокоптеров должны будут получать специальное разрешение от Агентства гражданской авиации на управление беспилотником. Для получения этого сертификата нужно будет сдать письменный экзамен.
Летом 2014 года крупнейший американский интернет-ритейлер Amazon попросил власти США разрешить тестирование доставки покупок летающими роботами. Компания Google и сеть пиццерий Domino’s также заявили о своем желании использовать дроны. Однако все эксперименты были отложены до появления соответствующего законодательства.
Плохая новость для этих компаний в том, что опубликованный проект правил вообще не предполагает использование беспилотников для доставки посылок. А вот в Германии компании DHL повезло больше: она стала первой компанией, начавшей, хоть и в испытательном режиме, доставку грузов при помощи дронов.
В прошлом сентябре DHL доставляла товары первой необходимости и медикаменты жителям острова Йюст, входящего в состав Фризских островов. Испытания были полностью согласованы с немецкими регулирующими органами. Вес посылки варьировался в пределах трех килограмм. DHL использовал квадрокоптеры компании Microdrones, которые могут пролетать 65 километров на одном заряде батареи (а расстояние до острова всего 12 километров). Полеты осуществлялись ежедневно, но только в строго установленные часы. Эти меры были необходимы, чтобы не создавать помех другим летательным аппаратам, а так же навигации парома — единственного способа добраться с острова до материковой Германии. При этом по результатам испытаний так и не появилось никаких отлаженных маршрутов для дронов или чего-то подобного — опять-таки из-за отсутствия законодательной базы.
Поэтому сам факт появления этих правил — большой шаг в направлении легализации дронов. Если список будет принят, значит, квадро-, гекса-, окто- и так далее-коптеры будут вписаны в ряд других летательных аппаратов. И это, в свою очередь, поможет создать условия для развития этого рынка, хотя и усложнит жизнь простым фанатам дронов, для которых квадрокоптеры — новые авиамодели. По оценке Международной ассоциации беспилотных транспортных средств, оборот американского рынка дронов в ближайшие годы достигнет 80 миллиардов долларов в год.
Особенно тяжело — и мы об этом уже рассказывали — придется всяким спецслужбам. Не отстреливать же эти вертолетики по периметру охраняемых объектов! А идеи про встроенные ограничения типа "запрет пересечения границы с Мексикой" смехотворны. Если наркокартели сделают ставку на беспилотники, то уж хакеров они найдут, чтоб ограничения обойти.
Это не все, что я снял в Мексике, но программа не резиновая, поэтому переходим к просмотру "Фишки недели".
На этом итоговая передача Вести.net прощается с вами до следующих выходных. Не забываем про наши короткие ежедневные выпуски и радиопрограмму "Интернет-кафе "Собака" которая выходит по воскресеньям на волнах Вести-ФМ в 17:00. Планета — пока.
