Про це та багато іншого розмовляємо з «СVO компанії ROMAD», екс. начальником Державного центру кіберзахисту і протидії кіберзагрозам Держспецзв'язку Ігорем Козаченко.
- Глава кіберполіції в недавньому інтерв'ю згадав, що атака вірусом PetyaA була б неможлива без участі спецслужб - найімовірніше, російських ...
- При кібератаці, добре підготовлені спецслужби, зазвичай використовують методи мімікрії. Тому, тільки технічними методами, складно визначити країну атаки. Я також вважаю, що кібератаки можна прирівняти до терактів і відповідно, визначати країну атаки тими ж методами. Один з них - це визначення кому це вигідно, і хто потенційно може за цим стояти. І за цим фактором я однозначно згоден з главою кіберполіції.
Існує також хибна думка, що коли відбувається атака, то відразу видно, хто атакує, немов там прапор вивішений. Насправді не можна відразу визначити, хто за цим стоїть - необхідний дуже глибокий аналіз. Відповідаючи на одній з конференцій з інформаційної безпеки на аналогічне питання, я приводив скріншоти, де першою з атакуючих країн була вказана Україна. 70% атак відбуваються зсередини країни, так як це зробити простіше і ефективніше. Найчастіше користувачі, особливо користувачі домашніх мереж, нехтують найелементарнішій захистом свого комп'ютера. Звідси і зараження десятків тисяч комп'ютерів ботами з можливістю надалі проводити атаки на інформаційні ресурси країни. Це і є аутсайдер, і це найголовніше - підготовленість наших співвітчизників. От скажіть, у вас вдома стоїть на комп'ютері антивірус?
- Так.
- Значить, у Вас хоч якийсь захист є. А багато на таке питання відповідають, що антивіруса у них немає. А значить, комп'ютер, а в подальшому домашня мережа схильна до зараження. На основі таких комп'ютерів і створюється бот-мережу, керуючий сервер отримує доступ до цієї мережі і здійснює, як приклад, DDoS-атаку тобто атаку на відмову в обслуговуванні, або атаку на інформаційні системи країни. Тому, щоб знайти того, хто стоїть за цією атакою, потрібно знайти керуючий сервер і комп'ютер, який ним керує. Ось цей комп'ютер і буде належати виконавцю атаки, а через нього можливий вихід і на замовника.
- Чи мав місце в підтвердженні з атакою PetyaA?
- 90% ймовірності, що так. Чому? Тому що, метою атаки була не зашифрувати дані і отримати за це викуп, а повне знищення даних на комп'ютерах, які зазнали кібератаки. Також, показовим є те що, сама атака сталася напередодні святкування Дня Конституції України.
По-перше, вірус-вимагач зашифрував дані, але ніхто не звернувся з пропозицією «дайте нам грошей, і ми надамо вам унікальний ключ для розшифровки». Тобто це була заздалегідь спланована акція, метою якої було дискредитувати інформаційні системи і їх захист. По-друге, абсурд полягає ще в тому, що після шифрування даних на комп'ютері жертви, другим етапом відбувається знищення всієї інформації на даному комп'ютері! Результат і наслідки ми бачили.
- Вірус атакував не всі вразливі комп'ютери, а тільки вибрані коди ЄДРПОУ. Як ви вважаєте, якою була головна мета зловмисників і чому була обрана для атаки саме програма Медок?
- Справа не в тому, яка точка входу була обрана. Це могла бути будь-яка структура, будь-який провайдер з великою базою даних клієнтів, реєстри Мін'юсту, які мають доступ до багатьох інформаційних ресурсів. До речі, до цього мали місце атаки, в тому числі на реєстр Мін'юсту і при цій атаці, в першу чергу постраждали нотаріуси.
Друга атака - весна 2017 року, атака шифрувальником XData - пройшла практично непомітно, але вона і була тільки пробою пера. Будь-яка система, що має доступ до будь-яких інформаційних ресурсів користувачів, цікава для атакуючого і чим цей доступ глобальніший, то більший інтерес.
У зв'язку з цим і був обраний об'єктом атаки Медок - це очевидно, тут зіграло багато факторів. Перший - велика мережа користувачів як державних, так і комерційних;
другий - те, що це було 27-28 число, кінець місяця, здача звітності через софт MeDoc;
третій - користувачі звертаються в цей момент за оновленнями, а значить можливість (з великою ймовірністю) провести повномасштабну атаку;
четвертий - це вибірковість, а саме за допомогою сценарію (коди ЄДРПОУ) були атаковані ті інформаційні ресурси, які були важливими для атакуючого.
Аналізуючи повний сценарій даної атаки - це, швидше за все, була обкатка рішення по, не побоюся цього слова, кіберзброї. При цій розвідці боєм потрібно отримати відповіді на три головних питання: перше - це швидкість зараження, друге - швидкість проникнення і третє, і найголовніше, - це швидкість реакції, яким чином користувачі і особливо адміністратори безпеки відреагують на блокування даної уразливості. І всі ми знаємо, що відповідальність за цей інцидент так ніхто на себе і не взяв - це підтверджує, що це було цілеспрямоване замовлення, з високою ймовірністю спецслужб.
- Але це не перша атака в українських реаліях?
- Одна з. У 2014 році була атакована ЦВК (Центральна виборча комісія - прим. Ред.). До цього жертвами стали енергосистеми України, наприклад, Закарпатське обленерго. Чому Закарпаття? Тому що замовнику було важливо відпрацювати атаку на енергетичний сектор саме цього регіону. До цього була атака на фінансові структури: на Мінфін і на Казначейство, тому що потрібно було апробувати інструменти атак на фінансовий сектор України. До цього були атаки на публічні державні ресурси - Адміністрації президента, Кабміну, МЗС, МО, СБУ, МВС, Держспецзв'язку, вони тривають і зараз. Також, поза увагою, не залишаються атаки на ЗМІ України, так як вони цікаві з точки зору пропаганди і можливості в подальшому бути полігоном для донесення «потрібної» інформації до громадськості. Всі ці атаки були точковими і переслідували чітко сплановані цілі, які - можете зробити висновки самі, особливо якщо це все зібрати в загальну стратегію.
- Зараз Медок більш захищений?
- Думаю так!
Вони забезпечили собі сильний захист. Одним з елементів захисту є ROMAD EDR - надане нашою компанією унікальне рішення для захисту кінцевих користувачів, яке дозволяє захистити АРМ (автоматизоване робоче місце) від шкідливого програмного забезпечення завдяки новітньому рівню кіберзахисту. Це рішення, в тому числі, дає реальний захист від так званих загроз «нульового дня». Це програмне забезпечення вже розгорнуто і в повній мірі захищає робочі ПК і сервера мережі компанії.
А найголовніше - досвід! Вони пройшли бойове хрещення, а значить стали сильніше!
І в цій ситуації дуже хотілося б розставити правильні акценти.
Медок - постраждала сторона.
Винен, невинен чи наскільки винен Медок в тому, що його мережі зламали, - це вторинні питання. Компанія зробить дуже якісний розбір ситуації, і докладе зусиль для захисту себе від майбутніх атак.
Дійсно важливо те, що Медок є дуже яскравим і резонансним прикладом для всіх компаній.
Висновок очевидний - набагато дешевше заздалегідь провести аналіз рівня захищеності своїх інформаційних ресурсів, вибрати і впровадити у себе ефективні засоби захисту, ніж виправляти наслідки успішної атаки.
- Повертаючись до атаки. Якщо порівнювати з тим, що Ви бачили за останні три роки, була атака PetyaA найпотужнішою?
Якщо комплексно проаналізувати всі деталі і нюанси кіберзахисту інформаційних систем держави, починаючи з періоду виборів з 2004 року, подібні атаки модифікувалися й ускладнювалися. Коли в 2004 році відбулася перша DDoS-атака на інформаційні ресурси ЦВК, рівень атаки займав 2 Мбита. Тоді ми думали, що це колапс. Ми захищали інформаційні ресурси держави спеціальним обладнанням, воно тоді було новітнє і дуже дороге, і ми думали, що це все, гірше не буде. Так, останні атаки, що стосується DDoS-атак, вже піднялася до рівня 14-28 Гб на канал, і це вже було відчутно для багатьох провайдерів, в деяких випадках доходили в Україні до 80 Гб на канал. Що стосується вірусних атак, вони стали більш вишуканими. Чому? Тому що автори вірусів почали застосовувати декілька технологій в одному пакеті. Найчастіше атака має симбіоз DDoS-атаки, як відволікаючий маневр; вірусної атаки, як отримання наміченого результату сценарію (отримання паролів, шифрування даних, видалення даних, стеження, отримання даних і т.д.); отримання управління і доступу до інформаційного ресурсу.
- Вірус PetyaA досяг тих результатів, яких хотів досягти?
- Де факто можна з упевненістю сказати, що результат отриманий, атакуючі досягли мети: вони зібрали статистичну інформацію, а якщо врахувати, що після 27 числа відбувався саміт G-20 і це одна з можливостей продемонструвати подібний сценарій. Тобто в один прекрасний момент за дві години може бути повністю паралізовані всі світові інститути влади, управління, енергетики, транспорту, медицини. Чи не працює інформаційна система, жоден реєстр, ні фінансова, ні енергетична система. Все паралізовано, аж до телефону; немає світла, немає гарячої води, немає зв'язку. Протягом лічених годин - колапс. І при цьому виходить на сцену один поважний чоловік і каже: «У мене є ключ, який допоможе розшифрувати вашу систему, але ви повинні виконати певні зобов'язання. І до цього всього ще є таймер, на якому йде зворотний відлік можливості знищення всіх даних інформаційної інфраструктури».
Але давайте бачити і позитивні сторони даної атаки - керівники великих компаній і уряд України стали дивитися пильніше в сторону кібербезпеки, так як наслідки подібних атак змушують їх рухатися в правильному напрямку. Це підтверджується останніми нормативно правовими актами в області кібербезпеки, а також рішучими діями з боку уряду і керівників великих компаній. Відповідно, виділяти фінансові ресурси для того, щоб забезпечити інформаційну безпеку - це вже великий прорив в тому, щоб будувати єдиний інформаційний захист країни і кібербезпеку в цілому. І благо тому, що на помилках вчяться. Дай Бог, щоб це була остання помилка, і щоб ми дійсно йшли на крок попереду від можливих загроз.
- Трошки все-таки по Медку. Скажіть, чи є вина Медка в тому, що його змогли атакувати? Дуже багато вийшло інформації про те, що Медок винен у всьому, захист ледь не відкритий двір, ламай, хто хоче, заходь хто хоче.
- Основні постулати ІБ, і, зокрема, кіберзахисту, говорять про те, що:
(А) захист це постійний процес і
(Б) немає систем, які неможливо зламати. Всі зусилля по кіберзахисту зводяться до того щоб максимально підвищити вартість успішного злому і в межі зробити її вище, ніж «прибуток» від отриманого ефекту в разі вдалої атаки.
Якщо припустити що атакували спецслужби, то у Медка, як і будь-який інший компанії, яка може потрапити в поле зору подібного «замовника», не було шансів
Тобто, Медок - це один з багатьох сценаріїв проведення атаки на інформаційні ресурси держави і комерційний сектор. На його місці може або могло виявитися будь-яке велике державне або приватне підприємство, яке послужило б так званої точкою входу.
Я не розумію, чому всі так ополчилися проти Медка. Давайте повернемося на секунду до «Петі». Експлойти, які використовувалися в «Петі», були викрадені у одного з найбільш захищених агентств у світі - АНБ США (NSA). У крадіжці обґрунтовано звинувачують хакерську групу Shadow brokers. За результатами розслідувань багатьох антивірусних компаній за цією групою стоїть Російська спецслужба.
Так, про яку вину ми можемо говорити? Рівень фахівців, які стояли за атакою NonPetya, дозволяв зламати практично будь-яке підприємство, компанію, організацію.
Тому ми всім нашим клієнтам постійно говоримо, що існуючі на сьогодні класичні антивірусні рішення і особливості їх архітектури не дозволяють протидіяти такого роду атакам. Пояснюємо, що необхідні засоби захисту так званого наступного покоління - next generation.
- Медок міг щось зробити, щоб цього не сталося?
- Рівень атаки був настільки високий, що практично ніхто б не встояв, - це моя думка. Сьогодні Медок, завтра Казначейство, післязавтра Нацбанк, далі найбільші провайдери України. Механізм міг і може бути різним. Якби це було на кілька років раніше, жертвою міг би стати Укртелеком. Чому? Тому що Укртелеком, на той момент, був монополістом інформаційного простору в Україні, і заражати інформаційну структуру країни було б логічно. Але зараз Медок виявився набагато зручнішим для атакуючих, так як має велику клієнтську базу. І як, я вже говорив, ця атака була відпрацюванням одного з потенційно можливих сценаріїв. Завтра це може бути комплексна точка входу. Наприклад, база реєстрів, друга - найбільший провайдер, і третя - інформаційна система подачі звітності.
- Тобто можуть зайти через податкову і атакувати так само, як і через Медок?
- Це просто один із прикладів, як можна випробувати ефективність свого кіберзброї ... Те, що це прототип - немає сумніву й те що спектр дії насправді може бути більш широкий не викликає сумніву!
- Тобто це була проба?
- Так, і демонстрація сили. Додати туди пару сегментів, про які я говорив раніше, це атаки в 2014-2016 роках, на наші інформаційні ресурси - то захопили б під контроль все. Що за цим би було? - «ліг» би енергоринок, «лягла» б фінансова система, «лягла» б інформаційна структура, «лягла» б вся українська інформаційна інфраструктура. Висновки про наслідки робіть самі.
- Які з цього всього можна зробити висновки?
- Багато хто думає, що кібервійна - це щось далеке і ефемерне, я ж, можу однозначно заявити, що кібервійна вже йде в Україні. Кожну секунду. І, відповідно, є люди, які дійсно воюють за клавіатурою. Ми одні з них і намагаємося наш щит вчасно підставити під шкідливий меч.
Україна, в цілому, стала логістично набагато краще підготовлена до такого роду атак. Однак технологічно ми все побачили результати традиційних засобів захисту, включаючи і антивірусні та інші рішення для захисту кінцевих точок.
На заході вже прийшло масове розуміння, що ми живемо в «Пост антивірусних світі», і тут необхідно будувати захист проактивно, на абсолютно нових принципах.
Нам належить ще зрозуміти, усвідомити і прийняти цю нову парадигму кібербезпеки.
На жаль, в більшості випадків, у Кінцевого Користувача засобів кіберзахисту, це розуміння приходить лише в результаті подібних інцидентів і успішних атак.
ROMAD, як виробник засобів кіберзахисту створив інноваційне рішення, яке показало свою ефективність під час атаки вірусом Petya.
Тепер вибір за Користувачем.