Киберцентр НАТО и украинские эксперты — о хакерских атаках-2020 (ВИДЕО)

Кибербезопасность — один из ключевых аспектов глобального спокойствия. И всё чаще эту грань мирового порядка проверяют на уязвимость. Так, в 2020 году было зафиксировано множество дерзких хакерских атак, которые несли глобальную угрозу. По данным комитета по защите информации, случаи кибератак недавно резко увеличились и в Украине, в частности хакеры активно действовали в период новогодних праздников.

Подробно эту тему в программе "Код безопасности" на телеканале "Дом" обсудила ведущая Татьяна Попова с гостями эфира: сотрудником Центра передового опыта в области киберзащиты НАТО Яном Вюнше и экспертом по кибербезопасности Константином Корсуном.

— Кибербезопасность всё больше становится ключевым, а зачастую и решающим для глобального спокойствия фактором. Потому всё чаще именно эту грань мирового порядка проверяют на уязвимость. О самых дерзких хакерских атаках ушедшего года говорим сегодня в программе Код безопасности. У нас в гостях эксперт по кибербезопасности Константин Корсун, по скайпу из Эстонии — сотрудник Центра передового опыта в области киберзащиты НАТО Ян Вюнше. Наверное, самый известный взлом прошлого года — это взлом производителя программного обеспечения Солар Винд и ФайрАй. Киберпиратам удалось разослать от имени поставщика вредоносные обновления, с помощью которых они взломали данные по меньшей мере 18 тыс. клиентов. Это и госучреждения, например, Министерство Финансов Соединенных Штатов, и крупные частные корпорации. Четыре спецслужбы США провели совместное расследование и обнаружили российский след в этой атаке. А как вы считаете, какая хакерская группировка может за этим стоять? 

ВЮНШЕ: — Даже на первый взгляд совершенно очевидно, что операция "Солнечный Ветер", или Solar Wind, имеет все признаки тщательно разработанной кибератаки, за которой стоит целое государство, или, по крайней мере, государственные учреждения. Вычислять подобные проникновения, — мы уже применяли их во время так называемых логистических атак. В том случае хакеры получали доступ к сертификатам подписи с кодом для обновления систем, и таким образом обеспечивали взлом систем безопасности целых отраслей промышленности. Многие придерживаются мнения, что это была спецоперация, проведенная Россией. Сейчас у нас имеется доступ к прямым доказательствам, и нет причин сомневаться в их подлинности. Но всё же стоит помнить, что совместное заявление американских агентств не является официальным документом, — они лишь указывают в нём, что "наиболее вероятно", что все эти атаки были частью спецоперации российского происхождения, срежиссированной российскими государственными организациями. В этом же совместном заявлении указано, что очень важную роль в раскрытии таких операций играет вклад общественности и отдельных людей — такой подход не просто помогает добывать важные доказательства атак и другие свидетельства, но и способствует установлению нормального, здорового, ответственного использования интернета в международном масштабе. Такие атаки должны иметь серьёзные последствия для их режиссёров и исполнителей, — это необходимое условие для того, чтобы мы были готовы успешно отражать подобные угрозы в будущем.

 — А вот этот взлом, что Вы о нем думаете? Действительно правы эти 4 американские агентства в том, что это были россияне?

КОРСУН: — Следует сразу обратить внимание на то, что это 4 наиболее авторитетных американских агентства в мире кибербезопасности. У меня нет практически никаких сомнений. Просто не хватает то, о чем говорил коллега — официальных доказательств. А официальные доказательства (привязка конкретного ip-адреса к конкретному человеку) можно получить только через местного провайдера, с которого он выходил в интернет и он, скорее всего, был на территории Российской Федерации. А поскольку Российская Федерация ни с кем по этим вопросам сейчас не сотрудничает кроме своих политических союзников, то соответственно получить вот эту окончательную точку, совершенно окончательную, официально для суда приемлемое доказательство не предоставляется просто физически возможным. 

Но есть много косвенных и около почти прямых доказательств. Иначе бы вот эти американские агентства, они бы не выходили со столь серьезным заявлением. Они сказали, что это был россиянин, это была разведывательная операция и это была Advanced Persistent Threat, то есть тип атаки, который вообще физически доступен к осуществлению только мощнейшим киберхакерским группам либо разведкам и правительствам. 

 — Масштабным взломом доступа к личным данным знаменитостей оскандалился прошлым летом Твиттер. Разместив от имени 36-ти знаменитостей, включая Барака Обаму, Джо Байдена, Илона Маска мошенническое предложение, хакеры сорвали куш в размере нескольких сотен тысяч долларов США. Как вы считаете, чем завершится разбирательство в этом инциденте для Твиттера?

 КОРСУН: — Насколько я понимаю, разбирательство еще не завершено, хотя, скорее всего, внутреннее расследование давно проведено, и выводы сделаны руководством компании. Это частная компания, в общем-то, и она несет полную ответственность за действие или бездействие своих сотрудников. Вопрос в том, как оценивается ущерб со стороны пострадавших. Если пострадавшие подадут иски на компанию, не просто на возмещение денег, что компания была виновата или не приняла меры относительно недопущения подобных ситуаций, и если будет расследование и суд решит, что компания виновата, хотя она что-то должна была сделать, она что-то не сделала. Я думаю, что компания Твиттер приняла множество различных мер для того, чтобы ничего подобного не случилось, но человеческий фактор, ошибка, все может быть. И вот это предмет, наверное, разбирательства сейчас.

ВЮНШЕ: — Что же, для Твиттера это было нелёгкое время: в деятельности этой платформы образовалась серьёзная брешь. Данная атака также сильно повлияла на другие бизнесы, полагающиеся на Твиттер как средство коммуникации. Однако в конце концов им удалось справиться с проблемой довольно успешно. Источником проблемы стала фишинг-атака, направленная на взлом служб клиентской и технической поддержки сервиса, мишенью которой стали сотрудники компании, имевшие высший уровень доступа к платформе. Взлом системы безопасности на этом уровне позволил злоумышленникам получить доступ к аккаунтам знаменитостей и разместить сообщения от их имени. После этой беспрецедентной атаки Твиттер был вынужден полностью изменить алгоритм идентификации сотрудников платформы — людям пришлось заново доказывать, что они на самом деле являются теми, кем являются. Компания ввела механизм двухфакторной идентификации с помощью токена — физического ключа авторизации – для получения доступа к системе управления. Такие же ключи авторизации получили и сотрудники остальных служб компании.

Действительно, именно служба техподдержки часто оказывается самым уязвимым местом. Поэтому я надеюсь, что как Твиттер, так и другие компании, оказывающие услуги в области социальных сетей, станут уделять больше внимания вопросам безопасности своих технических служб и своевременному выявлению уязвимостей, чтобы такие ситуации больше не повторялись.

 — Константин, является ли система двухфакторной идентификации наиболее оптимальной для защиты в такой ситуации?

КОРСУН: — Конечно, нет. Зависит, во-первых, от того, какой второй фактор, если это смс – это ненадёжно; если это viber или еще что-то – это более надежно и так далее. Соответственно, надежнее всего - это google notification, а еще надежнее — это трехфакторная. А некоторые маньяки еще и четырехфакторную для максимально критичных систем ставят. Если речь идет о криптовалютах, криптобиржах и криптокошельках, разумеется, это прямые, живые деньги. И они анонимные. То есть если взломал чужой кошелек, особенно криптовалют, они очень анонимные. Но анонимность играет против хозяина кошелька, потому что, если у тебя угнали кошелек, ты уже нигде никому никогда ни при каких обстоятельствах не сможешь вернуть деньги. Потому что так работает криптопротокол, они в одну сторону. Все, что ушло, никогда назад не сможет вернуться, только если получатель согласиться их тебе назад вернуть. Поэтому криптобиржи взламывают часто.

— Хакеры Фанси Бер, связанные с правительством России и военной разведкой, вместе с северокорейскими хакерами атаковали 7 организаций, занимавшихся разработкой вакцины от COVID-19. Истоки взлома подтвердило Европейское агентство лекарственных средств. Чем чреваты такие атаки?  Это коммерческий кибершпионаж или за этим стоит что-то другое?

ВЮНШЕ: — Смотрите: атаки, подобные тем, что вы привели в пример, несут сразу несколько рисков. Это и коммерческие риски для исследователей, которые могут потерять свою интеллектуальную собственность, и опасность того, что работы по разработке вакцины могут быть прерваны или отложены. Также существует риск того, что на рынок могут попасть контрабандные продукты сомнительного качества, изготовленные на основе украденных технологий. Например, целью таких операций может быть подрыв работы исследовательских лабораторий или компрометация результатов их разработок и нанесение им морального ущерба. По моему мнению, это просто ужасно, когда кризис планетного масштаба, как пандемия ковида, используется в таких грязных и корыстных целях, потенциально ставя под удар здоровье миллионов людей.

— А Вы как думаете, что это было?

КОРСУН: — Первым делом смотрим - кому выгодно. Выгодно, наверное, странам, которые не разработали вакцину, потому что это долго, дорого и не у всех стран есть такие возможности. Украсть формулу, украсть интеллектуальную собственность, украсть данные и на их основе попытаться собрать свою вакцину, уже используя, так сказать, труд и исследования других людей. Вот это, собственно, метод, который и Советский Союз, и его наследница, правонаступница Россия, Российская Федерация активно использует вот уже, наверно, почти 100 лет.

— Вы считаете, что это коммерческий шпионаж, условно говоря? Или это все-таки government шпионаж для целей правительства России потом влиять, продавать вакцины другим странам?

КОРСУН: — Это, разумеется, и идеология, и коммерция. То есть, идеологически это важно — создать якобы свою, якобы собственную вакцину, как в свое время Советский Союз украл секрет ядерной бомбы, автомата Калашникова и выдал за свое изобретение. Это методика Советского Союза, которая перешла по наследству Российской Федерации. Они ее активно используют, потому что это очень выгодно. То есть, ты не тратишь миллиарды долларов на разработку и берешь просто результаты. Кому вершки, а кому корешки. Вот они сразу пытаются взять вершки почти всегда.

— Производитель "умных" часов, носимых устройств и гаджетов для GPS-навигации Garmin из-за атаки вымогателей был вынужден в июле прошлого года приостановить работу своих сервисов на несколько дней. В причастности к сбою подозревают группировку, связанную с российскими хакерами. Константин, вы обратили мое внимание на кейс с Garmin. Насколько на самом деле хак мог быть связан с российскими хакерами и с Максимом Якубцем конкретно?

КОРСУН: — Об этом хаке известно относительно немного. Просто, что он затронул огромное количество пользователей. Но зачем, для чего это сделано? Если здесь причастны российские проправительственные хакеры. Для них эта информация чрезвычайно важна, прежде всего тем, что подобные сервисы GPS-навигация, они собирают огромное количество данных и метаданных о всех сотнях, тысячах своих пользователей и эти данные всегда интересовали, интересуют и будут интересовать разведки прежде всего, которые работают в интересах своих правительств. То есть собрать опять же чужие «вершки» людей, которые годами, десятилетиями собирали данные о своих пользователях (где они находятся, какого пола они, чем занимаются, где ходят, где бегают). А в числе этих пользователей не только простые инженеры, там есть и лидеры стран, и люди, принимающие решения, и бизнесмены топ- уровня, которые пользуются всеми этими гаджетами и можно определить, где они находятся, где их действия.

— Вы думаете, что это может быть вполне даже правительственное задание?

КОРСУН: — Вполне. Если смотреть с точки зрения кому выгодно, то это разведки, безусловно, в первую очередь.

 — Ян, что-то Вам об этом известно? Вы можете прокомментировать?

ВЮНШЕ: — Что же, у меня и самого есть часы Гармин, поэтому мне было интересно наблюдать, как компания восстанавливалась после атаки и возобновляла свои сервисы один за другим, но подробного анализа ситуации мы не проводили. Я не могу утверждать, стояла ли за этим Evil Corp или какая-либо другая организация. Зато нам точно известно, что в 2019 году Министерство финансов США ввело санкции как против самой Evil Corp, так и против её основателя Максима Якубца, и эти санкции до сих пор в силе. Причиной тому послужил доказанный факт, что Максим Якубец принимал активное участие в кибератаках, организованных российским правительством. К сожалению, это всё, что мне известно об этом инциденте и причастных к нему людях.

 — Спасибо большое Яну. Напомню, что с нами по скайпу из Эстонии включался  сотрудник Центра передового опыта в области киберзащиты НАТО Ян Вюнше. Скажите, а какие самые известные хаки прошлого года в Украине произошли?

 КОРСУН: — Я бы назвал взлом сайтов Национальной полиции 6 областей и Ривненской АЭС. Это все было срежиссировано и очень грамотно проведено, потому что их не просто взломали. Взломали их давно на самом деле, и владельцы этих сайтов даже не подозревали об этом. Это стандартная практика всех хакеров они как бы в полуавтоматическом или в автоматическом режиме взламывают слабые или незащищенные сайты. И потом уже смотрят что это за компания: «а кого это мы тут взломали что можно с этого поиметь?». Но в этом случае это была как бы вполне целевая атака, таргетированная, так называемая.

— А с какой целью это было сделано?

КОРСУН: — Цель была очень четкая, ясная и понятная. Как раз в эти дни проводились учения Rapid Trident 2020. То есть совместно с американцами, с британцами, с поляками, с нашими партнерами по НАТО проводились как раз в этом районе в Ривненской области (не помню в каком полигоне) совместные учения. И значит, сайты взломали и на разных сайтах в разных областях написали, подменили содержимое оригинальное. То есть, российские хакеры подменили на украинском языке все. Правда с ошибками, на чем и спалились, кстати. А на сайте Ривненской АЭС написали: «Внимание, жители города в котором расположена станция, произошла небольшая утечка. Но ничего, вы не паникуйте, все под контролем». Зная, что люди увидят и запаникуют.

— Не только Нацполиция, но еще и местные органы власти были взломаны.

 КОРСУН:  — Да. Взломали местную районную администрацию и на ее сайте написали то же самое: новость про атомную станцию, что какая-то небольшая авария, вы не волнуйтесь, если что — всех эвакуируем и так далее. Но написали, в оригинале звучало "Варишська міська рада", а наши северо-западные друзья написали: "Варишская міська дума".

 — Как "поребрик". Каждый раз они спотыкаются о "поребрик".