Можу тільки здогадуватися про рівень напруги, який панував під час брейнштормінгів представників правоохоронних та профільних структур на стратегічних об’єктах під час кібератаки 27 червня.
Видимі наслідки атаки було усунуто швидко. У вівторок ввечері вже відкривалися сайти КМУ, в середу сайт Нафтогазу. В четвер працювали сайти обленерго. Під час кібератаки ми чи не вперше побачили відкритість та мобілізацію владних структур, які цього разу не витрачали час для збереження відомої на весь світ військової таємниці про нашу проблему. Два міністри, голова НБУ, радник голови МВС, заступник голови АП – всі визнали кібератаку, СБУ, Кіберполіція видавали рекомендації. Держспецзв’язок, окрім «людської» допомоги, теж видав рекомендації, а також закликав власників об’єктів критичної інфраструктури не приховувати дані. Кіберлабораторії надавали шаблон для створення плану стримування й відновлення після кібератаки, продукти, які блокують шифрувальника, інструменти захисту.
Акаунт одного з найпомітніших в Україні фахівців з кібербезпеки Влада Стирана слугував своєрідним майданчиком, де публічно шукали ключі для розв’язання проблем фахівці з інформбезпеки. Ланцюжки букв та цифр отримували десятки поширень, і мали бути «пеніциліном» для уражених інформаційних систем різних підприємств. Це також була мобілізація, але вже професійної спільноти.
– Ми вже можемо говорити про обсяги завданої цим вірусом шкоди, DDoS-атакою?
– Тотальні, найбільші на моїй пам’яті в цій індустрії за останні 12 років.
– Воно вимірюється грошима чи наслідками, чи чимось іще? Можна це якось виміряти?
– Це не можливо виміряти, тому що в нашій країні немає механізму повідомлення про інциденти та їхні наслідки. Але можна казати про те, що деякі бізнес-структури вже не повернуться на ринок.
Є певний період часу, за який, якщо ви повертаєтеся на ринок, ви можете зберегти userbase (база користувачів), тобто людей, які користуються вашими послугами або товарами. І ось цей час у деяких випадках буде вичерпаний, тому що сьогодні ми бачимо, що деякі компанії не реалізують ті рекомендації, які даються. Відновлюються з резервних копій і по другому колу переживають ті самі пригоди, що й у вівторок.
– Ви кажете про наслідки для бізнесу зараз? А наслідки для державних структур.
– Мені важко зараз це коментувати, тому що я не знаю, що відбувається в державних структурах.
– Ви бачите російський слід так, як бачить це РНБО?
– Я не можу ні підтвердити, ні спростувати. Але подивіться, кому це вигідно. Це – акт кібертероризму.
– Зазвичай кібератаку зараз ділять на складові. Окремо характеризують кожен етап. Що це було: 27-го, 28-го?
– Вірус Petya – не криптоздирник, не вимагач. Гроші та збагачення не були метою атаки.
– А що було метою?
– Моя гіпотеза: цей вид атаки називається «DDoS-атака відмови в обслуговувані» (напад на комп’ютерну систему з наміром зробити комп’ютерні ресурси недоступними – авт.) – диверсія. Але за моїми прогнозами, і вона не є кінцевою метою. DDoS-атака, як показує практика, відволікає на себе усі ІТ та ІБ ресурси жертви, отже є традиційним способом диверсії під час здійснення прихованої, справжньої кібер-атаки. Згадайте самі: DDoS-ять інтернет-банкінг банку N, а під час цього крадуть кошти в його клієнтів. DDoS-ять контакт-центр Обленерго (тоді це був лише перший етап атаки на наші енергокомпанії), а на фоні вирубають енергетичні підстанції. І так далі. Тобто, зорганізували телефонний спам у контактний центр, люди не могли дізнатися просто про проблему довший час тому, що абоненти не могли додзвонитися і про це повідомити. Теж диверсія під час складної атаки. Диверсія, що явно не має фінансового характеру, хоча дуже сильно намагається замаскувати це під кібер-кримінальну активність. Це підтверджує високий клас самої атаки, розвідки та планування.
Мої висновки: це акт кібер-тероризму. Не кібер-війни, а саме кібер-тероризму, спрямованого на завдання шкоди мирному населенню, залякування та демонстрацію сили. При цьому замаскований під кримінальну активність крипто-здирництва. Або це диверсія з метою здійснення на фоні більш масштабної та витонченої операції. Маю підозру, що найцікавіше попереду.
– Тобто, слід остерігатися, що вони можуть дістатися до СКАДA (Supervisory Control And Data Acquisition – системи автоматичного контролю та збору інформації великих підприємств), так?
– Цього треба було боятися.
– Ну, ще не пізно?
– Вже пізно.
– ОК, все одно не будемо боятися. Як на те пішло – переведемо все на ручне управління. Які висновки має зробити насамперед влада? Які кроки мають бути першочерговими? Закон про кібербезпеку чи якась інша стратегія?
– Ніяких законів. Це написання стратегій, доктрин і законів останні три роки по суті іммобілізувало розвиток галузі. Треба ж вже робити якісь певні конкретні кроки. Треба навчати персонал, треба навчати айтішників, вдосконалювати свої інфраструктури. Є такий американський документ «Cyber Security Framework». Його придумали в NIST-і (Національний Інститут стандартів та технологій в США – авт.). Його ще після перших атак SandWorm/BlackEnergy (мається на увазі кібератаки на Прикарпаттяобленерго в 2015 році – авт.) на нашу енергетику за власний кошт переклали та надали для безкоштовного використання хлопці з компанії Cisco. Фактично посібник по створенню системи безпеки. І що ми з цим подарунком долі зробили?
А якби почали вчити, то зробили б зараження та поширення «Петьом» практично неможливими. І треба брати і отак по пунктах реалізовувати в кожній інфраструктурі, яка вимагає уваги. Тобто, все, що ви не можете завтра викинути зі свого життя, має бути налаштоване так, як там написано. Треба брати в руки інструменти і починати робити роботу, а не продовжувати видумувати якісь регуляторні акти і писати стандарти. Все вже є.
– Чи хтось із тих, хто заплатив вимагачам, їх було 17 людей, отримав назад свої дані?
– У мене є двоє знайомих, які заплатили в першій трійці, вони не отримали ключа. Ще коли навіть e-mail був активний і вказаний на заблокованому екрані, вони суто заради експерименту зробили ці платежі – і нічого не отримали. Не платіть, не платіть – це головне, платити вже не просто безглуздо, це абсолютно непрактично, тому що нічого не вертається, це просто втратити гроші. Не платіть тим, хто вам зараз обіцяє, що він вам відновить це за 50-100 доларів. То це те саме, просто під приводом того, що інші зробили.
– На останньому глобальному саміті з кібербезпеки шукали філософський камінь: яку кількість грошей треба вкладати в комп’ютери та систему захисту, а яку кількість в навчання. На що в обороні витрачати більше – на антивіруси чи людей?
– Основна причина проблем – культурна. Це не недостатність коштів, це не недостатність заліза або навчання. Це культура. Люди просто такі. Вони працюють так. Це їхній професійний рівень. І те, як вони виконують свою роботу, в загальному випадку нормально, від більшості загроз вони більш-менш імунні.
– Атака почалася об 11.30, а лише в 14.30 кабмінівським мережам сказали вимкнутися, а місцеві адміни почали помалу соватися поверхами та переписувати комп’ютери, які жахнули. Чи можна було зробити інакше? Чи як треба було зробити інакше. Напевно, вони знали чи про щось попереджали їх якісь правоохоронні структури?
– Швидкість зараження після моменту первинної компрометації миттєва, і вона зростає експоненційно до кількості заражених машин. Ви нічого не можете зробити. Ваша швидкість пересування поверхами нижча, ніж швидкість пересування хробака вашою мережею. Є всі рекомендації, які могли б запобігти цій конкретній атаці. Але ворог знав, що ми їх не використовуємо систематично, і він цим скористався.
– Відомо, як почалася атака?
– Є офіційні позиції Майкрософта, Кіберполіції, інших дослідницьких компаній.
– А як так вийшло: ми заборонили російський софт, а такий подарунок як вірус нам дав український розробник?
– Яка тут різниця звідки софт.
– Всі експерти казали, що саме російський софт є загрозою, через його оновлення нам загрожує кібертероризм, а зрештою він прийшов від українського розробника.
– Походження джерела ніякої ролі зараз не грає. Це все жертви. Зловмисники заразили одну жертву, другу жертву, третю жертву. Через них почалася атака: через веб-сайти, через софт, через мережі, через фішинг теж були факти. Тобто, не варто звинувачувати жертв – звинувачуйте зловмисника. Це могло статися з будь-ким. Джерелом ураження могла бути будь-яка респектабельна компанія. Тому припиніть просто на них тикати пальцем. Просто від них треба вимагати кращого рівня, вищого класу.
– Держспецзв’язок закликав великих акціонерів підприємств, що належать до критичної інфраструктури, не ховати інцидентів, повідомляти про те, що сталося. Нарешті почався цей вільний обмін, чи стало це прозоріше – обмін інформацією?
– Вони вимагають чи вони закликають?
– Закликають.
– Це має бути вимогою законодавчою, під загрозою кримінального провадження проти першої особи компанії, яка не повідомляє про кіберінциденти й наслідки. Ось тоді це буде працювати. Заклики – це, звичайно, дуже добре. Але в цивілізованих країнах це – вимога законодавча або урядова. І там начальник департаменту інформаційної безпеки займається не тим, що антивіруси розставляє, а тим, що зберігає від реального кримінального строку свого генерального директора.
– У ситуації з вірусом «Петя», комп’ютерна грамотність простого співробітника компанії ні на що не вплинула б. Дуже складний випадок, те, що сталося, це, в принципі, відповідальність системних адміністраторів, так я розумію?
– Це завжди відповідальність менеджменту. Не стати жертвою – задача менеджменту. Менеджмент розв’язує питання щодо ризиків. Фахівці роблять роботу згідно з тим рішенням, яке прийняло керівництво. Розумієте, це не проблема програміста, це не проблема сисадміна, це проблема менеджерів. Менеджер або приймає ризики, або щось з ними робить.
– Чому не спрацювали антивіруси?
– Це все замасковано під легітимну активність, розумієте. Тому що сто разів перевіряти це антивірусом немає жодного сенсу. Воно не виглядає як вірус, який атакує.
– Чому атакували російську «Роснафту», по-вашому, якщо це була цільова атака?
– Я не знаю. Я зараз дотримуюся думки, що це в якийсь момент вийшло з-під контролю.
– Чому деякі відомства вбереглися від атаки, чому лягли?
– Наприклад, хто вберігся?
– Турчинов сказав і Держспецзв’язок, що ті, хто увійшов у так званий «захищений контур Інтернета», справилися.
– Я не знаю про що це. Вберегтися могли ті, хто елементарно налаштував вихідну фільтрацію в мережевих робочих групах, тобто розсадив всіх юзерів по тих підмережах, які їм необхідні для роботи, і заблокував між ними непотрібні комунікації. Цього було достатньо для того, щоб локалізувати проблему, просто нічого не робивши, просто прийти і сказати: «Бухгалтерія лежить, давайте розбирайтесь. А всі інші працюють».
Навіть під час атаки були люди, які вчилися на ходу. Я – на зв’язку зі спільнотою фахівців практично останні дві доби, якраз із людьми, які борються у своїх мережах, мені повідомляють про те, в яких підмережах атака вдалася, в яких не вдалася, яка між ними різниця. Тобто всі ці питання, чи це фішинг із соціальною інженерією, чи інший тип атаки – все це розв’язується не одразу. Спочатку були якісь підозри, спекуляції, потім вони підтверджувались, спростовувались і т. д. Загальна картина, так би мовити, механіка події, відома лише зараз. А політичний контекст, він ще не відомий – що відбувається зараз, ми ще не знаємо.
– Як удалося атаку зупинити? Ми самі згенерували ці рішення?
– Що значить зупинити? Деякі компанії вже по другому колу зараз переживають, вчора відновившись.
– Сайт Кабміну вже ввечері працював, Нафтогаз відкрився…
– Сайт Кабміну я б не називав елементом критичної інфраструктури. Це інформаційна система, вона публікує дані.
– Нафтогаз, сайт Нафтогазу також.
– Хто читає рекомендації людей, які аналізують семпли, тобто екземпляри цих зловмисних програм та викладають їх у публічний доступ, ніхто зараз їх не приховує – всі викладають одразу в публічний доступ, тобто – хто за цим слідкує, він може локалізувати проблему або відновитися і не потрапити в неї вдруге. Хто взяв резервні копії, піднявся і там десь почув, що достатньо запатчити (накласти «заплатку») MS17-010 (уразливість, завдяки якій відбулося поширення вірусу) – і все буде добре, той завтра буде підніматися із резервних копій знов.
– Коли я розпитувала вас минулого разу, чим інфікують мережу: саме троянською програмою чи комп’ютерним хробаком, то ви казали, що шкідливе ПЗ – це все комплексний продукт, який роблять під конкретну атаку, це троянська програма і хробак разом. Але ви тут весь час згадуєте, що це комп’ютерний хробак, так?
– Первинне зараження – це або фішинг (розсилання листів від імені популярних брендів, керівництва чи податкової з інфікованим файлом), або легітимне оновлення, або WaterHoling – складна атака, коли інфікується популярний сайт, і потім на нього приходять потенційні жертви, які чіпляють “заразу”. Тобто, через такі три вектори відбувається первинне зараження, а подальше поширення локальними мережами – це вже хробак.
– Скажіть, ми змогли змобілізуватися якось і протистояти цьому?
– Ну як мобілізуватися, треба знання мати, треба мати культуру. Ну, що я вам можу сказати: нація ще не готова.
Розмовляла Лана Самохвалова, Київ
Comments