В 2015 году впервые была замечена активность хакерской группы GrayEnergy, специализирующейся на кибератаках на энергетический сектор, транспорт и другие цели в Украине и Польше. Роберт Липовски, старший аналитик угроз лаборатории ESET, рассказывает, откуда «растут ноги» у этой хакерской группы, какова их цель и каким образом можно защититься от атак хакеров сегодня.


PCWeek/UE: Какова этимология слова GrayEnergy, почему именно такое название было предложено для хакерской группировки?

Роберт Липовски: Это название происходит от GrayEnergy — хакерской группы, которая совершила первую blackout-атаку на энергосистему Украины. Мы полагаем, что GrayEnergy является преемником BlackEnergy.

Напомню, что BlackEnergy атакует Украину в течение многих лет. В частности, в декабре 2015 года ее атака привела к прекращению электроснабжения в западных областях Украины — без электричества осталось 230 тысяч человек. По сути, это было первое в мире отключение электроэнергии в результате кибератаки. BlackEnergy также известна своими рассылками фрода, который нацелен на банки и другие финансовые организации.

Когда мы выявили еще одно семейство вредоносных программ, то назвали его GrayEnergy, поскольку считаем, что автором этого вредоносного кода является новая хакерская группа — преемник BlackEnergy. Эти хакеры стараются оставаться невидимыми как можно дольше, тем не менее, нам удалось отследить их схожесть с BlackEnergy. Хотя они очень похожи не столько по используемому коду, сколько по стилю и векторам атак. Обе группы используют целевой фишинг, так называемый spearfishing, есть и другие общие методы проведения атак. 

— Почему группа BlackEnergy атакует только Украину и Польшу, почему они игнорируют другие страны?

Р. Л.: Я бы не говорил, что целями являются только те две страны, по которым мы зафиксировали атаки. Вполне возможно, что они атаковали и другие страны, но мы не можем это подтвердить, поскольку у нас нет таких данных. Могу только сказать, что основной удар был нацелен на Украину. 

— Что можно сделать, чтобы защитить свою организацию от подобных APT-атак?

Р. Л.: Спектр инструментов противодействия достаточно широкий. Основная философия, которою мы продвигаем, состоит в том, что организации должны внедрять мультиуровневый подход к безопасности. Вы можете полагаться на одно или два замечательных решения, чтобы закрыть все ваши нужды в сегменте киберзащиты, и считать, что такими мерами можно ограничиться. Однако есть проблема: атакующим нужно найти лишь одну брешь для «входа» в вашу сеть — этого будет достаточно для проведения успешной атаки. Вот почему вам необходимо обезопасить весь ваш периметр, закрыть «дыры» на все уровнях. Для решения такой задачи надо использовать надежные и современные системы класса end-point security, применять IDS-приложения, чтобы детектировать вредоносную активность в самом начале атаки, внедрить двухфакторную идентификацию вместо стандартной парольной защиты, реализовать правильную сегментацию сетей, чтобы даже после взлома атакующие не могли проникнуть из одного сегмента сети в другой (кстати, именно такой подход применяли как хакеры BlackEnergy, так и GrayEnergy). Кроме того, обязательно нужно своевременно делать резервные копии данных, поскольку одна из целей хакерских групп — уничтожение информации. Здесь стоит также упомянуть вредоносы-шифровальщики, которые нацелены на зашифровку всех данных и соответственно их удаление. Поскольку хакеры сегодня финансово мотивированы, бекап очень важен.

Не менее важное значение имеет обучение пользователей. Как я уже упоминал, одна из основных технологий кибератак сегодня — целевой фишинг, то есть, рассылка электронных сообщений с использованием социального инжиниринга, когда мошенники используют темы, которые могут заинтересовать сотрудников компании. Обычно хакеры мотивируют жертву открыть вредоносное вложение в письме или же перейти по веб-ссылке, указанной в тексте сообщения.

Такое обучение должно быть не разовым, а превратиться в перманентный процесс, с регулярным тестированием на проникновение, которое заключаются в рассылке отделом безопасности мнимых фишинговых писем сотрудникам компании и дальнейшем анализе реакции сотрудников на такие письма. В каждой компании менеджмент предприятия и ИТ-отдела должен отнестись очень серьезно к постоянной тренировке пользователей. Подытоживая — процесс защиты включает как технологические, так и гуманитарные аспекты. 

— Как можно уменьшить влияние человеческого фактора как самого слабого звена в системе защиты?

Р. Л.: Только через вышеописанный процесс обучения персонала, иначе — никак. 

— Многие эксперты утверждают, что атаки BlackEnergy в 22015 и 2016 были неким пентестом со стороны хакеров, поскольку, несмотря на blackout в западных областях Украины, они все же не привели к серьезным последствиям. C вашей точки зрения, почему хакеры не действовали в полную силу?

Р. Л.: Это сложный вопрос. Я уверен в том, что более разрушительные действия планировалось и вполне могли быть реализованы. Однако в результате мы получили только blackout в полночь, а это не сравнимо с масштабами ущерба, который могло причинить выключение электричества днем, в разгар рабочего дня.

К счастью, украинская энергосистема смогла быстро восстановить работоспособность и минимизировать влияние атаки. Но важный урок, который мы можем извлечь — группа активна и потому можно ожидать дальнейшей деятельности с ее стороны в будущем. 

— Где находится эта группа территориально, кто эти люди — есть ли у вас какие-либо предположения?

Р. Л.: К сожалению, нет. Мы, как эксперты в области ИБ, можем лишь определить, какую стратегию и какой вредоносный код они используют, какую задействуют инфраструктуру — но все остальное относится к области ответственности киберполиции и прочих силовых служб.

Единственное, что можно утверждать наверняка — это профессионалы с очень хорошей мотивацией и огромными ресурсами. Поскольку подготовка и проведение такой атаки стоит крайне дорого. Это точно не индивидуальные хакеры, а отлично организованная группа злоумышленников.

Вполне может быть, что их хорошо оплачивают. Поскольку их мотивация к кибератакам очень непохожа на обычную киберпреступность. Ведь стандартные кибермошенники занимаются хищением денег, скрытым майнингом криптовалют и прочими подобными вещами, в то время как эти хакеры делают упор на кибершпионаж и киберсаботаж. Вполне возможно, что их наняли для совершения именно таких действий. 


— В вашем офисе есть большие экраны, где указывается текущая вредоносная активность по всему миру. Насколько эта информация важна для разработчиков и вирусных аналитиков?

Р. Л.: Мы не смотрим на экраны, чтобы принимать каждодневные решения, но используем эти данные для улучшения качества защиты. Чтобы получить такие данные, мы поощряем пользователей включать в продуктах функцию телеметрии, поскольку это помогает улучшать качество защиты и детектирования вирусов. Учитывая, что данные отправляются совершенно анонимно, пользователь ничем не рискует. Вместе с тем, в случае каких-либо вспышек эпидемий мы можем реагировать на них быстрее. Подобная визуальная информация также показывается на нашем онлайн вирус-радаре на сайте https://www.virusradar.com/en

— Сейчас набирает популярность тренд Интернета вещей. Можете ли описать, в чем заключаются наиболее слабые места Интернета вещей? Чтобы вы порекомендовали для усиления защиты устройств Интернета вещей, ведь в силу своей дешевизны и массовости, они слабо защищены.

Р. Л.: Очень важно постоянно оказывать давление на вендоров, чтобы они усиливали безопасность выпускаемых продуктов. Причем это давление должно исходить, прежде всего, от конечных заказчиков. Когда стоит выбор — купить IoT-продукт с высоким уровнем защиты или посредственным, то заказчик должен покупать именно более защищенные устройства и донести вендору, чем был обусловлен его выбор. Риск взлома IoT-сетей очень недооценен.

Сейчас много говорят о проблемах приватности, это, конечно же, немаловажно. Но и проблемы безопасности исключительно важны, хотя они волнуют людей меньше. 

— Какие зловреды прошлого года вам наиболее запомнились?

Р. Л.: Их достаточно много, например, есть такой вредонос KillDisk, он используется различными хакерскими группами. Это инструмент для шифрования диска, обычно на последних стадиях атаки. Это один из самых разрушительных вредоносов, который нам приходилось встречать. 

— Сколько времени занимает создание «противоядия» для найденного нового вредоноса?

Р. Л.: Вообще, для большей части образцов зловредного кода этот процесс автоматизирован, машинное обучение для автоматизации и ускорения процесса. Хотя наши эксперты все равно принимают участие в анализе кода. Ежедневно мы обнаруживаем 300 тысяч новых уникальных образцов вредоносного кода. Нередко это просто разные модификации каких-либо ранее уже известных вредоносных файлов, тем не менее — все таки уникальные образцы. Конечно, вручную такое количества зловредного кода обработать невозможно, поэтому мы прибегаем к автоматизированным инструментам, которые определяют, какой файл «чистый», а какой нет. Но полностью автоматизировать такой процесс не удастся, поэтому мы все равно регулярно задействуем для таких задач экспертов, которые определяют, какие файлы заражены, а какие нет.

Машина определяет вредоносный контент в течение нескольких секунд, человек тратит на это несколько минут. Но самое важное, что мы получаем благодаря нашим экспертам — анализ новых зловредов. Мы ищем принципиальные отличия между различными новыми вредоносными продуктами. Команда исследователей работает в паре с командой, которая детектирует вредоносы. Конечно, главная задача ESET — вовремя обнаружить вредоносное ПО, чтобы защитить клиентов. Вместе с тем, исследователи отслеживают тренды в области киберкриминала. Именно они обнаружили группы BlackEnergy, GrayEnergy и т. д. 

— Приходится ли вам кооперировать с другими вендорами в процессе решения каких-либо сложных задач по обезвреживанию тех или иных вирусных атак?

Р. Л.: Да, прежде всего мы обмениваемся образцами вредоносного кода с другими антивирусными производителями. Есть также и сотрудничество иного рода. 

— Сигнатурные технологии все еще актуальны или же технологии проактивного обнаружения вирусов сейчас более важны?

Р. Л.: Несомненно, проактивные технологии сейчас играют более важную роль. Хотя сигнатурные также все еще задействованы, однако они уже не настолько важны, как 20 лет назад. Мы называем это DNA-signature и они описывают поведение вредоносных программ. Сигнатуры уже не содержат хэш вредоносного файла или кусок кода, а именно описывают его поведение. Ранее я упоминал, что каждый день мы фиксируем 300 тысяч новых вредоносов — это происходит благодаря тому, что злоумышленники ежедневно или даже несколько раз в день перепаковывают код вируса. Поэтому идея DNA-signature — описать ключевые особенности поведения зловреда. То есть, сигнатурная технология сегодня работает совсем не так, как то было 20-30 лет назад. 

— Сегодня в составе компании ESET работает 1700 человек, в 2006 году было всего 160. Свидетельствует ли это о том, что в перспективе зловреды будут настолько сложны, что антивирусным производителям придется тратить просто огромные ресурсы на борьбу с ними?

Р. Л.: Да, работа в сегменте кибербезопасности сегодня очень непростая. Организованная киберпреступность, хакерские группировки, работающие на какое-либо государство, кибершпионаж, АРТ-атаки и прочее действительно делают работу по киберзащите чрезвычайно сложной. И в этих условиях важно, чтобы сами пользователи — от малого бизнеса до крупной корпорации — стали первым надежным эшелоном обороны.