Дмитрий: Киберразведка как отдельное направление появилась около 15 лет назад. Её основателями стали две компании: это iSIGHT Partners, купленная несколько лет назад компанией FireEye, и iDefense, которую тоже несколько лет назад купила компания Accenture. Обе компании-основатели изначально получали заказы от государства. Они занимались сбором и анализом информации о методах и инструментах, используемых хакерским сообществом. Полученные данные помогали оказывать противодействие кибератакам. Подобные услуги оказались востребованны, и аналогичные компании стали создавать в других странах мира.

В России киберразведка выделилась в отдельное направление в 2012 году. Большинство потенциальных клиентов под киберразведкой, как правило, понимают два метода. Первый – это предоставление «чёрных списков» iр-адресов, доменных имён, которые являются опасными. В этом случае эффективность работы определяется простым количеством – чем больше вы предоставляете подобной информации, тем лучше. Но в действительности такой подход давно устарел. Блокировка по iр-адресам и доменным именам является технологией прошлого века, которая сегодня не даёт действенного эффекта, ну разве что за редким исключением. Второй метод — отслеживание даркнета, так называемой тёмной области интернета, подключиться к которой можно, например, через специальный браузер Tor или по приглашению от других пользователей теневых ресурсов. Принято считать, что в даркнете много всего интересного и опасного, за ним обязательно нужно следить, чтобы получать информацию, закрытую от обычных пользователей. Когда-то это было действительно так, однако сегодня ситуация сильно изменилась. В даркнете всё меньше квалифицированных хакеров, и знаниями они там уже почти не обмениваются. Правда, за этой областью интернета по-прежнему нужно следить, но в настоящий момент даркнет перестал служить основным источником данных для киберразведки. На сегодня эти две стратегии потеряли свою актуальность и являются скорее дополнительным аспектом основной работы, но не её главной задачей.

Дмитрий: В общих чертах методика такова. Киберразведчики ведут поиск хакерских форумов, регистрируются на них под видом хакеров, внимательно читают все сообщения, отслеживая информацию, имеющую отношение к клиентам. Например, увидели слово «Росатом», и начинают разбирать, в каком контексте эта компания была упомянута, когда и кем, а уже после сбора достаточного количества данных проводится анализ на предмет вероятности и значимости потенциальных угроз. Однако этот метод также начинает устаревать и с каждым годом приносит всё меньше результатов. Раньше хакеры активно общались друг с другом в сети, делясь новыми приёмами, но сегодня они понимают, что форумы отслеживаются специалистами по кибербезопасности, и важной информацией обмениваются всё реже. Не исключено, что через несколько лет потенциал этой стратегии будет исчерпан и на хакерских форумах останутся одни специалисты по безопасности, которые будут общаться там друг с другом, спрашивая, не видел ли кто-нибудь информацию о возможной кибератаке. Тем не менее сегодня интерес к подобному методу пока остаётся. Другая стратегия базируется на сборе данных из открытых источников. В интернете отслеживаются все упоминания о компании-заказчике, полученная информация обрабатывается, систематизируется и анализируется. Это также важное направление, поскольку в открытых источниках можно собрать очень много интересных сведений. Компаний, использующих подобную стратегию, много, и самая крупная из них это Recorded Future. Их основная технология – анализ текстов, или, как сейчас называют, неструктурированной информации. Но есть ещё один тип компаний, которые специализируются на анализе киберпреступности в целом, охватывая более широкий спектр направлений. Там работают профессиональные исследовательские команды, которые также отслеживают хакерские форумы, анализируют полученную информацию и возможные угрозы. В случае совершения кибератаки на клиентов они приезжают на место преступления, где не только изучают вредоносную программу, применённую преступниками, и минимизируют нанесённый ущерб, но и проводят анализ уязвимых мест, позволивших хакерам проникнуть в систему. Это настоящее расследование. Восстанавливается вся цепочка событий, как хакер перемещался по сети, что именно искал, как и когда он изначально проник в сеть, были ли аналогичные случаи проникновения в другие компании. Чем больше собрано сведений, тем выше вероятность поймать преступника.

Большинство компаний, работающих в сфере киберразведки, упаковывают свои услуги в пакеты подписок, ориентированных на разные категории клиентов. Скажем, если компания производит ручки, то ей, очевидно, не грозит кибершпионаж, а вот опасность компрометации её бренда конкурентами при помощи вредоносной программы для них актуальна. В то же время для компании, разрабатывающей, например, высокоточное оружие, её бренд ввиду специфики деятельности, по большому счёту, не так важен, а вот возможность отражения атаки со стороны хакеров будет приоритетом номер один. Подписки дифференцированы по стоимости, в зависимости от требуемой классификации специалистов и задействованных ресурсов. Для формирования базы данных об атаках обычных хакеров и представителей спецслужб используются различные алгоритмы и глубина анализа применяемых инструментов. При этом большинство компаний-клиентов не хотят вникать в такие детали.

Зачастую их требования сводятся лишь к получению ip-адресов, с которых может произойти атака, чтобы их заблаговременно заблокировать. Но такие решения не имеют большого эффекта. Тем не менее сегодня это типичный подход большинства компаний, пользующихся услугами киберразведки. Хотя следует признать что со временем ситуация меняется, люди начинают осознавать, что простое составление чёрного списка ip-адресов не решает проблему и для обеспечения кибербезопасности необходимо работать на опережение.

Дмитрий: Существует несколько методов получить доступ к данным. Один из самых распространённых – это фишинговая атака, когда хакеры создают фишинговую страничку, куда введённые в заблуждение сотрудники атакованной компании вносят свои логины и пароли, после чего злоумышленники получают доступ к почтовым ящикам и другим сервисам. Мы находим сервер, куда была передана украденная информация, смотрим, какие именно данные были скомпрометированы, и сообщаем об этом пострадавшей организации. Другой вариант: мы видим атаку, которая находится в активной фазе, и знаем, с какого сервера ей управляют. По ряду специальных критериев мы находим атакованную организацию и сообщаем ей о нападении. Как правило, сами эту проблему они качественно решить не в состоянии, так как для этого требуются профессионалы и специальные программные решения. Поэтому атакованная компания заинтересована в нашей помощи, и мы предлагаем ей наиболее эффективные варианты выхода из сложившейся ситуации.

Дмитрий: Время – это важный фактор, но когда планируется целенаправленная атака на конкретную компанию, срок перестаёт играть критическую роль. Атака не проводится за минуты или секунды, как нас всех приучают антивирусные вендоры: не обновили сигнатуры за 2 минуты, значит, всё, вы под угрозой. У атакующего есть определённая цель – добраться до конкретной информации, которая его в этой организации интересует. Даже если хакер совершил взлом и вошёл в сеть компании, с ходу отыскать интересующую его информацию практически невозможно. В крупных компаниях, таких как, например, Росатом, сами администраторы сети не всегда могут быстро найти требуемую информацию.

А когда вы внешний атакующий, такая сеть – это самый настоящий «чёрный ящик». Даже попав в неё, вам нужно потратить значительное время, чтобы найти нужные системы, получить к ним доступ, разобраться в том, как они устроены, попробовать извлечь оттуда данные, а самое главное – всё нужно делать очень аккуратно, чтобы вас не замечали. Это отнимает много времени. Предупредить о возможности кибератаки можно, но на практике это не работает. Например, сервер, с которого могут проводиться атаки, активировался. Предполагается, что готовится нападение, но никаких вредоносных файлов, ссылок и писем с этого сервера не отправляется. Известно, что возможна атака, но передать эти данные нашим клиентам бесполезно – слишком мало информации. Поэтому на практике фактор времени включается, когда атака уже началась. Вот тогда надо успеть нейтрализовать преступника до того, как он обнаружит нужную ему информацию. Другой целью взлома может быть диверсия. Тогда злоумышленнику также требуется время, чтобы получить максимальный контроль над всей инфраструктурой, чтобы в нужный момент вывести её из строя. Ещё одна распространённая цель – получение доступа к финансовым системам, который позволит похитить деньги из организации. И на это также преступникам понадобится время. Информация, диверсии и деньги – основные цели, ради которых проводят подобного рода атаки. И чтобы достичь этих целей, требуется значительное время.

Хорошо, давайте возьмём другой вариант. Киберразведчик, отслеживающий хакерские форумы, узнал, что разрабатывается новая программа для взлома банковских серверов. В этом случае вы будете предупреждать своих клиентов об этой потенциальной опасности?

Дмитрий: Когда речь идёт не об одиночной целевой атаке, а о массовых вирусах, на хакерских форумах можно найти информацию об этих угрозах. Если взять финансовый сектор, то есть банковский троян, а есть троян общего назначения. И банки, естественно, интересует факт появления новой вредоносной программы, которая может быть массово использована в финансовом секторе. Иногда можно даже найти конфигурационные файлы, где перечислено, с какими банками эта программа будет работать. В таких случаях мы, конечно, уведомляем об этом наших клиентов. Аналогичная ситуация и при возникновении угрозы атаки на банкоматы, когда вредоносная программа, как правило, привязана к производителю банкомата. Например, мы узнаём, что появилась программа, предназначенная для атаки банкоматов производителя NCR, в то время как наши клиенты используют банкоматы Wincor и Nixdorf. На текущий момент программа для них не опасна, но они бы хотели получить обновление на тот случай, если вирус начнёт поддерживать NCR. Поэтому эти сведения также имеют для них значение. При этом клиентов интересует даже не столько сам факт появления вируса, а то, как он именно работает, чтобы иметь возможность заблаговременно протестировать свою систему безопасности. Если продолжить тему финансового сектора, то стоит отметить, что почти все самые опасные вирусы были созданы русскоговорящими хакерами, практически монополизировавшими эту область и даже выстроившими своеобразную экосистему, генерирующую идеи и инструменты для киберпреступлений. Новые вирусы, как правило, тестируют в России, где много финансовых организаций, клиентов, большая территория, и для русскоговорящих хакеров проще отмыть похищенные деньги. Поэтому нам, как российскому вендеру, в данном случае выгодно быть в России, так как это даёт возможность первыми узнавать о новых преступных приёмах и оповещать наших клиентов, ко¬торые находятся в самых разных странах мира.

Дмитрий: Если говорить конкретно о Group-IB, то у нас есть программно-аппаратный комплекс Threat Hunting Framework, базирующийся на нескольких компонентах. Первый из них – анализ исходящего трафика, позволяющий обнаружить наличие вредоносных программ. Второй – это так называемая песочница, когда все файлы, которые приходят в корпоративную сеть, например по почте, запускаются в изолированной среде. Это позволяет выявлять опасные программы, которые не обнаруживаются сигнатурным анализом. Третий – это контроль за компьютерами непосредственно на рабочих местах, позволяющий обнаружить атаку, если вирус каким-либо образом обошёл предыдущие компоненты защиты. Отдельный компонент, который мы только сейчас начинаем поставлять нашим клиентам, – это система, отслеживающая инфраструктуру атаки, восстанавливающая шаг за шагом всю цепочку, по которой вирус попал в систему. У нас есть специальный центр по реагированию, отслеживающий все инциденты, и если вдруг цепочка где-то оборвалась, их задача путём анализа восстановить недостающие звенья. Сотрудники центра работают круглосуточно и имеют прямой доступ к специалистам в самых разных областях: экспертам по анализу вредоносных программ, по компьютерной криминалистике, по расследованиям, по аудитам, тестам на проникновения.

Дмитрий, Сергей: Специфика инструментов, применяемых преступниками при атаках на энергообъекты, зависит от целей атакующих. Если цель – установить контроль над определённым сегментом промышленной сети, чтобы иметь возможность управлять технологическим процессом, оборудованием, то без специализированных программ это сделать невозможно. Управление оборудованием осуществляется по промышленным протоколам, имеющим свою специфику в зависимости от компании-производителя. Кроме того, сегменты, осуществляющие управление, как правило, изолированы от внешней сети. Теоретически подключиться всё же можно, если есть одно-два рабочих места администраторов, имеющих выход в интернет, получив доступ к которым вы можете попробовать осуществлять управление.

Дмитрий: Потенциально возможно, но практически вряд ли реализуемо. Скорее всего, это не случится. Это очень сложная задача. К тому же энергооборудование оснащено автоматическими системами защиты с двух-, трёх-, четырёхкратным дублированием, которые просто не дадут выполнить команду преступника, которая может привести к аварии. В любом случае преступникам придётся предварительно очень долгое время заниматься разведкой, пытаться проникнуть вначале в офисный сегмент (и уже потом в промышленный), и вот здесь киберразведка может обнаружить их активность. Также стоит отметить, что промышленное оборудование настраивается и программируется под конкретные задачи управления (что также требует анализа хакерами), и в случае наличия «воздушного зазора», то есть отсутствия прямого соединения между хакерами и системой управления, многофазная задача сбора данных с последующим дистанционным управлением практически нереализуема.

Дмитрий: Киберпреступность будет всё больше и больше разделяться на массовые атаки и на целенаправленные, когда атакуются одна или несколько конкретных компаний. При этом инструменты и стратегии массовых атак будут становиться всё проще и примитивнее, а целенаправленных всё сложнее и изощрённее.

Раньше разница между этими двумя направлениями была не очень большой, но со временем они стали расходиться. В будущем дистанция между ними станет ещё больше. Отличие этих двух стратегий в мотивации и ресурсах. Если вы хотите получить контроль над торгово-промышленной сетью, то вам на это понадобится очень много времени и ресурсов, программистов, которые будут эти инструменты писать, операторов, которые будут эту атаку проводить. У обычных киберпреступников нет подобных ресурсов, нет времени, чтобы фокусироваться на какой-то одной цели на протяжении долгого периода времени. Они, как правило, используют простые инструменты, не требующие больших инвестиций, экономическая выгода от таких преступлений, как правило, невысока, но за счёт массовости её можно увеличить. Поэтому в будущем нас ждёт дальнейшая и всё более глубокая дифференциация киберпреступников.