На какие изощренные уловки идут кибер-злоумышленники, чтобы выманить ваши деньги? Стоит ли заклеевать веб-камеру? Почему российские антивирусы Касперский и Dr.Web до сих пор работают на украинском рынке? Кто стоит за масштабными кибер-атаками на Украину?

Антон Черепанов, один из главных исследователей компании ESET (выпускает антивирусные программы) в Братиславе был одним из тех людей, которые анализировали самые громкие атаки последних лет, когда под ударом оказывались банки, объекты энергетики и множество других компаний: BlackEnergy, Petya.A и WannaCry.

О слежке по веб-камере, вымогании денег и наследстве африканских принцев

- Ваш коллега показывал презентацию, в которой у человека вымогали деньги, угрожая отправить всем его контактам видео с веб-камеры. Насколько это распространено сейчас и что делать в таких ситуациях?

- В основном такие сообщения, которые приходят на почту, - это обычно фейк. То есть никаких данных на вас нет. Это просто социальная инженерия, хакеры пытаются вас обмануть и выманить деньги. Технология не нова. Уже десятилетия кто-то пытается связаться с потенциальной жертвой по поводу наследства африканских принцев (вы, якобы, являетесь родственником или однофамильцем погибшего миллионера и адвокат предлагает вам прокрутить махинацию с целью получения круглой суммы - Ред.)…

- То есть, скорее всего, это просто обман?

- В 90% случаев - да. Лишь в отдельных случаях, которые мы находили, действительно во вредоносном ПО была возможность слежки за пользователем. Вирус отмечал, что пользователь переходил на порносайты, но при этом у него не было доступа к веб-камере.  Если пользователь действительно посещал такие веб-сайты, то в письме ему об этом писали. Мол, мы видели, что ты посещал такие-то сайты, у нас есть запись, плати…

- Получается, более высокая вероятность, что человек поверит?

- Да, так больше доверия. 

- Реально ли смотреть в чужую веб-камеру?

- Да, есть такое вредоносное ПО, которое может это делать, но это редко встречается. Обычно и звука достаточно. Переговоры в скайпе или в чем-то другом или просто с микрофона.

- А насколько просто получить прослушку с микрофона?

- Если это ноутбук, то элементарно. Вы получаете шпионскую программу по почте или другим способом. Даже иногда физический доступ используется. Например, человек оставляет свой гаджет и отеле. Тогда злоумышленники взламывают его и устанавливают вредоносный код, который следит за вами. Но это используется против каких-то очень высокопоставленных чиновников или бизнесменов.

- Антивирус может от этого защитить ?

- Может, конечно. Мы этим и занимаемся. Но такие случаи неординарны. Против обычных людей используются простые шифровальщики и вымогатели.  

- С вашей точки зрения, нужно закрывать веб-камеру?

- Я например не закрываю. Мне все равно.

- Но у вас же, наверное, более продвинутая защита.

- Да, у нас еще дополнительный мониторинг есть. 

- А были случаи когда за политиками так шпионили?

- Дело в том, что мы не знаем, кто есть кто. 

- Так может вы Ангелу Меркель спасли, например.

 - Любой человек может скачать наше ПО. Мы не знаем, что это Петя Иванов и он работает там-то и там-то. Максимум, что он нам пришлет, это статистику об обнаруженных угрозах, но там еще нужно поставить галочку, что он согласен делиться информацией. 

- Но когда ты платишь, оставляешь свои данные… 

- У нас такой информации нет.  Они есть у банка или у тех, кто это продает.

О российских антивирусах Касперском, Dr.Web и санкциях

К разговору присоединился управляющий партнер дистрибютора ESET в Украине Алексей Герасимчук.

- Какая у вас сейчас доля рынка в Украине?

- Алексей: Очень сложно посчитать. Субъективно это около 70-80 процентов. 

- Это общая доля или только бизнес клиенты?

- Алексей: Общая. 

- Как сейчас дела у российских антивирусов Касперский и Dr.Web на украинском рынке?

- Алексей: Указ о санкциях не позволяет использовать эти продукты в органах государственной власти и объектах критической инфраструктуры, но это никак не относится к сегменту обычных пользователей. Почему по сей день тот же российский Dr.Web работает на украинском рынке, несмотря на то, что компания находятся под санкциями? Они не закрывали свой офис и продолжают продавать свой продукт. 

Любая частная структура и по сей день может купить и пользоваться и Касперского, и доктор Dr.Web. Ничего не мешает им работать и сейчас. Пользователи у них сейчас есть в Украине.

- Касперский же был на первом месте в Украине до того, как их включили в список санкций. Не боитесь, что они будут вас вытеснять, если санкции не продлят?

- Алексей: Да, в хорошие времена они занимали долю до 60% и были очень сильны. Я думаю, что они будут по-прежнему пытаться работать на рынке Украины и у них будет все больше клиентов. Особенно, если санкции не продлят.

- Будет бойня?

-  Алексей: На самом деле сейчас на рынке много сильных игроков. И Symantec, и McAfee и другие. Даже у Cisco и других вендоров также есть решения. Рынок большой.

О роли Украины в кибервойнах и российских хакерах

- Какая роль Украины в современных мировых кибервойнах?

- В Украине сейчас действительно очень много интересных угроз. Таких угроз, которые мы не видели нигде. Есть конечно и банальные штуки. Но сложных угроз действительно очень много. Например, Industoer. Это вредоносное ПО создано специально для атак на электроподстанции в 2017 году.  

Бывает так, мы что-то обнаруживаем в Украине, а потом мы это видим в других странах.

Украина стала таким себе полигоном, на котором хакеры испытывают различные методы.

- Почему так получается?

- Я думаю, что сложные угрозы всегда связаны с геополитической обстановкой. Допустим, недавно в Венесуэле мы тоже обнаружили интересные угрозы. Там тоже сложная геополитическая обстановка.

- Можно ли сказать, что это РФ на нас тренируется ?

- Мы анализируем только вредоносное ПО. Мы не знаем, кто за ним стоит. Это не наши задачи. Это должны делать правоохранители.

- Какие сейчас тренды в мире хакеров?

 - Первое это то, что сейчас пытаются залезть не только в компьютеры, но и в различные роутеры, IoT девайсы. Второй тренд, это когда злоумышленники взламывают субподрядчика компании и уже через нее попадают внутрь сети той компании, против которой изначально планировалась атака. Третий тренд - это атаки, которые уничтожают данные на компьютере.

- Как обычно выглядят те, кто взламывает компании?

- Это обычно очень хорошо подготовленная группа людей, где у каждого человека своя специализация. Зачастую они даже покупают у друг у друга услуги. Были случаи, когда большие ботнеты (хакеры взламывают комьютеры и объдиняют их в отдельные сети - Ред.), которые могут взломать почти каждую организацию, понимают, что не могут сами монетизироваться. Они продают доступ к организациям уже другим людям на черном рынке.

Одна группа людей специализируется на том, чтобы получить первоначальный доступ. Вторая группа уже знает, что у них есть доступ к компании. Они могут зашифровать все их компютеры и попросить, к примеру, миллион долларов. 

- Какие самые крупные подобные группы есть?  

- Например, группировка Carbanak. Люди взламывали в Украине банки и пытались через банкоматы обналичить средства. Они взламывали банк и устанавливали на банкоматах вредоносное ПО. У них были сообщники, которые в определенный момент подходили к банкомату и банкомат просто выплевывал деньги.

- И сколько таких Carbanak в мире?

- Больший финансовых группировок в мире, наверное, около десяти.

- А в каких странах они сидят? 

- Сложно сказать. В прошлом году, например, Европол написал, что они арестовали одного из участников этой группы Carbanak и это был украинец, который жил в Испании. То есть, сложно сказать, кто где сидит и на каком языке говорит. 

- А какие страны атакуют чаще всего?

- В основном атакуют страны Восточной Европы, Казахстан, РФ, Румынию.

- А почему? Много пиратского ПО?

- Да, слабая защита. Проще атаковать.

 О том, кто стоит за вирусом Petya

- Какие выводы были сделаны мировым антивирусным сообществом и в частности компанией ESET после масштабных кибер-атак в Украине, таких как Petya, WannaCry?

- Конечно, мы сделали выводы, улучшили технологии. Сейчас такое не скажу, что не возможно, но более сложно для них будет сделать.

- Кто стоит за этими атаками? Украинские власти обвиняли в этом российских хакеров.

- Мы группируем атаки по техническим характеристикам и можем сказать, что это делала такая-то группа. А кто за ней стоит, мы сказать точно не можем, потому что мы не правоохранительные органы.

- Окей, какая группа стоит за вирусом Петя?

- За Петей стоит та же самая группа, которая  в декабре 2016 года атаковала украинские финансовые учреждения. Об этом были новости, даже СБУ называла имена тех, кто там был. У них есть названия типа PT28 и так далее. Но мы их называли Telebots.

- А кто это такие?

- Профессиональная группа, которая может ломать практически все что угодно. 

Источник: liga.net