Армянские хроники (зав. блогом Kornelij)

Какие страны разрабатывают кибер-оружие: интервью с экспертом "Касперского"

Публикую вторую часть интервью моего интервью с главным антивирусным экспертом «Лаборатории Касперского» Александром Гостевым. Первая часть доступна здесь 

Вопрос -«Красный октябрь» сидел 5 лет практически по всему миру, и его не могли отследить страны, у которых информбезопасность находится на высоком уровне. Как такое вообще произошло?

Гостев - В основной массе кампания «Красный октябрь» скорее затронула страны бывшего СССР. Да, в США и Европе этот кибершпион тоже был. Но там своя специфика. Даже если IP адрес заражения был в Германии, к примеру, при более детальном рассмотрении оказывалось, что он относился к посольству одной из стран бывшего Советского Союза. Действительно, жертвы находятся во многих странах, но чаще всего речь шла именно о бывшем СССР.

Вопрос - Сколько стран сегодня может создавать боевые софты?

Гостев - Первая пятерка стран, которая, судя по всему, этим занимается уже долгие-долгие годы, - это, несомненно, Соединенные Штаты, Китай, Россия, Франция и Великобритания. Причем я бы сказал, что Великобритания на профессиональном уровне выглядит намного сильнее, чем тот же Китай и, возможно, Россия. Недавно в Великобритании произошел очередной скандал, связанный с заражением серверов бельгийской телекоммуникационной компании Belgacom, которая обеспечивает связь Европарламента. Собственно, утечка произошла благодаря господину Сноудену, и тогда-то мы узнали, что именно британские вирусы жили на серверах и шпионили за европейскими политиками.

Сейчас многие страны пытаются выйти на эту арену, часто официально объявляя о создании неких особых подразделений, занимающихся подобными вопросами. Недавно было заявление со стороны Северной Кореи о том, что они планируют нанять 2 тысячи хакеров. Мы довольно скептически относимся к таким заявлениям, потому что развитие Интернета в Северной Кореи на довольно низком уровне, компьютеров там не так много, а на то чтобы  вырастить программистов, нужны годы. При всем при этом мы не так давно обнаружили атаку, имеющую, судя по всему, северокорейское происхождение.

Ещё не стоит забывать про Иран. Эта страна, конечно же, представляет собой растущую угрозу. После того как Иран долгие годы был жертвой подобных атак, они сейчас решили сами проводить некие ответные акции. Первая успешная акция,  о которой мы знаем, произошла примерно полтора года назад, когда они атаковали одну из европейских компаний. Мы точно знаем, что за этой акцией стоят иранцы. Мы знаем о существовании целого подразделения, которое занимается кибероружием. И они не вирусы пишут, а скорее занимаются хакерскими атаками, взломами сайтов и т.п.

Что касается других стран, то стоит отметить, что сегодня Вьетнам активно стремится в эту сферу. С одной стороны их атакуют китайские хакеры, с другой стороны – западные страны. При этом у Вьетнама хорошая программистская школа. У них даже существует свой национальный антивирус. Думаю, что Вьетнам будет активно развиваться в этом направлении.

 Вопрос - А как же Израиль?

Гостев - Израиль - это вообще отдельная тема. В отношении США, Китая или Великобритании обнаруженная активность базируется на каких-то фактах, артефактах и т.д. В отношении Израиля всё основывается исключительно на предположениях. Ни разу мы не находили ни один израильский IP-адрес, который стоит за атаками, или что-то подобное. С точки зрения логики, геополитики - да, они должны этим заниматься. Но ведь мы должны оперировать какими-то фактами. В отношении Израиля фактов нет. Да, Израиль имеет соответствующие структуры. Да, есть публикации американских журналистов о том, что  Stuxnet создавался США совместно с Израилем и тестировался в Израиле, где на заводе поставили центрифуги, аналогичные иранским - это всё логично. Но технических доказательств нет. Поэтому Израиль мы ставим несколько в стороне. Может быть, Израиль является лидером в подобных угрозах, но это предположение.

Из других горячих точек я бы назвал Индию. Индия в последнее время была замечена в нескольких инцидентах. Одна из индийских компаний, которая является подрядчиком министерства обороны и других госструктур Индии, была замечена в создании вредоносного софта. Это довольно запутанная история. Норвежская антивирусная компания Norman, которая исследовала атаки на норвежские нефтяные компании и на правительство Норвегии, обнаружила вирус, отследила его и заявила, что именно эта индийская компания стоит за ним. Индийцы сейчас подали в суд на Norman. Нам не хочется стать фигурантами иска, но, можно сказать, что у нас тоже есть такие подозрения.

Кроме этого, существует большая группа коммерческих компаний, которые создают троянские программы для шпионажа и продают их правительствам разных стран. Например, итальянская компания Hacking Team создает вирусы и продаёт США и Германии. Недавно в Мексике был арестован один из наркобаронов. И в процессе его поимки  для отслеживания его электронной почты использовалась программа, созданная Hacking Team. С другой стороны, известны случаи использования программ Hacking Team, например, в Марокко, где они задействовались для слежки за представителями оппозиции и за журналистами. Или есть ещё англо-немецкая компания Gamma Group, чьё программное обеспечение используется немецкой полицией. В то же время, когда в Египте произошла революция, и архивы египетской полиции стали доступны, там обнаружились счета на несколько миллионов для Gamma Group на покупку шпионского программного обеспечения,  - понятно, что оно использовалась для слежки за оппозицией.

Можно сделать вывод, что есть страны, которые создают вирусы, и есть компании, которые продают вирусы по всему миру, - даже тем странам, которые не могут их создавать своими силами.