RSSАрмянские хроники (зав. блогом Kornelij)

Главный эксперт "Касперского" Гостев о кибер-войнах в регионе и вообще

13:20, 28 октября 2013

 Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев во время своего приезда дал мне эксклюзивное интервью по вопросам безопасности. Мы обсуждали как локальные вопросы - например армяно-азербайджанские кибер-войны, так и глобальные вопросы, например, разоблачения Сноудена и что из этого вытекает. Интервью очень большое, поэтому разделил его. Итак - часть первая - более армянская и азербайджанская.

Вопрос - Для Армении DDoS-атаки стали актуальны с 2012 года, до этого как-то особо мы не сталкивались с этим. А тут в начале года перед выборами пошли атаки - судя по всему по внутренним заказам. А осенью произошёл обмен атаками с Азербайджаном. Да и в мире число атак растет, цены падают. Не кажется ли вам, что они становятся критически опасными в целом для развития Сети?

Гостев - Я бы не сказал, что DDoS-атаки становятся критически опасными, они уже такими стали. Наиболее громкий пример – это, конечно, 2007 год, когда DDoS-атаки на веб-сайты эстонских правительственных органов практически отключили страну от Интернета. За последние год-два произошло очень резкое увеличение мощностей атак за счет появления новых технологий. Если ещё до прошлого года мы никогда в России не видели атак мощнее 8 Гб, то совсем недавно мы наблюдали уже атаки мощностью 50 Гб. И проблема сейчас заключается именно в этом – в возрастании «ударной силы» DDoS-хакеров.

Почему именно сейчас атаки стали такими мощными? Потому что были обнаружены уязвимости в программном обеспечении DNS-серверов. И до тех пор, пока владельцы всех этих серверов не «проапдейтят» их и не устранят уязвимости, тут ничего нельзя будет сделать. Можно, конечно же, ставить фильтры, увеличивать уровень защиты, но атаки уже доходят до такого масштаба, что владельцы каналов связи при забивании канала «мусорными» запросами могут просто целиком отключить проблемный сегмент. Ресурс, являющийся целью злоумышленников, может и справляется с атакой, но канал просто забивается. Поэтому без  помощи владельцев этих DNS-серверов уже никак не обойтись.

Что касается традиционных атак при помощи ботнетов, которые продаются или сдаются в аренду, то да, цены на них действительно упали значительно. Например, мы не так давно отражали серию DDoS-атак против крупнейших российских банков, и вот ботнет, который атаковал банки, оказался очень небольшим - работало всего порядка 2000 зараженных машин, которые использовали как раз уязвимости DNS-серверов. На чёрном рынке такой ботнет стоит копейки, его может взять любой желающий. И несмотря на скромные размеры этого ботнета ему удалось на несколько часов положить банковские сайты.

Если говорить об Армении, то уместно вспомнить крупный инцидент прошлого года, когда армянские хакеры атаковали азербайджанские сайты и получали ответные атаки. В тот момент из Армении к нам никто не обращался за помощью, а вот из Азербайджана такой запрос поступил. Сайт президента Азербайджана подвергся DDoS-атаке, и нас попросили помочь. Мы буквально в течение нескольких часов обнаружили ботнет, с которого эта атака велась, перехватили доступ к центру управления и «перебросили» его на себя. Сервер управления оказался в Германии и был зарегистрирован на гражданина Украины из города Запорожья. То есть, вероятно, это был как раз тот самый человек, который принял заказ на проведение DDoS-атаки.

Вопрос -А большой был ботнет?

Гостев - 40 тысяч зараженных машин. Я думаю, что эти атаки не велись непосредственно ни армянскими, ни азербайджанскими хакерами. Они обращаются к неким киберпреступникам, к «ботоводам», которые живут в России,  на Украине или, скажем, в Белоруссии. Существует некая единая киберпреступная экосистема. Хакеры стран бывшего Советского Союза продолжают взаимодействовать друг с другом очень плотно. Мы никогда не видели атак на российские ресурсы со стороны, скажем, китайских ботнетов. Они занимаются своими делами в Азии. Судя по всему, мешает языковой барьер. Русскоязычным преступникам очень трудно сделать заказ китайским хакерам - китайцы плохо говорят по-английски или вообще не говорят, а наши соотечественники не понимают иероглифов и т.д.  

Вопрос - Армения впервые столкнулась с крупнейшей DDoS-атакой в сентябре 2012 года, и в будущем нам приходится ожидать новые. Насколько осуществима защита на национальном уровне?

Гостев - Я не берусь давать финансовые оценки. Я не знаю, как организована связь Армении с внешним миром, каковы мощности канала. Но поскольку мощности атак растут, необходимо в любом случае увеличивать мощность канала. И не только из-за DDoS-атак. Сейчас трафик в Интернете тоже растет стремительно. Мы проводили оценку трафика: 70% - это поток из YouTube и различные флеш-приложения. Так что увеличивать мощности надо обязательно. Я думаю, можно обратиться к опыту Эстонии. На момент первой атаки пропускная способность интернет-канала Эстонии была даже меньше пропускной способности какого-нибудь района Москвы. После серии DDoS-атак они стали увеличивать мощности. До этого у них был только канал на Финляндию, который шел через Петербург. Сейчас они построили несколько других путей. В качестве дополнительных мер можно стараться выносить наиболее критические ресурсы вовне, размещать их не на серверах внутри Армении.

Вопрос - Но ведь государственные серверы не вынесешь наружу...

Гостев - Это зависит от ресурса. Если дело касается только информационных ресурсов, то их вполне можно разместить на внешних серверах, особых проблем не будет. А атаки как раз бывают чаще всего именно на эти ресурсы. Что касается почтовых серверов и подобных ресурсов, то злоумышленники часто даже не знают об их существовании, поскольку они не видны.

Вопрос - А теперь вопрос с армянской спецификой. В Армении недавно вышел из заключения хакер, который был осужден за создание и использование ботнета «Бредолаб». Не кажется ли вам, что нашли крайнего? Насколько вероятно, что он один всем «Бредолабом» занимался? Особенно с учётом того, что после его ареста троян «Бредолаб» ещё какое-то время мутировал и существовал в Сети.

Гостев - Не совсем так. Дело в том, что за несколько недель до ареста этот хакер с помощью ботнета «Бредолаб» осуществил DDoS-атаку на сайт «Лаборатории Касперского». Незадолго до атаки, где-то за неделю, мы как раз делали доклад о «Бредолабе» на крупнейшей антивирусной конференции «Вирусбюллетень» – рассказали, как устроен ботнет, как он работает. Хакер, видимо, узнал о нашем докладе из новостей и в отместку атаковал нас. В атаке участвовали 150-180 тысяч ботов. Это был действительно очень крупный ботнет с серверами управления в Голландии и во Франции.

Вопрос -Маленький уточняющий вопрос - про «Бредолаб» пишут, что там было 3 миллиона и даже 30 миллионов зараженных машин. Насколько это близко к истине?

Гостев - На момент задержания в нём было около 180 тысяч машин. Возможно, что за все время существования «Бредолаба» через него прошло 3 миллиона машин. Ведь как всё происходит: машина заражается, потом лечится, тогда заражается другая и так далее.

Что касается вопроса «не нашли ли крайнего» - судя по информации, которая у меня есть, именно этот человек занимался «Бредолабом». Вероятнее всего, он купил код троянской программы, а те программисты, которые создали и продали ему этот код, просто продолжали над ним работу.

Такая ситуация не является особенной. Сегодня услуги по созданию троянских программ довольно распространены. Весной этого года на Украине была совместная операция российской ФСБ и украинской Госбезопасности, в ходе которой были арестованы порядка 20 человек, причастных как раз к созданию подобных программ. В данном случае речь шла о банковском троянце Carberp, который стал головной болью российских и украинских банков. Эта группа создавала и продавала троян, да и сама крала с его помощью деньги. А схема работы этой группы выглядела максимально прозрачной: была создана совершенно легальная софтверная компания, с юридическим адресом, с генеральным директором. Многие программисты, которые создавали Carberp, даже и не подозревали, что они создают троян – они думали, что работают над безобидным модулем какой-то программы. В мае состоялся суд над 6 из них, над самыми безобидными, которые получили условные сроки. А основные фигуранты дела пока ждут суда. Проблема в том, что некоторые из преступников являются гражданами России, и РФ требует их выдачи.  Так вот, после того, как все причастные к трояну Carberp люди были арестованы, через месяц в Сети в открытом доступе появился архив Carberp. Причем архив этот появился в Интернете явно с компьютера одного из арестованных программистов. Каким образом этот архив утек - вопрос к украинской полиции. Но в результате код находится в открытом доступе, и теперь любой может модифицировать его и работать над ним.