Евгений Касперский (e_kaspersky) wrote,
Евгений Касперский
e_kaspersky

Categories:

Шпионская история

“Прибежали в избу дети,
Второпях зовут отца,
«Тятя, тятя, наши сети...»


Итак, наши сети вытащили... нет, не мертвеца, а вполне себе живчика. И не просто «живчика», а мегапродвинутого зловреда. Сложнейшую шпионскую атаку, по уровню превосходящую всё, ранее нам известное. Этакий кибермонстр, помесь ксеноморфа с терминатором, да заодно и с «хищником» - поскольку тварь эта не только агрессивная, всепроникающая, неубиваемая – но заодно еще и практически абсолютно невидимая.

Итак, мы поймали киберзмейгорыныча международного масштаба, причём не где-нибудь, а в довольно неожиданном месте – в нашей собственной корпоративной сети. Вот такой сюрприз!


(с)

Ну, естественно, началось расследование и шло круглые сутки несколько месяцев подряд (быстрее невозможно – уж слишком сложный и профессиональный «живчик» оказался). Но есть и хорошая новость: с нашими продуктами, сервисами, базами данных, клиентскими данными все в порядке, никаких рисков для клиентов нет. Негодяи смогли подсмотреть только за нашими разработками и текущими расследованиями. И я до сих пор не понимаю, зачем им это было надо.

Может быть, они были абсолютно уверены, что поймать эту шпионскую программу невозможно, потому что малварь использовала сразу несколько зеро-деев и фактически живет только в оперативной памяти. Но, это же, извините, идиотизм атаковать своей невиданной малварью компанию с лучшими технологиями и специалистами по отлове малвари! Мы прикинули, что стоимость разработки и поддержания этой шпионской системы легко могла быть несколько десятков миллионов US-долларов. Теперь мы ее детектируем, оповестили весь мир, как ее ловить. Люди разменяли свою с иголочки хай-тек шпионскую систему, и на что? Да почти ни на что.

Как любая компания в мире иногда становимся жертвой самых обычной киберпреступности. Кто-то из сотрудников (просто по роду занятий – общаясь с новыми партнёрами и клиентами) кликнет на что-либо очень свежее зловредное, пока еще не попавшее к нам в базы - заражается. Через минуту-другую это будет задетекчено, заблокировано, изолировано и вычищено. Ущерб нулевой или минимальный, если не считать времени айтишников.

Также нам время от времени пытаются валить вебсайты. С этим живут очень многие, ничего страшного, ничего особенного. Фильтруем трафик, чистим негодяйские запросы, сайты работают.

В общем, все как у всех, кроме того что в нашем случае киберпреступники иногда еще атакуют нам, чтобы отомстить. Мы так живем давно, мы к этому привыкли.
Мы предполагали, что возможны сложные атаки организованной киберпреступности на наш, например, финансовый департамент. Это реалистичный сценарий, к которому мы готовились.

А вот атака на интеллектуальную собственность была для нас непредсказуемым и непредсказанным сценарием. Мы не могли представить, что есть силы, которые настолько заинтересованы в наших технологиях, что пойдут на риск (и на преступление) атаки на ведущую компанию в области ИТ-безопасности. Это бессмысленно, это дорого, да при самом лучшем для атакующих сценарии – это все равно будет достаточно быстро обнаружено.

Мы, кстати, традиционно никогда не говорим, кто может стоять за такой атакой. Это дело правоохранительных органов хотя бы потому, что в киберреальности заметать следы относительно просто и аттрибуция затруднена. И вот у меня главный вопрос: а зачем они это сделали?

Возможно, цель этого технологического шпионажа – помочь своим разработкам. Как в докомпьютерное время в фильмах про шпионов: пробрался к объекту за колючей проволокой и охраной с собаками, сфотографировал на микропленку все кульманы и ватманы с чертежами, засунул пленку в тайник под камень в парке, и ученые дома, получив чертежи, сидят и думают, что же там вообще нарисовано, и как из этого собрать новейшую ракету. Но с софтвером это имеет очень мало смысла, все хорошие разработки – они живые, они постоянно модифицируются и быстро устаревают. Пробуются новые технологии, новые идеи, патчатся баги, именно поэтому мы (и большинство других софтверных компаний) все время апдейтим свои продукты.

Если украсть какой-нибудь хитрый образец сплава, можно его проанализировать и даже придумать, как делать такой же. Но понять, почему он именно такой нужен в этой конкретной ситуации, очень сложно. Главное в технологии не код, не сплав, не формула, а люди, которые этой технологией занимаются. Особенно это актуально в мире софта, где все так быстро меняется.

Возможно, они хотели понять, как работает наша компания, что у нас внутри. Но есть масса законных способов познакомиться с нами поближе, по атакованным подразделениям мы водим экскурсии, от школьников до просто друзей, наши разработчики ездят и выступают на конференциях. Конечно, у нас есть технологические тайники и секретики, это живые проекты и для нас это бизнес на конкурентном рынке. Но мы открытая компания, сидим в стеклянном офисе. Заглядывайте, только тарелки не надо бить!

Почти 100% новой малвари мы детектируем автоматически, если люди хотели разобраться в том, как работает наше облако и алгоритмы, то это достойная, хотя и не очень реалистичная цель. Но эти негодяи, к сожалению, выбрали чуть ли не самую кривую и неудобную дорожку, чтобы этой цели достичь. Если подглядывать в дырочку за стартовой турбиной космического корабля, то разобраться во всех аспектах ее работы будет непросто.

Я не исключаю и чисто спортивного интереса, может быть, мы им наступали на мозоли уже, ну или просто решили попробовать силы на нас. Ну молодцы, попробовали, вряд ли им это понравилось.

В общем, я не понимаю, зачем и почему была организована эта атака, которая стоила очень значительных ресурсов при очень высоких рисках и с крайне низким КПД.
Самый разумный путь, чтобы получить доступ к нашим технологиям – это стать (или хотя бы притвориться) технологической компанией и лицензировать у нас наши ноу-хау, что мы с радостью готовы делать с любой степенью детализации. Наши сотрудники еще и все объяснят, покажут и помогут наладить.

Мы в случае необходимости открываем исходный код наших продуктов, если речь идет о большом, например, государственном контракте, и покупатель хочет провести аудит и убедиться, что там в коде нет ничего незадокументированного. Мы открытая и дружелюбная компания, которая ценит и любит своих клиентов и партнеров.

В общем, этот взлом научил нас новому, как защищать наших клиентов от угроз фактически нового поколения. Спасибо за урок, он поможет стать нам еще более сильными и технологически продвинутыми. Что только позитивно скажется на уровне защиты наших партнёров и клиентов.

А в завершение надо придумать какую-нибудь забойную концовку… Ага, сейчас… Вот:
Воровать технологии у частной айти-секюрити компании – это не только подлость, но и жадность.

Paolo_Uccello_047b
«Битва святого Георгия с драконом» (Паоло Уччелло, ок. 1456 года) 

Полезные ссылки:

Пресс-релиз

Сухие технические подробности о киберчудовище на английском – тыц

Пропатченный зеро-дей Микрософт

Что пишет Шпигель, Уолл-Стрит Джорнел, Арс Техника, Wired (все на английском)





Tags: cyber criminal, it industry, malware
Subscribe

Recent Posts from This Journal

  • Кадрин и Шабаш, день чудесный.

    В нашей алтайской экспедиции снова наступило утро! :) Радостное солнышко, голубое небо, пляж с мягким и тёплым песочком, разноцветная речка. Вот бы…

  • Попрыжки по Ильгуменю.

    По ходу движения плавания нашей алтайской экспедиции мы идём всё ниже и ниже по Катуни и вот уже достигли порога Ильгумень. Вот он,…

  • Новости нашего офиса.

    Внимание, внимание! Говорит и показывает Ленинградское шоссе, д.39А, строение 2! :) Что-то давно не было новостей из нашего московского офиса...…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 28 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →