Шпионская история

Previous Entry Поделиться Next Entry
10 июня, 2015
e_kaspersky
“Прибежали в избу дети,
Второпях зовут отца,
«Тятя, тятя, наши сети...»


Итак, наши сети вытащили... нет, не мертвеца, а вполне себе живчика. И не просто «живчика», а мегапродвинутого зловреда. Сложнейшую шпионскую атаку, по уровню превосходящую всё, ранее нам известное. Этакий кибермонстр, помесь ксеноморфа с терминатором, да заодно и с «хищником» - поскольку тварь эта не только агрессивная, всепроникающая, неубиваемая – но заодно еще и практически абсолютно невидимая.

Итак, мы поймали киберзмейгорыныча международного масштаба, причём не где-нибудь, а в довольно неожиданном месте – в нашей собственной корпоративной сети. Вот такой сюрприз!


(с)

Ну, естественно, началось расследование и шло круглые сутки несколько месяцев подряд (быстрее невозможно – уж слишком сложный и профессиональный «живчик» оказался). Но есть и хорошая новость: с нашими продуктами, сервисами, базами данных, клиентскими данными все в порядке, никаких рисков для клиентов нет. Негодяи смогли подсмотреть только за нашими разработками и текущими расследованиями. И я до сих пор не понимаю, зачем им это было надо.

Может быть, они были абсолютно уверены, что поймать эту шпионскую программу невозможно, потому что малварь использовала сразу несколько зеро-деев и фактически живет только в оперативной памяти. Но, это же, извините, идиотизм атаковать своей невиданной малварью компанию с лучшими технологиями и специалистами по отлове малвари! Мы прикинули, что стоимость разработки и поддержания этой шпионской системы легко могла быть несколько десятков миллионов US-долларов. Теперь мы ее детектируем, оповестили весь мир, как ее ловить. Люди разменяли свою с иголочки хай-тек шпионскую систему, и на что? Да почти ни на что.

Как любая компания в мире иногда становимся жертвой самых обычной киберпреступности. Кто-то из сотрудников (просто по роду занятий – общаясь с новыми партнёрами и клиентами) кликнет на что-либо очень свежее зловредное, пока еще не попавшее к нам в базы - заражается. Через минуту-другую это будет задетекчено, заблокировано, изолировано и вычищено. Ущерб нулевой или минимальный, если не считать времени айтишников.

Также нам время от времени пытаются валить вебсайты. С этим живут очень многие, ничего страшного, ничего особенного. Фильтруем трафик, чистим негодяйские запросы, сайты работают.

В общем, все как у всех, кроме того что в нашем случае киберпреступники иногда еще атакуют нам, чтобы отомстить. Мы так живем давно, мы к этому привыкли.
Мы предполагали, что возможны сложные атаки организованной киберпреступности на наш, например, финансовый департамент. Это реалистичный сценарий, к которому мы готовились.

А вот атака на интеллектуальную собственность была для нас непредсказуемым и непредсказанным сценарием. Мы не могли представить, что есть силы, которые настолько заинтересованы в наших технологиях, что пойдут на риск (и на преступление) атаки на ведущую компанию в области ИТ-безопасности. Это бессмысленно, это дорого, да при самом лучшем для атакующих сценарии – это все равно будет достаточно быстро обнаружено.

Мы, кстати, традиционно никогда не говорим, кто может стоять за такой атакой. Это дело правоохранительных органов хотя бы потому, что в киберреальности заметать следы относительно просто и аттрибуция затруднена. И вот у меня главный вопрос: а зачем они это сделали?

Возможно, цель этого технологического шпионажа – помочь своим разработкам. Как в докомпьютерное время в фильмах про шпионов: пробрался к объекту за колючей проволокой и охраной с собаками, сфотографировал на микропленку все кульманы и ватманы с чертежами, засунул пленку в тайник под камень в парке, и ученые дома, получив чертежи, сидят и думают, что же там вообще нарисовано, и как из этого собрать новейшую ракету. Но с софтвером это имеет очень мало смысла, все хорошие разработки – они живые, они постоянно модифицируются и быстро устаревают. Пробуются новые технологии, новые идеи, патчатся баги, именно поэтому мы (и большинство других софтверных компаний) все время апдейтим свои продукты.

Если украсть какой-нибудь хитрый образец сплава, можно его проанализировать и даже придумать, как делать такой же. Но понять, почему он именно такой нужен в этой конкретной ситуации, очень сложно. Главное в технологии не код, не сплав, не формула, а люди, которые этой технологией занимаются. Особенно это актуально в мире софта, где все так быстро меняется.

Возможно, они хотели понять, как работает наша компания, что у нас внутри. Но есть масса законных способов познакомиться с нами поближе, по атакованным подразделениям мы водим экскурсии, от школьников до просто друзей, наши разработчики ездят и выступают на конференциях. Конечно, у нас есть технологические тайники и секретики, это живые проекты и для нас это бизнес на конкурентном рынке. Но мы открытая компания, сидим в стеклянном офисе. Заглядывайте, только тарелки не надо бить!

Почти 100% новой малвари мы детектируем автоматически, если люди хотели разобраться в том, как работает наше облако и алгоритмы, то это достойная, хотя и не очень реалистичная цель. Но эти негодяи, к сожалению, выбрали чуть ли не самую кривую и неудобную дорожку, чтобы этой цели достичь. Если подглядывать в дырочку за стартовой турбиной космического корабля, то разобраться во всех аспектах ее работы будет непросто.

Я не исключаю и чисто спортивного интереса, может быть, мы им наступали на мозоли уже, ну или просто решили попробовать силы на нас. Ну молодцы, попробовали, вряд ли им это понравилось.

В общем, я не понимаю, зачем и почему была организована эта атака, которая стоила очень значительных ресурсов при очень высоких рисках и с крайне низким КПД.
Самый разумный путь, чтобы получить доступ к нашим технологиям – это стать (или хотя бы притвориться) технологической компанией и лицензировать у нас наши ноу-хау, что мы с радостью готовы делать с любой степенью детализации. Наши сотрудники еще и все объяснят, покажут и помогут наладить.

Мы в случае необходимости открываем исходный код наших продуктов, если речь идет о большом, например, государственном контракте, и покупатель хочет провести аудит и убедиться, что там в коде нет ничего незадокументированного. Мы открытая и дружелюбная компания, которая ценит и любит своих клиентов и партнеров.

В общем, этот взлом научил нас новому, как защищать наших клиентов от угроз фактически нового поколения. Спасибо за урок, он поможет стать нам еще более сильными и технологически продвинутыми. Что только позитивно скажется на уровне защиты наших партнёров и клиентов.

А в завершение надо придумать какую-нибудь забойную концовку… Ага, сейчас… Вот:
Воровать технологии у частной айти-секюрити компании – это не только подлость, но и жадность.

Paolo_Uccello_047b
«Битва святого Георгия с драконом» (Паоло Уччелло, ок. 1456 года) 

Полезные ссылки:
Пресс-релиз
Сухие технические подробности о киберчудовище на английском – тыц
Пропатченный зеро-дей Микрософт
Что пишет Шпигель, Уолл-Стрит Джорнел, Арс Техника, Wired (все на английском)



Previous Entry Поделиться Next Entry

Последние записи в журнале


Страница 1 из 2
<<[1] [2] >>
Реклама?
А, был ли мальчик? (с)
Серьёзно, почему на год и на один ПК не сделаете лицензию?

думаю, искали тот самый исходный код, который открывается только для госконтрактов, на предмет нахождения в нем дыр, которые можно было бы использовать


Тятя! тятя! Наши дети
Мертвецов стреляют в Сети!

А Вы сами как думаете?

dimrych

2015-06-10 15:04 (UTC)

зачем было тратить миллионы УСА-долларов для написания этой малвари?

И второй вопрос: миллионы постоянно скачиваемых сигнатур обозначают миллионы появившихся вирусов за день, а то и два раза в день? Хакерам нечего делать?

Re: А Вы сами как думаете?

ardalio

2015-06-10 19:11 (UTC)

скорее всего цели были совершенно другие. и они были достигнуты.
а касперу его подбросили по принципу "чё зря пылится, пусть ещё поработает".

(Удалённый комментарий)
Сами написали, сами поймали, сами сообщили в соцсетях.Ничего нового

Это означает, что вы обнаружили только часть кибергорыныча, остальное осталось в вашей сети.

На виртуальные преступления не действует УК?

pravdoiskanie

2015-06-10 15:29 (UTC)

Почему не оторвут преступникам: хвосты, копыта, и ветвистые рога?

Сворованную информацию куда он посылал?

То есть, высококвалифицированные злоумышленники были настолько мотивированны, что за миллионы долларов запупыжили зловреда антивирусной компании и не запупыжили ей внутреннего нарушителя - инсайдера за мзду малую? Бросьте...

Правильно я понимаю, что цели атаки остались неизвестны?

Интересное вокруг.
Как поймали, если не секрет? Никто ж до вас не изловил. Да и вы, я так понял, не сразу спохватились..

в этом ключе вспомнил про закладки в сетевых карточках и роуторах
надеюсь, вы в этом плане подготовлены

Edited at 2015-06-10 18:49 (UTC)

(Удалённый комментарий)

Re: Очередной выстрел себе в ногу, Женик :)))

khanid

2015-06-10 20:59 (UTC)

Антивирус - не панацея от всего.
Наверно, эту фразу я повторяю чаще всего.
На 100% ничто не защитит.
Тем более если действительно 0-day.

Страница 1 из 2
<<[1] [2] >>
?

Log in

No account? Create an account