Апошнюю DDoS-атаку на сайт дзяржоргана адбівалі 3 гадзіны
Як заўважыць таргетаваную атаку, чаму ў Беларусі былі праблемы доступу да пошуку Google, распавядаюць спецыялісты нацыянальнага CERT.
У Беларусі з'явіўся Нацыянальны цэнтр рэагавання на камп’ютарныя інцыдэнты (CERT). Расказаць, чым займаецца CERT, у студыю Еўрарадыё прыйшлі в.а. кіраўніка Анатоль Мацвееў і тэхнічны спецыяліст Віктар Гурын.
Як выглядае ваша праца? З якімі праблемамі працуе CERT?
Анатоль Мацвееў: У першую чаргу гэта атакі, звязаныя з адмовай у абслугоўванні абсталявання, так званыя DDoS-атакі. З-за іх кампаніі нясуць дастаткова сур'ёзныя страты.
Таксама мы працуем з такімі пагрозамі, як перахоп і падмена трафіку, фішынг, размяшчэнне канфідэнцыйнай інфармацыі ў сеціве, узлом, вірусныя атакі. Дзейнасць цэнтра ў першую чаргу накіраваная на рэагаванне на знешнія атакі.
Вы аказваеце дапамогу ўсім?
Анатоль Мацвееў: На этапе станаўлення CERTа для нас вельмі важна гарантаваць бяспеку функцыянавання інфармацыйных структур дзяржорганаў, але мы адкрытыя для аказання дапамогі іншым суб'ектам.
Хакеры атакавалі амерыканскія фінансавыя ўстановы праз ўзламаныя беларускія серверы
З якімі буйнымі атакамі вы сутыкаліся і на каго яны распаўсюджваліся?
Віктар Гурын: Як прыклад, адзін з выпадкаў, які адбыўся ў мінулым годзе. Тады праводзіліся атакі на міжнародныя фінансавыя ўстановы. Атакі ішлі з сервераў у розных краінах, у тым ліку, з Беларусі.
З намі звязаліся прадстаўнікі амерыканскіх фінансавых структур. У кааперацыі з імі мы выявілі пагрозы, якія ішлі з нашага боку — сервера і правайдэраў, якія валодаюць імі. Праз правайдэраў мы змаглі заблакаваць пагрозу з нашага боку. Дзеянні, якія распачалі мы, амерыканцы спрабавалі прымяніць у іншых краінах. Не ведаю, як там, але з беларускага сегмента атакі спыніліся.
Якім чынам былі заражаныя беларускія серверы?
Віктар Гурын: Як і ў большасці атак падобнага роду, адбыўся "прабіў" CMS (сістэмы кіравання сайтам). Зламыснікі змаглі атрымаць несанкцыянаваны доступ да сервера. Сервер, у адрозненне ад звычайнага камп’ютара, мае большы канал, якім ён можа атакаваць. Таму можна мець бот-сетку з некалькіх сотняў тысяч кампутараў ці толькі з некалькіх сервераў.
Калі знаходзіцца слабасць нейкай CMS, то карыстальнікі, у якіх гэтая CMS стаіць, рэдка сочаць за зменамі, і могуць не ведаць, што іх CMS прабілі. А сусветная крымінальная супольнасць выкарыстоўвае гэтую магчымасць, і імкнецца заразіць максімальную колькасць сервераў. Яны кладуць туды свае скрыпты, так званыя бэкдор, якія могуць выкарыстоўваць пры неабходнасці. Бывае, што сайт заражаюць, ён працуе, як працаваў, але праз паўгода-год нібыта ўжо і слабае месца закрытае, а бэкдор застаўся. Магчымасць у хакера выкарыстоўваць гэты сервер засталася. Тое ж было ў гэтым выпадку.
Якая CMS выкарыстоўвалася?
Віктар Гурын: У дадзеным выпадку ідзе гаворка пра joomla. Гэта бясплатная CMS, яна вельмі папулярная.
Па статыстыцы, самая папулярная сістэма кіравання ў Беларусі.
Віктар Гурын: Чым больш папулярная сістэма, тым больш яна схільная да з'яўлення слабых месцаў. Заведзена лічыць, што Linux менш заражаюцца, але гэта не так. Проста яго не мае сэнсу заражаць, таму што велізарная колькасць людзей выкарыстоўваюць Windows.
Няма сэнсу крымінальнай супольнасці укладваць грошы ў распрацоўку вірусаў пад вельмі вузкі клас аперацыйных сістэм. Так і з CMS.
Міжнародныя хакеры атакавалі беларускія інстытуты
Вы працавалі з "Лабараторыяй Касперскага" пасля буйной атакі, ад якой пацярпелі беларускія арганізацыі?
Віктар Гурын: Дадзеная пагроза была названая "Лабараторыяй Касперскага" "Чырвоны Кастрычнік". Кампаніяй была апублікаваная падрабязная справаздача. У справаздачы прыводзяцца звесткі пра тое, што пацярпелі ў першую чаргу дыпламатычныя агенцтвы, нафтавая галіна ў розных краінах, у першую чаргу, у Расіі і іншых краінах СНД. Таксама некаторыя навукова-даследчыя інстытуты, якія паспяхова займаюцца перадавымі тэхналогіямі.
Гэтую атаку аднеслі да прамысловага шпіянажу, што, напэўна, правільна. У такіх выпадках выяўленне заказчыка — досыць спецыфічная задача. Часцей за ўсё ланцужок прыводзіць на серверы, і казаць пра іх прыналежнасць да той ці іншай краіны можна толькі ўскосна.
Сумесна з “Лабараторыяй Касперскага” мы выявілі некалькі экземпляраў гэтага віруса. Спачатку мы правялі першасны аналіз, затым “Касперскі”. Мы абменьваліся і статыстычнай інфармацыяй, і канкрэтнымі выяўленымі функцыямі дадзенага віруснага праграмнага забеспячэння.
Мы не можам сказаць, што вырашылі гэтую праблему самастойна, але сумесна была праведзеная вялікая праца.
Хто пацярпеў у Беларусі?
Віктар Гурын: У Беларусі, як і ў большасці краін СНД, былі заражаныя некаторыя інстытуты. Мы іх паспяхова на працягу месяца вылечылі і ліквідавалі пагрозу ў навуковым сегменце. Тут неабходна адзначыць, што інстытутам і дзяржустановам мы не толькі рэкамендуем, як лячыць, але і працуем сумесна. Прыватным кампаніям мы толькі рэкамендуем, рашэнне яны прымаюць самастойна.
Можна сказаць, што дадзеная пагроза ў Беларусі была паспяхова пераадоленая.
Чаму ў Беларусі былі праблемы з пошукам Google?
Апошнім часам многія беларускія карыстальнікі сутыкнуліся з праблемай доступу да пошуку Google. Гэта сапраўды з-за спаму, які рассылаецца з нашай краіны?
Віктар Гурын: Не раз адзначалася ў мінулым годзе, што Беларусь выходзіла на лідзіруючыя пазіцыі па спам-рассылцы. Але тут трэба разумець некаторыя рэчы. Па-першае, як працуюць сістэмы лоўлі спаму. Яны ў кожнай кампаніі розныя. Антывірусныя кампаніі пацвярджалі, што Беларусь не мае высокага рэйтынгу па спаме. Сам па сабе спам, як вірусная пагроза, не быў развіты ў Беларусі. Але пры працы з правайдарамі, якія адсочваюць ў першую чаргу правільныя наладкі сервераў, спам займаў высокі рэйтынг. У першую чаргу, гэта было звязана з не зусім правільнай наладкай паштовых сервераў некаторых нашых суб'ектаў.
Анатоль Мацвееў: Спам — гэта вялікая колькасць незапрошваемых адпраўленых паведамленняў, што кліентам, хутчэй за ўсё і не робіцца. Заражаецца камп’ютар карыстальніка, і ён робіцца крыніцай спаму.
Адзін са шляхоў вырашэння праблемы спаму — гэта прапаганда камп’ютарнай бяспекі. Не ўсе карыстаюцца легальнымі антывірусамі.
У гэтым выпадку мы праводзілі працу з правайдарамі, тлумачылі, як аптымальна наладзіць абсталяванне. Але хацеў бы падкрэсліць, што, напэўна, праблема больш за ўсё ўзнікае з-за пэўнага карыстальніка, які і з'яўляецца крыніцай спаму.
Апошнюю DDoS-атаку на сайт дзяржоргана адбівалі тры гадзіны
Дзень вашай працы, калі здараецца нешта сур'ёзнае?
Анатоль Мацвееў: Праца CERTа заключаецца ва ўдасканаленні заявак, якія да нас паступаюць. У нас створаныя праграмна-апаратныя рашэнні, якія прымаюць заяўку і ставяць на кантроль. У залежнасці ад таго класа пагрозы: шкоднае ПЗ, DDoS-атака, спам або ўцечка інфармацыі, падключаюцца розныя групы людзей, якія спецыялізуюцца ў гэтым пытанні.
Заяўка паступае да канкрэтнага спецыяліста, у якога ёсць выразны рэгламент адпрацоўкі гэтай заяўкі. Ён ведае, які ўзровень небяспекі па гэтай заяўцы.
DDoS-атака, накіраваная на дзяржорган — гэта "жывая" праблема. Чым даўжэй яна будзе існаваць, тым больш праблем будзе ў гэтай кампаніі або дзяржоргана. Такую атаку адносяць да аранжавага ўзроўню. Далей пачынаецца ўзаемадзеянне з правайдарам, праз якога аказваюцца паслугі. Сродкі для класіфікацыі атак і рэагаванне на іх дазваляюць бачыць аператару бягучы стан спраў.
Аналіз інфармацыі дазваляе аператару сфармаваць свае далейшыя крокі і прапанаваць кіраўніку алгарытм працы для ліквідацыі пагрозы.
Ёсць атакі, якія можна хутка лакалізаваць. Ёсць такія, якія патрабуюць скрупулёзнага расследавання, адсочвання ланцужка, таму што камп’ютарная бяспека — гэта транснацыянальная праблема, і Беларусь часта бывае уцягнутым суб'ектам.
Гэта карпатлівая і вельмі цікавая праца, якая прыносіць вынік.
А хто звычайна стаіць у канцы ланцужка?
Анатоль Мацвееў: Вы ведаеце пра шэраг апошніх падзей у Расеі, там атакавалі буйныя парталы — "Яндэкс", "Аднакласнікі", кампаніі, такія як "Аэрафлот". Тут маюць дачыненне, напэўна, канкурэнты, тыя людзі, якім выгадна знізіць ролю кампаніі і атрымаць за кошт гэтага нейкія дывідэнды.
У Беларусі каго атакуюць?
Віктар Гурын: Калі адбываюцца нейкія навінныя ўсплёскі на сайтах, то тыя сайты і атакуюць, хутчэй за ўсё, гэта робяць канкурэнты. Трэба разумець, што ёсць выканаўца і заказчык. Да заказчыка прыйсці інфармацыйнымі і тэхналагічным метадамі практычна не магчыма. Таму што гэта можа рабіцца і па тэлефанаванні ці іншым спосабам.
Выканаўца ж заражае сервер, робіць бот-сетку і сістэму кіравання. Крымінальная супольнасць пайшла па падзеле працы і робіць гэта вельмі прафесійна. Часта нават выяўленне адной з падгруп не можа прывесці да раскрыцця ўсёй групы. Калі праваахоўныя органы не могуць неяк пераканаць адну з груп зламыснікаў выдаць іншую.
Калі будзе атака на сайт Еўрарадыё, я магу да вас звярнуцца, і чым вы дапаможаце?
Віктар Гурын: Звярнуцца вы, вядома, можаце. Наша дапамога будзе складацца ў тым, што мы наяўнымі тэхнічнымі мерамі будзем старацца зменшыць на вас “плячо” атакі. Таксама мы будзем ўзаемадзейнічаць з тымі краінамі і іх CERT’амі, якія адказваюць за крыніцу атакі.
А як можна абараніцца?
Віктар Гурын: На самай справе, у свеце ёсць некалькі тэхнік для размеркавання плыні дадзеных, зрабіць яё не адной моцнай, а разбіць на шмат ручайкоў. Тэхнічныя рашэнні, якія прымяняюцца ва ўсім свеце і намі таксама рэалізаваны, але мы стараемся рабіць свае, аднак, на жаль, тэхнічныя сакрэты не зможам вам раскрыць.
Анатоль Мацвееў: Ёсць тэхнічныя рашэнні, практычна, у выглядзе скрынкавага вырабу, правайдар можа браць на сябе дадатковыя абавязацельствы па абароне. Практыка абароны досыць шматгранная, і ўсё залежыць ад магчымасцяў хостынг-правайдэра і вашай кампаніі.
Вы казалі, што DDoS-атака на сайт дзяржоргана — гэта аранжавы ўзровень, а што чырвоны?
Анатоль Мацвееў: Аранжавы ўзровень — гэта вельмі сур'ёзна, але ёсць рэсурсы, якія дэ-факта знаходзяцца ў чырвоным полі. Якія маюць самае важнае значэнне ў межах нацыянальнай бяспекі і інтарэсаў краіны. Я думаю, што ўсе выдатна разумеюць, якія гэта рэсурсы.
Які сайт апошні раз атакавалі ў Беларусі?
Віктар Гурын: Апошняя атака, з якой мы працавалі, была ўчора. Яна праводзілася з 14.00 і доўжылася некалькі гадзін. Мы падключыліся не адразу, таму што нас не адразу абвясціў аб'ект атакі.
На працягу 2-3 гадзін мы паспяхова адлюстроўвалі гэтую атаку, пасля чаго зламыснікі, разумеючы, што атака не ўдалася, яе прыпынілі, магчыма, каб распрацоўваць новыя метады. Ці ў іх скончыліся грошы. Як вядома, DDoS — гэта пэўная сума за гадзіну на канал. Колькі заплацілі, столькі яны і "досяць".
За таргетаванымі атакамі стаяць сур'ёзныя структуры
Якія яшчэ ёсць пагрозы?
Анатоль Мацвееў: На вастрыі цяпер праблема шкоднага праграмнага забеспячэння. Яе можна падзяліць на два віды: калі заражаюцца усе карыстальнікі і задача максімальнага ахопу, і "набору кліентуры" для наступнай працы. З гэтым паспяхова спраўляюцца антывірусныя кампаніі. Але ёсць яшчэ адна праблема, атакі як "Чырвоны Кастрычнік", Flame, Duqu, Stuxnet — таргетаваныя атакі, то бок мэтавыя атакі. Тут вірус пішацца пад канкрэтнага карыстальніка і сістэму.
На слыху прыклад Stuxnet, калі была адкінутая назад праграма атамнай энергетыкі Ірана. Гэтая атака была накіраваная на абсталяванне Simens, на базе якога функцыянавалі цэнтрыфугі.
Антывірусы працуюць з інтэрвалам затрымкі. Пакуль вірус не будзе ўнесены ў базу, пакуль не адбудзецца абнаўленне — да таго часу антывірус ня будзе дэтэктаваць дадзеную пагрозу. Калі мы кажам пра мэтавую атаку, мы разумеем, што гэта атака па адным аб'екце і траплянне ў антывірусную базу малаверагоднае.
А як яе паглядзець?
Віктар Гурын: На жаль, гэтую атаку заўважаюць, калі яна ўжо прайшла. Той жа "Чырвоны Кастрычнік" існаваў мінімум 2-3 гады. Ён стабільна "жыў", "працаваў" і адпраўляў дадзеныя ў цэнтр кіравання.
Як абараніцца ад таргетаванай атакі?
Віктар Гурын: Трэба разумець, што спосаб, які выкарыстоўваецца пры заражэнні, антывіруснымі кампаніямі не можа быць адсочаны. Тут выкарыстоўваюцца zero-day слабасці. Тыя слабасці, пра якія не вядома ні распрацоўніку, ні іншым. Яны каштуюць велізарных грошай на крымінальным рынку IT.
Адзін з такіх вірусаў выкачаў на сервер кіравання некалькі пектабайт дадзеных. Такія магутнасці не кожны дата-цэнтр можа ў сабе захоўваць. Гэта былі фарматы дакументаў, па ўсёй бачнасці, праводзіўся вельмі маштабны аналіз.
Анатоль Мацвееў: За падобнымі атакамі стаяць сур'ёзныя структуры, якія не проста могуць дазволіць сабе стварыць падобнага кшталту вірус, але і могуць апрацаваць інфармацыю.
У спаме 5-10% вірусаў, адкрыўшы заражаны файл, можна доўга не заўважаць заражэння
Як сябе абараніць ў гэтай сітуацыі?
Віктар Гурын: У вас на сайце паказаны ваш e-mail. Ён, хутчэй за ўсё, трапіў у базу спаму. У спаме па статыстыцы "Лабараторыі Касперскага" 5-10% вірусаў. Гэта добрая сітуацыя. У стандартнай сітуацыі ў вашым спаме вам імкнуцца падсунуць вірус, і ваш браўзер можа аўтаматычна загрузіць спасылку. Можа выкарыстоўвацца сацыяльная інжынерыя, калі вас папросяць адкрыць файл, а вы не захочаце адмовіць. Могуць даслаць ліст з падробленым адрасам ад вашага сябра. Яго вы, хутчэй за ўсё, адкрыеце, не разважаючы. Калі гэта таргетаваная атака, то даведацца адрас вашага сябра не складана. Падрабіць адрас адпраўніка таксама магчыма. Адпраўнік можа выкарыстоўваць zero-day слабасць таго ж Word. Вы яго адкрыеце, вы заразіцеся, але нічога не заўважыце, і будзеце працаваць з дакументам, як быццам ён сапраўды валідны.
Як гэта заўважыць?
Віктар Гурын: Калі вам прыйшло паведамленне, і вы разумееце, што яно нестандартнае, не павінна было прыйсці ці занадта цікавае, то лепш не адчыняць. Лепш такія лісты пераслаць да нас на скрыню, альбо прааналізаваць праз адкрытыя крыніцы ў інтэрнэце.
Ёсць сайт virustotal.com, які агрэгуе базы 44 антывірусных кампаній, там можна праверыць файл на наяўнасць віруса. Але ў таргетаваных атаках нават ён, хутчэй за ўсё, не ўбачыць вірус.
Можна выкарыстаць спецыяльны сэрвіс, або "пясочніцы", у якіх можна адсачыць удалена, што адбылося з вашай сістэмай.
Таксама можна пастаянна рабіць аналіз вашай сістэмы не на наяўнасць вірусаў, а на наяўнасць анамалій. Любая анамалія, выяўленая ў вашай сістэме, ускосна паказвае на тое, што вас, хутчэй за ўсё, заразілі.
Мы распрацавалі ўтыліту, якая параўноўвае стан сістэм. Нейкі стан бярэ за базавую, і ўсе параметры параўноўвае. Гэта могуць быць змены ў драйверах, у рэестры, бібліятэках. Змены, якія памянялі структуру, тое, чаго першапачаткова не было, Аўтазагрузка загрузіць любы файл або ў вашай бібліятэцы з'явілася функцыя, якой не было і не павінна было з'явіцца.
Спампаваць такую праграму можна?
Ёсць падобныя ўтыліты кітайскія і амерыканскія, але, каб давяраць, мы распрацавалі сваю ўтыліту.
Анатоль Мацвееў: Яна праходзіць працэдуру выпрабаванняў, і будзе афіцыйна праведзены рэліз прадукта для магчымасці яго выкарыстання. Я думаю, што да канца года гэта павінна адбыцца.
Дасье Еўрарадыё:
У канцы 2012 года было прынятае рашэнне аб неабходнасці стварэння CERT ў Беларусі. Пачаўся падбор спецыялістаў. Але кваліфікацыю трэба было пацвердзіць перад міжнароднымі структурамі. Сам CERT пачаў працаваць яшчэ ў 2012, аднак афіцыйнае прызнанне зацягнулася.
CERT быў створаны на базе ААЦ, ён займаецца тэхнічнымі пытаннямі камп’ютарнай бяспекі.
Перадгісторыя стварэння:
У 1980-х гадах са з'яўленнем чарвяка "Морыс" наспела неабходнасць стварыць спецпадраздзяленні, якія займаліся б расследаваннямі і стварэннем механізмаў абароны ў сферы высокіх тэхналогій.
У 2004 годзе было створанае еўрапейскае агенцтва ENISA. Потым пачалі ўзнікаць спецпадраздзяленні камп’ютарнай бяспекі ў розных краінах, яны атрымалі назву CERT.
CERT — гэта група экспертаў у галіне інфармацыйных тэхналогій. Іх асноўны абавязак — рэагаваць на інцыдэнты камп’ютарнай бяспекі, падтрымліваць сваіх кліентаў, аднаўляць нармальнае функцыянаванне пасля выяўлення праломы ў сістэме бяспекі.
