Хакеры 5 гадоў кралі інфармацыю ў беларускіх арганізацый
Мяркуючы па справаздачы "Лабараторыі Касперскага", пад атаку трапілі дзяржаўныя арганізацыі і навуковыя інстытуты, што займаюцца гандлем, энергетыкай і нафтай.
"Лабараторыя Касперскага" апублікавала справаздачу па аперацыі міжнароднага кібершпіянажу “Чырвоны кастрычнік”. Пад атаку трапілі некалькі арганізацый у Беларусі. Што скралі зламыснікі і якім чынам? Пра гэта Еўрарадыё размаўляе з Віталём Камлюком, вядучым антывірусным экспертам "Лабараторыі Касперскага".
Віталь Камлюк: "Фактычна была раскрытая сетка міжнароднага кібершпіянажу — досыць вялікая, якая дзейнічае цягам пяці гадоў. Гэта мінімальны тэрмін, які нам удалося ацаніць. Заражэнні былі ў асноўным у краінах Усходняй Еўропы, у тым ліку ў Беларусі".
Еўрарадыё: Хто канкрэтна быў заражаны ў Беларусі?
Віталь Камлюк: "На жаль, мы не можам раскрываць падобнай інфармацыі, якія менавіта арганізацыі былі заражаныя. Але можна сказаць пра катэгорыі ахвяр у Беларусі — гаворка ідзе пра навукова-даследчыя інстытуты на тэрыторыі Беларусі і дзяржаўных структурах. Гаворка не ідзе пра міністэрствы — менавіта пра навуковыя інстытуты і арганізацыі з галіны гандлю.
Па ўсім свеце ў большасці выпадкаў былі заражаныя амбасады і розныя дыпламатычныя ведамствы. Інфармацыя тычылася выведкі, сакрэтных дакументаў, якія маглі б быць пасля выкарыстаныя.
На другім месцы ідуць навукова-даследчыя інстытуты, навуковыя распрацоўкі, што ўяўляюць інтарэс у маштабе дзяржавы і дзяржаўную таямніцу".
Еўрарадыё: Як удалося выявіць заражэнні ў Беларусі?
Віталь Камлюк: "Мы канкрэтна пад Беларусь не распрацоўвалі адмысловых падыходаў. У нас былі дзве крыніцы інфармацыі. KSN (сетка бяспекі Касперскага) дазваляе нам бачыць, дзе былі выдаленыя шкодныя кампаненты нашымі прадуктамі. Гэтую статыстыку мы атрымліваем, і дзякуючы ёй пабачылі больш за 300 заражаных машын па ўсім свеце. Другая крыніцы — sinkhole-сервер. Гэта сервер, на які мы змаглі перанакіраваць частку скрадзенай інфармацыі. Мы замянілі IP-адрас шкоднага дамена на адрас нашага сервера".
Еўрарадыё: Як гэта ўсё адбывалася, ці можна па-простаму патлумачыць? Ахвяры атак ведалі пра гэта?
Віталь Камлюк: "Гэта магло адбывацца без ведама ахвяры. Як гэта працуе: ёсць шкодная праграма, якая крадзе дакументы. У яе ўбудаваны адрас сервера кіравання, куды гэтая праграма падключаецца і перадае скрадзеныя дакументы. Гэты адрас — фактычна даменнае імя, як імя сайта. За ім знаходзіцца IP-адрас сервера ў інтэрнэце. Пакуль аперацыя праходзіла пад кантролем зламыснікаў, гэты адрас быў прывязаны да сервера зламыснікаў. Мы ж у супрацоўніцтве з рэгістратарамі, якія гэтае даменнае імя стварылі, змаглі замяніць адрас зламыснікаў на адрас сервера нашай лабараторыі. І гэтак змаглі назіраць за заражанымі машынамі. Арганізацыі, якія былі заражаныя, хутчэй за ўсё, не ведалі пра гэта і нават не заўважылі розніцы, калі мы перанакіравалі дамен на свой сервер. Затое мы здолелі іх палічыць, ацаніць геаграфію, маштабы, частату зваротаў і аб’ёмы даных".
Еўрарадыё: А самім ахвярам вы паведамлялі?
Віталь Камлюк: "Калі ахвяраў няшмат, мы паведамляем; але калі ахвяраў шмат, то мы звяртаемся да нацыянальных CERT (цэнтраў бяспекі ў інтэрнэце), і яны інфармуюць ахвяраў. У нашым выпадку мы гэтым і скарысталіся".
Еўрарадыё: Вы звярталіся ў беларускі ААЦ (Аператыўна-аналітычны цэнтр)?
Віталь Камлюк: "Так. На базе ААЦ, як я разумею, зусім нядаўна з’явілася група хуткага рэагавання камп’ютарных пагроз. Такія групы ёсць фактычна ў кожнай цывілізаванай краіне. Як правіла, некамерцыйная арганізацыя, якая ўтрымліваецца на грошы дзяржавы. Мы раней звярталіся да такіх груп у іншых краінах. Мы звярнуліся ў ААЦ, каб яны ідэнтыфікавалі і пацвердзілі заражэнне. Таму што мы бачым заражаны камп’ютар, але хто ведае — можа, гэта даследчык камп’ютарных пагроз ці нейкая антывірусная лабараторыя на тэрыторыі Беларусі працуе. Мы звярнуліся, каб паведаміць ахвяры і пацвердзіць, што гэта сапраўдная ахвяра”.
Еўрарадыё: Як можна было заразіцца?
Віталь Камлюк: "Сцэнарый такі: атакуючыя не выпадкова выбіралі ахвяру. Яны ведалі, па каго ідуць. Яны вывучалі вэб-сайты ахвяраў, шукалі там e-mail адрасы. Далей намагаліся звярнуцца да супрацоўнікаў гэтай арганізацыі праз e-mail. Ім на пошту дасылалі паведамленне, у якім быў дакумент. Тое, што мы бачылі, гэта дакументы Microsoft Office — файлы Word або Excel. Далей трэба было справакаваць ахвяру на адкрыццё гэтага дакумента. Дзеля гэтага складаўся тэкст паведамлення ў лісце, які падштурхоўваў ахвяру да адкрыцця дакумента. Падчас адкрывання файла спрацоўвала ўразлівасць у офісным пакеце. Гэта былі раней вядомыя ўразлівасці 2009, 2011 і 2012 гадоў. Пасля гэтага адбываецца заражэнне камп’ютара шкодным кодам, які быў уключаны ў склад дакумента. Гэты код звяртаўся да сервераў і загружаў дадатковыя модулі, якія ўжо збіралі інфармацыю з сістэмы".
Еўрарадыё: А што было ў тэкстах лістоў?
Віталь Камлюк: "Для кожнай ахвяры складаўся свой тэкст, на мове ахвяры. Дакумент неяк суадносіўся з працай арганізацыі. Напрыклад, ліст быў адпраўлены ў адну з амбасадаў. У дакуменце было фота аўтамабіля, які прапаноўвалася набыць. Амбасада якраз знаходзілася ў пошуку аўтамабіля для службовых патрэбаў. Відаць, атакуючыя пра гэта даведаліся. У нашай справаздачы можна знайсці імёны файлаў, якія адсылаліся".
Прыклады файлаў, якія дасылаліся ахвярам:
Еўрарадыё: Якія файлы цікавілі атакуючых?
Віталь Камлюк: "Наогул інфармацыя, якая збіралася, уключала не толькі файлы. Было бачна, што зламыснікі зацікаўленыя ў інфармацыі, што захоўвалася ў дакументах, — офісныя дакументы, дыяграмы, pdf, тэкставыя файлы. Асабліва іх цікавіў шэраг пашырэнняў файлаў, якія адносяцца да розных зашыфраваных дакументаў. Напрыклад, ключы шыфравання PGP. Яшчэ апынулася цікавым пашырэнне acid. Паводле той інфармацыі, якую мы знайшлі ў інтэрнэце, гэта, хутчэй за ўсё, адносіцца да сакрэтнага праграмнага забеспячэння, якое выкарыстоўваецца для шыфравання дакументаў у шэрагу арганізацый ЕС і NATO".
Еўрарадыё: Як даўно былі заражаныя камп’ютары ў Беларусі?
Віталь Камлюк: "Гэтай інфармацыі ў нас няма. ААЦ можа гэта ацаніць, калі ўважліва прааналізуе заражаныя сістэмы. Якія файлы былі скрадзеныя з Беларусі, нам не вядома. Зламыснікі працавалі больш за 5 гадоў, і ў іх было некалькі даменаў. Мы ж перахапілі толькі частку з іх і назіралі толькі некалькі месяцаў. Па аб’ёме трафіку мы здолелі ацаніць, колькі інфармацыі было скрадзена па ўсім свеце за 5 гадоў. Паводле нашых ацэнак, гаворка ідзе пра тэрабайты дакументаў. Але ніякай спецыфікі для беларускіх арганізацый не было”.
Еўрарадыё: Ці можна гэтую праграму заўважыць самому?
Віталь Камлюк: "Модулі, якія мы аналізавалі, моцна не хаваліся ў сістэме. Іх можна было ўбачыць у дыспетчары задач, яны ніяк не абараняліся, банальна можна было спыніць працэс і ўручную выдаліць".
Еўрарадыё: Як можна вылічыць вірус цяпер?
Віталь Камлюк: "На момант публікацыі справаздачы былі актыўныя. Аднак мы атрымліваем паведамленні, што ўсё больш сервераў, якія выкарыстоўваюцца для кіравання сеткай, робяцца недасяжнымі. Якая прычына? Альбо яны згортваюць аперацыю, альбо гэта дзеянні CERT і правайдараў розных краін, якія блакуюць гэтыя серверы".
Еўрарадыё: Як карыстальніку знайсці заражэнне?
Віталь Камлюк: "Калі вы не тэхнічны спецыяліст, то прасцей за ўсё паставіць антывірус і прасканаваць свой жорсткі дыск. Але звычайным карыстальнікам хатніх камп’ютараў не варта асцерагацца, калі яны не маюць дачынення да нейкіх пэўных арганізацый. Наогул, паводле нашых ацэнак, па ўсім свеце было заражана не шмат сетак. Мы кажам усяго толькі пра тысячы адрасоў, і гэта былі арганізацыі, а не хатнія камп’ютары. Калі параўноўваць з міжнародным кібер-крыміналам, то там гаворка ідзе пра сотні тысяч заражэнняў. Тут жа былі мэтавыя атакі".
Еўрарадыё: Я чытаў меркаванні, што гэтая атака — крыніца інфармацыі для WikiLeaks?
Віталь Камлюк: "Асабіста мая пазіцыя, што наўрад ці гэта для WikiLeaks. Калі б гэта было так, то спіс ахвяраў уключаў бы вайсковыя арганізацыі. Наўрад ці навуковыя інстытуты зацікавілі б актывістаў, якія падтрымліваюць WikiLeaks. І калі б гэта былі яны, то частку гэтых дакументаў ужо апублікавалі б цягам пяці гадоў".
Еўрарадыё: А хто гэта можа быць?
Віталь Камлюк: "Мы намагаемся абапірацца на факты, што пабачылі ў кодзе. Дакументы, якія рассылаліся па пошце, маюць кітайскае паходжанне. Тыя самыя Excel- і Word-файлы мы раней бачылі ў атаках кітайскіх хакерскіх груп супраць шэрагу азіяцкіх бізнесаў і тыбецкіх актывістаў, напрыклад. Аднак у тых атаках выкарыстоўваўся і кітайскі шкодны код.
Тут жа мы бачым кітайскія дакументы, але іншы шкодны код. Што тычыцца самога коду, то ўнутраная мова — ангельская, але яўна не ад чалавека, які з нараджэння гаворыць на гэтай мове. Мы бачылі памылкі друку і граматычныя памылкі. Часам бачылі, кал замест ангельскіх словаў выкарыстоўваліся рускія словы, напісаныя лацінскімі літарамі. Напрыклад, "zakladka". Кожны модуль вёў бартавы журнал сваёй працы, ён пазначаў, што модуль пачынае працаваць, і пачатак журнала пазначаўся "proga start". "Прога", апроч рускага слэнгу, нідзе не выкарыстоўваецца. Мы практычна ўпэўненыя, што распрацоўшчыкі размаўляюць на рускай. Але невядома, з якой яны краіны".
Ахвяры выяўленыя праз sinkhole-сервер
