10 июня, 2015

Шпионская история

«Прибежали в избу дети,
Второпях зовут отца,
«Тятя, тятя, наши сети…»

Итак, наши сети вытащили… нет, не мертвеца, а вполне себе живчика. И не просто «живчика», а мегапродвинутого зловреда. Сложнейшую шпионскую атаку, по уровню превосходящую всё, ранее нам известное. Этакий кибермонстр, помесь ксеноморфа с терминатором, да заодно и с «хищником» — поскольку тварь эта не только агрессивная, всепроникающая, неубиваемая – но заодно еще и практически абсолютно невидимая.

Итак, мы поймали киберзмейгорыныча международного масштаба, причём не где-нибудь, а в довольно неожиданном месте – в нашей собственной корпоративной сети. Вот такой сюрприз!

(с)(с)

Ну, естественно, началось расследование и шло круглые сутки несколько месяцев подряд (быстрее невозможно – уж слишком сложный и профессиональный «живчик» оказался). Но есть и хорошая новость: с нашими продуктами, сервисами, базами данных, клиентскими данными все в порядке, никаких рисков для клиентов нет. Негодяи смогли подсмотреть только за нашими разработками и текущими расследованиями. И я до сих пор не понимаю, зачем им это было надо.

Может быть, они были абсолютно уверены, что поймать эту шпионскую программу невозможно, потому что малварь использовала сразу несколько зеро-деев и фактически живет только в оперативной памяти. Но, это же, извините, идиотизм атаковать своей невиданной малварью компанию с лучшими технологиями и специалистами по отлове малвари! Мы прикинули, что стоимость разработки и поддержания этой шпионской системы легко могла быть несколько десятков миллионов US-долларов. Теперь мы ее детектируем, оповестили весь мир, как ее ловить. Люди разменяли свою с иголочки хай-тек шпионскую систему, и на что? Да почти ни на что.

Как любая компания в мире иногда становимся жертвой самых обычной киберпреступности. Кто-то из сотрудников (просто по роду занятий – общаясь с новыми партнёрами и клиентами) кликнет на что-либо очень свежее зловредное, пока еще не попавшее к нам в базы — заражается. Через минуту-другую это будет задетекчено, заблокировано, изолировано и вычищено. Ущерб нулевой или минимальный, если не считать времени айтишников.

Также нам время от времени пытаются валить вебсайты. С этим живут очень многие, ничего страшного, ничего особенного. Фильтруем трафик, чистим негодяйские запросы, сайты работают.

В общем, все как у всех, кроме того что в нашем случае киберпреступники иногда еще атакуют нам, чтобы отомстить. Мы так живем давно, мы к этому привыкли.

Мы предполагали, что возможны сложные атаки организованной киберпреступности на наш, например, финансовый департамент. Это реалистичный сценарий, к которому мы готовились.

А вот атака на интеллектуальную собственность была для нас непредсказуемым и непредсказанным сценарием. Мы не могли представить, что есть силы, которые настолько заинтересованы в наших технологиях, что пойдут на риск (и на преступление) атаки на ведущую компанию в области ИТ-безопасности. Это бессмысленно, это дорого, да при самом лучшем для атакующих сценарии – это все равно будет достаточно быстро обнаружено.

Мы, кстати, традиционно никогда не говорим, кто может стоять за такой атакой. Это дело правоохранительных органов хотя бы потому, что в киберреальности заметать следы относительно просто и аттрибуция затруднена. И вот у меня главный вопрос: а зачем они это сделали?

Возможно, цель этого технологического шпионажа – помочь своим разработкам. Как в докомпьютерное время в фильмах про шпионов: пробрался к объекту за колючей проволокой и охраной с собаками, сфотографировал на микропленку все кульманы и ватманы с чертежами, засунул пленку в тайник под камень в парке, и ученые дома, получив чертежи, сидят и думают, что же там вообще нарисовано, и как из этого собрать новейшую ракету. Но с софтвером это имеет очень мало смысла, все хорошие разработки – они живые, они постоянно модифицируются и быстро устаревают. Пробуются новые технологии, новые идеи, патчатся баги, именно поэтому мы (и большинство других софтверных компаний) все время апдейтим свои продукты.

Если украсть какой-нибудь хитрый образец сплава, можно его проанализировать и даже придумать, как делать такой же. Но понять, почему он именно такой нужен в этой конкретной ситуации, очень сложно. Главное в технологии не код, не сплав, не формула, а люди, которые этой технологией занимаются. Особенно это актуально в мире софта, где все так быстро меняется.

Возможно, они хотели понять, как работает наша компания, что у нас внутри. Но есть масса законных способов познакомиться с нами поближе, по атакованным подразделениям мы водим экскурсии, от школьников до просто друзей, наши разработчики ездят и выступают на конференциях. Конечно, у нас есть технологические тайники и секретики, это живые проекты и для нас это бизнес на конкурентном рынке. Но мы открытая компания, сидим в стеклянном офисе. Заглядывайте, только тарелки не надо бить!

Почти 100% новой малвари мы детектируем автоматически, если люди хотели разобраться в том, как работает наше облако и алгоритмы, то это достойная, хотя и не очень реалистичная цель. Но эти негодяи, к сожалению, выбрали чуть ли не самую кривую и неудобную дорожку, чтобы этой цели достичь. Если подглядывать в дырочку за стартовой турбиной космического корабля, то разобраться во всех аспектах ее работы будет непросто.

Я не исключаю и чисто спортивного интереса, может быть, мы им наступали на мозоли уже, ну или просто решили попробовать силы на нас. Ну молодцы, попробовали, вряд ли им это понравилось.

В общем, я не понимаю, зачем и почему была организована эта атака, которая стоила очень значительных ресурсов при очень высоких рисках и с крайне низким КПД.

Самый разумный путь, чтобы получить доступ к нашим технологиям – это стать (или хотя бы притвориться) технологической компанией и лицензировать у нас наши ноу-хау, что мы с радостью готовы делать с любой степенью детализации. Наши сотрудники еще и все объяснят, покажут и помогут наладить.

Мы в случае необходимости открываем исходный код наших продуктов, если речь идет о большом, например, государственном контракте, и покупатель хочет провести аудит и убедиться, что там в коде нет ничего незадокументированного. Мы открытая и дружелюбная компания, которая ценит и любит своих клиентов и партнеров.

В общем, этот взлом научил нас новому, как защищать наших клиентов от угроз фактически нового поколения. Спасибо за урок, он поможет стать нам еще более сильными и технологически продвинутыми. Что только позитивно скажется на уровне защиты наших партнёров и клиентов.

А в завершение надо придумать какую-нибудь забойную концовку… Ага, сейчас… Вот:

Воровать технологии у частной айти-секюрити компании – это не только подлость, но и жадность.

«Битва святого Георгия с драконом» (Паоло Уччелло, ок. 1456 года)

Полезные ссылки:
Пресс-релиз
Сухие технические подробности о киберчудовище на английском – тыц
Пропатченный зеро-дей Микрософт
Что пишет Шпигель, Уолл-Стрит Джорнел, Арс Техника, Wired (все на английском)

Прочитать комментарии 0
Оставить заметку
Facebook

17 апреля, 2024

Танки Арктики не боятся.

По следам экспедиции Якутск-Тикси-Якутск мне задают много вопросов о наших средствах передвижения, очевидно отметившихся на фотках прозвучавших рассказов. Как говорится, «хороший вопрос»! Сразу замечу, что машинки и маршрут следования путешествия мы выбирали не самостоятельно. Как, куда и на чём ехать: это нам предложили — без лишней скромности заявляю — лучшие эксперты по арктическому автотранспорту. Это Александр Еликов и Евгений Шаталов. […]

16 апреля, 2024

А вы были в Хандыге?

Продолжаю рассказы об автопутешествии Якутск-Тикси-Якутск. Разогревочные темы зимников, наледей и трассы Р-504 «Колыма» рассказаны и закрыты. Пора уже за руль — и в дорогу! Начало наших последующих приключений — в Якутске, — а потом почти тысяча километров по «Колыме», затем в планах свернуть на север — и по зимникам добраться аж до Тикси. Что есть нетривиальная задачка, даже в условиях полной […]

15 апреля, 2024

Р504 — Полторы тысячи км адской красоты. Но зимой. И холодно.

Дороги бывают разные. Прямые и не очень, ровные и наоборот, скоростные и неторопливые, обычные и красивые. Вернее, так: обычные, симпатичные, красивые и мозговзрывательные. Красивых дорог много — часто в горах, вдоль морей и океанов. А особо красиво, если дорога идёт в горах и одновременно вдоль побережья — сразу достигается двойной эффект. Кстати, недавно катался по […]

11 апреля, 2024

Теория большого ледового взрыва или наледи, сэр!

Наш друг — Крайний Север. Зимой, даже в марте (а тут март — это зима). Так вот, в эти времена здесь царство вечного снега и льда, лютого мороза и бескрайних белых просторов. Но — не поверите! — здесь тоже есть место для водных развлечений. Как так и почему? Откуда здесь вода? Она же вся в […]

9 апреля, 2024

Что такое автомобильный зимник, и с чем его едят?

Если прочих вопросов к докладчику по предыдущей вступительной теме нет, то переходим к следующему рассказу, который можно было бы назвать так: «Якутские зимники от Р-504 и выше на север». Приступаю незамедлительно, но, наверное, сначала надо сделать разъяснительное введение. А именно -> Для плавности дальнейшего повествования мне просто категорически требуется пояснить, что же такое этот самый автодорожный зимник. Можно, конечно, просто […]

8 апреля, 2024

Мой друг север: Тикси-2024. Начало.

Всем привет! На прошлой неделе завершилась одна из моих самых самых и однозначно крышесносящих поездок по просторам Крайнего Севера — от Якутска на северо-восток и дальше на север. Я уже немного коснулся этой темы в предыдущих постах, и вот пришло время рассказать обо всём вдумчиво, детально и по порядку. Постоянным читателям моих историй хорошо известно, что […]

Еще

Блог о путешествиях