14 марта, 2018
Канкунская десятилетка.
Много разных киберпрофессиональных событий происходит по всему миру, но самое моё любимое мероприятие — наша конференция для кибербезопасников SAS (Security Analyst Summit). В этот раз мы собрали 320 гостей из 30+ стран мира, больше из Америк и Европы, но также были семь экспертов из Австралии, участники из Сингапура, Японии, Тайваня, Малайзии и Саудовской Аравии. В основном были представлены коммерческие компании (в том числе Microsoft, Google, Apple, Cisco, CloudFlare, Honeywell, Sony, Pfizer, SWIFT, Chevron, CitiBank и др.), но также были и киберполицеские разных стран, правительственные учреждения и ведомства из Великобритании, Канады, Нидерландов, Франции, Китая, Швейцарии, Южной Кореи, Австрии, Румынии, и Казахстана. ИНТЕРПОЛ. И некоммерческие и образовательные организации — Университет Техаса, Electronic Frontier Foundation и др. В общем, гостей было много и самых разных, что наглядно подтверждает степень доверия и уважения к нашей компании.
Как обычно, SAS путешествует по миру, избегая больших конгресс-центров в крупных скучных городах, вместо них выбирая потрясающие экзотические места с тёплым климатом в непосредственном соседстве с водной стихией тёплым морем-окияном. Конференции SAS проводились в средиземских Хорватии, Кипре и Малаге, в мексиканском Канкуне-2012 и Канкуне-2015, на атлантическом Тенерифе, карибских островах Пуэрто-Рико, Доминикане и франко-голландском Сен-Мартене. И вот мы снова в Канкуне!
В этом году нашей конференции исполнилось 10 лет! Ура!
А пока мы не ушли за кат :) шлю лучи счастья и кудос всем партнёрам и спонсорам SAS-2018, а именно: Qintel, Avast, Telstra, Microsoft, ThreatBook, Talos, Security Week, Threatpost.
Началось всё аж в 2009 году. Увлечённая группа из 60 человек (55 из которых сотрудники ЛК плюс 5 внешних гостей) делилась друг с другом результатами своих исследований и обсуждала проблемы кибербезопасности. Прошло время – и эти обсуждения привели к появлению широкомасштабного, передового индустриального мероприятия с более чем 300 делегатами высокого уровня (из которых только ~30% из ЛК). Свой юбилей SAS отметил в мексиканском Канкуне — и, поверьте мне, участники не зря сюда приехали!
Почему не зря?
All of a sudden I question my life choices of attending Def Con for the last 5 years and never going to SAS… https://t.co/d1xFVjDUzO
— Lorenzo Franceschi-Bicchierai (@lorenzoFB) 5 марта 2018 г.
На самом деле во время конференции многие так и не добираются до моря — просто потому что невозможно оторваться от официальной программы. Анонсы, расследования, интриги, социализация, обмен опытом, тренинги — градус этих полезных для кибербезопасника фичей на SAS зашкаливает. Это одна из очень немногих конференций, которую я посещаю не только залезть на сцену, но и внимательно послушать. Чего желаю и всем остальным участникам!
А теперь кратенько о самых интересных темах на SAS-2018.
Кибервоенщина не дремлет.
Крупные хищники из мира киберугроз: продвинутые целевые атаки, как правило поддерживаемые государствами. Проблема никуда не уходит — мы наблюдаем развитие старых и появление новых киберопераций самых разных языковых принадлежностей, прежде всего английских, русских и китайских. С витрин трибун звучат правильные слова о необходимости международного договора о кибероружии, но, увы, на деле они так и остаются словами. А практика показывает, что нередко новые инструменты и методы атак, в конечном счёте, попадают в неправильные руки и вызывают глобальные эпидемии. Кроме того, высокая вероятность неверной атрибуции из-за подделки «цифровых вещдоков» и уравнивание кибератаки с военным нападением может даже привести к началу реальных войн, но не с тем противником и не по тому поводу.
Наши аналитики представили исследования по трём целевым атакам.
Во-первых – новые технологии и тактики из арсенала русскоязычной хакерской группировки Sofacy (той самой, обвиняемой во взломе ЦК Демпартии США). Кстати, мы первые, кто вывел этих хакеров на чистую воду и опубликовал подробное исследование их методов. Два любопытных момента: (i) мы видим смещение фокуса интересов Sofacy на Восток, (ii) они нередко «конкурируют» с хакерами из других стран — например, было обнаружено заражение сервера, ранее скомпрометированного англоязычным Lamberts. Подробнее здесь.
Во-вторых – обнаружение англоязычной Slingshot, очень изощренной целевой атаки с чрезвычайно сложными инструментами и приёмами, в частности через заражение роутеров производства Mikrotik. Slingshot использовался для кибершпионажа на Ближнем Востоке и в Африке как минимум с 2012г. Самые ранние образцы, обнаруженные нашими экспертами, уже были отмечены как «версия 6» — очевидно, что эта угроза существует и прячется от радаров уже довольно давно.
В-третьих – сетевой червь Olympic Destroyer, о которой уже так много написано. Используемый в атаках на Зимние Олимпийские игры в Пхёнчхане, Olympic Destroyer по-разному приписывался почти всему кругу обычных подозреваемых. Мы считаем, что эта путаница может быть преднамеренной целью нападавших. Анализ показал, что хакеры, стоящие за Olympic Destroyer, сумели почти на 100% подражать группировке Lazarus. Однако, копнув глубже, в деталях кибератаки можно увидеть как следы китайских хакеров, так и всуе упомянутых выше Sofacy. Не исключено также, что кто-то просто хочет кого-то подставить. Кто и кого — неизвестно и неизвестно, что когда-то это станет известно. Откуда растут ноги Olympic Destroyer — науке это неизвестно. Добро пожаловать в ад атрибуции.
Уязвимые посредники.
Другой горячей темой SAS-2018 были так называемые «атаки на посредников» (supply chain attacks). Всё началось с исследования Avast (кстати, спасибо за спонсорство мероприятия!) внедрения вредоносного кода в CCleaner. Затем был опубликован разбор коллегами из Talos нападений NotPetya / ExPetr / Nyetya от прошлого лета. А потом наши исследователи из команды GReAT представили анализ обновленного набора инструментов группы, стоящей за вредоносной программой ShadowPad. Она была в программном обеспечении прямо в сетях многих компаний из списка Fortune 500.
Намёк всем киберпреступникам.
К сожалению, киберпреступность продолжает манить к себе многих молодых людей лёгкими деньгами и безнаказанностью. На самом деле кажущейся безнаказанностью. Кибернегодяев мы совместно с киберполицейскими разных стран отслеживаем и ловим. На SAS-2018 голландская полиция сделала потрясающую презентацию о закрытии подпольной биржи Hansa (подробнее читать здесь). А датские эксперты из CSIS Security Group продемонстрировали ряд веселых и довольно глупых провалов в исполнении преступников. Мы знакомы с этим: киберпреступление выглядит хорошей идеей для мошенников ровно до тех пор, пока они не совершают ошибку и не попадают за решётку.
Интернет опасных вещей.
Какое современное мероприятие по кибербезопасности обходится без критического взгляда на интернет вещей (Internet of Threats)?. SAS, конечно, не исключение. На мероприятии мы неплохо раскрыли тему (не)безопасности автомобилей, бензоколонок, больниц и поликлиник и даже яхт.
Среди прочего, ребята из нашего специализированного АСУ ТП CERT представили результаты исследований по умным камерам – устройств для видеонаблюдения за ребёнком, безопасностью дома или офиса, которые можно купить в торговом центре за сотню долларов. Оказалось, что некоторые из этих камер не просто уязвимы для кибератак, но и могут дать доступ преступникам в домашнюю или офисную сети. Поэтому, если вы думаете, что вы в безопасности, раз поставили обновление на роутер, и все ваши умные устройства находятся под его защитой – подумайте ещё раз и прочитайте наше исследование.
Говоря о безопасности автомобилей, Марк Роджерс из Cloudflare дал очень мощный обзор современного состояния кибербезопасности в автоиндустрии, а также представил краткий обзор ближайшего будущего. Короче говоря, в настоящее время всё, что есть в автомобилях – причина для нашего экспертного беспокойства. Довольно скоро ситуация станет несколько лучше из-за мер, принимаемых производителями, но мы сейчас находимся только в самом начале долгого пути к безопасным с точки зрения кибериндустрии средствам передвижения. В качестве живого примера, я хотел бы упомянуть об исследователях из IXIA, которые обнаружили, что информационно-развлекательная система популярного автомобильного бренда собирает и хранит тонны личных данных о своем владельце. Смогут ли преступники получить к ним доступ – это только вопрос времени.
Ну, а мы покидаем Канкун с грузом новых знаний и идей как сделать мир лучше и безопаснее, а также с удвоенной уверенностью и энергией. Аплодисменты переходят в овации, зал встаёт.
Короче, очередная обалденная конференция про которую многие наши гости сказали «лучшая в мире!» А что, а я не против вкладываться в лучшее в индустрии профессиональное мероприятие, которое как обычно сочетает главный принцип нашей работы: «business and fun, shake but don’t mix» (не надо поправлять, я знаю оригинальную цитату из Бондианы, но это мой тезис и в нём каждое слово на своём месте).
Думали на этом всё? А вот и нет! Чтобы мероприятие удалось в следующем году его надо хорошо завершить в этом! Все на дискотеку! :)
На этом, увы, всё. Пора начинать подготовку к SAS-2019!
Тем более, что погода совершенно испортилась, волны забелили весь прибой на побережье, повыкидывав тонны морской травы-муравы. Всё, теперь точно всем по домам! И – работать!
Презентации и выступления потихоньку будем выкладывать в общий доступ, следите за объявлениями в Твиттере.
P.S. Впервые в жизни на табло вылетов увидел не обычное «On Time», реже «Canceled», частое «Delayed», а совершенно невообразимое «Early». Типа, «что припёрлись — ещё рано»? Было бы забавно, если бы это было не про наш рейс :) Но всё обошлось, вылетели даже практически вовремя.