Примечание редактора: в последние годы Украина стала невольным полигоном для испытаний одного из самых опасных кибероружий в мире. Когда в прошлом месяце Министерство юстиции США обнародовало обвинения против шести российских разведчиков, прокуратура подробно описала, как Россия использовала вредоносное ПО для повреждения энергосистемы Украины в 2015 и 2016 годах и нацелена на страну в 2017 году с помощью атаки NotPetya, которая быстро вышла из-под контроля и считается самая дорогостоящая кибератака в истории.
На протяжении всего того времени Сергей Демедюк, возможно, играл наиболее заметную роль в защите Украины от цифровых вторжений, расследовании кибератак и стоящих за ними группировках и укреплении возможностей страны в киберпространстве. В 2015 году Демедиюку было поручено создать украинскую киберполицию, которая преследует киберпреступников и предотвращает атаки, спонсируемые государством. В прошлом году президент Украины назначил Демедиука заместителем секретаря Совета национальной безопасности и обороны страны.
Демедюк поговорил с экспертом по анализу угроз компании Recorded Future Дмитрием Смилянецом о наиболее опасных атаках, с которыми он имел дело, а также о новых угрозах, к которым он готовится. Интервью было проведено на русском языке, переведено на английский с помощью профессионального переводчика и слегка отредактировано для ясности.
Дмитрий Смилянец: Недавно вы сказали, что российские спецслужбы собирают информацию об украинцах через мобильные приложения социальных сетей, а также используют социальные сети для распространения дезинформации с целью влияния и манипулирования общественным мнением. Можете ли вы поделиться примерами увиденного?
Сергей Демедюк: Прежде всего, следует сказать, что социальные сети по-прежнему являются наиболее доступными площадками для распространения и обмена различной информацией и являются наиболее подходящим пространством для манипулирования мнениями пользователей. Данные, которые пользователи оставляют там, позволяют другим с очень высокой точностью определять их личности, рассчитывать свои предпочтения и увлечения, а также политические убеждения на момент анализа. Существующие технологии искусственного интеллекта очень быстро выявляют и отфильтровывают специально созданных ботов, вымышленные учетные записи и другие ненужные учетные записи. Эта информация позволяет разделить пользователей социальных сетей на социальные группы, необходимые для массового использования социальной инженерии, чтобы получить психологический контроль над наиболее активными пользователями определенной группы. А потом, как говорится, это вопрос технологии - кому и в каком количестве предоставлять необходимую информацию для получения ожидаемого результата. Результатом может быть что угодно, в том числе агрессивное отношение ко всему и кому угодно, поддержка радикальных движений, групп и т.д.
Сергей Демедюк
Контролируемые СМИ используются для того, чтобы получить результат, полученный из Интернета, и воплотить его в жизнь. Появление в СМИ критической информации из социальной сети - показатель ее правдивости и воплощение накопленных в сети эмоций, которые могут быть чем угодно. А учитывая тот факт, что социальные сети давно перестали быть эксклюзивным потребительским сервисом для общения между друзьями, а стали рупором политики и рекламной площадкой для бизнеса, их использование стало привлекательным для всех без исключения, в том числе и для особых услуги разных стран, в том числе России.
Проблема фейков и дезинформации о пандемии COVID-19 появилась практически во всех странах. Сегодня международное сообщество активно ищет способы предотвращения распространения ложного контента на социальных платформах, а также повышения ответственности социальных сетей за неадекватные меры, связанные с выявлением и удалением специально созданных фейковых аккаунтов. Но соответствующие меры, принятые разными странами, практически не дают эффекта. Я считаю, что это связано с тем, что правительства, в том числе Украина, очень плохо общаются со своими гражданами. Официально они предоставляют только ту информацию, которая, по их мнению, должна быть интересна гражданам, а неполная или скрытая информация о фактах всегда вызывает любопытство и порождает недоверие. Кроме того, психологически большинство людей не доверяет властям по умолчанию, что само по себе усиливает это недоверие. Более того, большинство людей не доверяют своему правительству по умолчанию, что только усиливает это недоверие. Поэтому любая дезинформация, критикующая или разоблачающая действия государственных органов, всегда будет востребована. Есть много и очень разных примеров этой манипуляции. Вспомните случай с Cambridge Analytica.
Что касается Украины, то могу привести лишь несколько примеров, демонстрирующих силу социального влияния. Для этого хочу упомянуть о событиях минувшего февраля, которые произошли в украинском селе Новые Санжары (Полтавская область), когда распространение недостоверной информации в социальных сетях и СМИ о возможной беспрецедентной коронавирусной инфекции вызвало беспорядки во время митинга украинских и других эвакуированных гражданиз Ухани. Ситуация в Новых Санжарах была вызвана отсутствием достоверной и полной информации от властей и несогласованностью информационной политики властей, принимавших участие в эвакуации. Эта ситуация, связанная с эвакуацией украинских граждан из Ухани, была использована Россией в рамках информационной войны против Украины, используя тему коронавируса для дестабилизации ситуации по всей Украине.
Важным аспектом информационно-пропагандистской деятельности российских спецслужб была активная внутренняя и внешняя информационная политика относительно максимального освещения событий в Украине с точки зрения, благоприятной для Российской Федерации - многочисленные ток-шоу, создание и продвижение соответствующих сообщества в социальных сетях. Все это затем масштабируется с помощью других коммуникаций (связанных коммуникаций, интернет-ресурсов, спутникового телевидения). Деятельность российских спецслужб проявляется в активизации работы по привлечению экспертов (создаваемых ими институтов гражданского общества) к информационным операциям, что оказывает дополнительное целенаправленное негативное влияние на общественное мнение наших граждан.
Помимо интенсивных антиукраинских информационных кампаний внутри Украины, Российская Федерация систематически усиливает их за рубежом. Одна из приоритетных задач информационно-пропагандистской деятельности Кремля в отношении Украины - спровоцировать напряженность между нашим государством и соседними странами (Польшей, Венгрией, Турцией, другими соседними и союзными странами). К примеру, российские спецслужбы ведут активную антиукраинскую информационно-пропагандистскую деятельность в отношении Польши. Среди польских пользователей социальных сетей, наиболее популярными из которых являются Facebook и Twitter,Примечание редактора: ОУН и УПА были националистическими политическими организациями, действовавшими во время Второй мировой войны и активно сражавшимися против польской коммунистической армии. В последние годы парламент Польши официально обвинил группы в геноциде, что оспаривается историками за пределами страны ]. Причина, по которой Российская Федерация делает это, - тотальное затопление информационного пространства нашего соседа ложной, примитивной дезинформацией, доступной рядовым гражданам.
Аналогичным примером информационной операции, направленной на подрыв отношений между Украиной и ее соседями с использованием социальных сетей, является распространение в конце 2019 года через каналы Telegram, подконтрольные спецслужбам РФ («Крот СБУ», «Джокер ДНР») информации о якобы убийстве на границе с Венгрией четырех сотрудников СБУ. В то же время в новостях отмечалось, что группа «выполняла задачи по документированию контрабанды» через «частный участок границы» Украины с Венгрией и Румынией. Эта провокация со ссылкой на анонимные источники в СБУ была дополнительно усилена рядом российских СМИ. В свою очередь, СБУ разоблачила эту фальшивку за неделю до массового распространения.
Уже сегодня можно утверждать, что организаторами этих информационных атак и распространения дезинформации против Украины являются сотрудники воинской части 54777 РФ.
Считаю, что для предотвращения потенциальных угроз, которые могут быть вызваны использованием социальных сетей и мессенджеров, необходимо развивать медиаграмотность общества на государственном уровне. В нашей стране нам удалось включить этот приоритет в Стратегию национальной безопасности Украины, недавно утвержденную Президентом Украины. В частности, повышение уровня медиакультуры в обществе должно стать инструментом противодействия распространению дезинформации. Я также призываю всех приучать себя по умолчанию не доверять информации из непроверенных источников, в первую очередь тех, которые появляются в социальных сетях или со ссылкой / ссылкой на них.
Считаете ли вы, что атаки, подобные тем, которые нацелены на критическую инфраструктуру Украины, следует рассматривать как военную агрессию? Как им противостоять?
Все атаки на критическую инфраструктуру следует оценивать согласно их классификации. Атаки, направленные на повреждение сетевой инфраструктуры и вмешательство в работу информационных систем, эффективность которых может отрицательно сказаться на жизни общества, следует рассматривать как террористические, независимо от того, были ли эти атаки внутренними или внешними.
Такие нападения могут быть классифицированы как военная агрессия, только если они исходят от другого государства и направлены на изменение суверенитета, территориальной целостности или политической независимости нашего государства. Но мне сложно представить, какими могли бы быть эти нападения без использования классических вооруженных сил.
К противодействию подобным атакам необходимо было подготовиться с самого начала развития и использования информационных систем и технологий. Прежде всего, это подбор и обучение персонала для их обслуживания, администрирования и реализации безопасности, как внешней, так и кибернетической. Человеческий фактор (инсайдерские знания) по-прежнему остается ключевым в этой области.
Желательно использовать ПО с доступным исходным кодом, который можно проверить на уязвимости. Кроме того, вам необходимо подключиться к существующим системам для обмена информацией о киберинцидентах, как публичных, так и частных, в режиме реального времени. Никогда не используйте программное и аппаратное обеспечение от одного производителя при построении информационных систем.
А самым трудоемким и утомительным фактором для работодателя является систематическое обучение кибергигиене. Как показывает мой опыт в области киберзащиты и борьбы с киберпреступностью, большинство успешных атак было результатом халатного или небрежного отношения сотрудников учреждения, организации или компании-жертвы.
Какой «медведь» наиболее активен в украинских сетях - APT28, он же Fancy Bear, или APT29, известный как Cozy Bear? Ожидаете ли вы, что эти группы будут координировать свои действия с людьми на местах в Украине? Видите ли вы совпадение между киберпреступниками и теми, кого привлекают государственные спецслужбы?
По имеющейся у меня информации, Turla, APT28 и Sandworm все еще активны. Последний даже снова попытался запустить атаку на цепочку поставок, как NotPetya.
Конечно, правоохранительным органам нашей страны известно, что перечисленные хакерские группировки российских спецслужб имеют шпионскую сеть в хакерской среде Украины. Большинство этих участников были идентифицированы и находятся под наблюдением. Некоторые из них согласились сотрудничать с правоохранительными органами и спецслужбами Украины. Это кропотливая и плодотворная работа с нашими международными партнерами.
Наблюдение за хакерской деятельностью российских спецслужб показало, что помимо штатных сотрудников в них работают и киберпреступники.
Подтверждением стало то, что в дни, свободные от специальных операций, они занимались обычной преступной деятельностью, от распространения программ-вымогателей до кражи криптовалюты. Именно эти преступления дали нам возможность идентифицировать практически всех членов этих групп, как разведчиков, так и киберпреступников.
Кроме того, для всех своих преступлений эти группы использовали одни и те же методы аренды серверов, регистрации учетных записей, легализации и использования украденной криптовалюты (как для нужд криминальной деятельности, так и в личных целях), а также создания ботнетов. Они не особо беспокоились о вредоносном ПО, которое использовали почти для всех своих операций с минимальными изменениями кода. Их «медвежьи привычки» привели и к другим ошибкам, о которых я пока не могу говорить, за исключением упомянутых выше, которые позволили идентифицировать всех участников и их сообщников в Украине и Евросоюзе, а также определить принадлежность каждый к определенной группе.
Недавно министерство юстиции США официально обвинило шестерых офицеров российского ГРУ в / ч 74455 в нападениях, в том числе на критически важные объекты инфраструктуры на Украине. Не могли бы вы прокомментировать это поподробнее?
Могу только сказать, что Киберполиция Украины проделала огромную работу по этому делу. В первые дни атаки сотрудники милиции круглосуточно записывали и устанавливали цифровые следы со всех серверов, которые использовались в атаке как в Украине, так и за рубежом. Конечно, не все страны этому способствовали. Ровно до того момента, когда они сами начали ощущать на себе последствия этого приступа, а это были первые два-три часа после активной фазы приступа. В то же время этих двух часов злоумышленникам хватило, чтобы очистить некоторые из своих серверов.
Собранная в то время информация позволила детально восстановить все события и отследить всех участников, вплоть до их организаторов, о которых объявил Госдепартамент США.
Следует отметить, что к расследованию этого дела были привлечены все пострадавшие страны. Но активные следственные действия, по полученной нами информации, проводились только в Великобритании, США, Украине и Франции. В течение первых месяцев расследования удалось быстро установить причастность российских спецслужб и их группы Sandworm к организации нападения. Но потребовалось три года, чтобы идентифицировать всех причастных офицеров ГРУ и их сообщников, а также собрать доказательства относительно каждой из их ролей. Продолжительность расследования была связана с различиями в уголовно-процессуальном законодательстве каждой страны, на устранение которых в рамках международных норм потребовалось время. Так,
Но это не помешало нам вместе с французской стороной идентифицировать и расшифровать сервер TOR, на котором размещались панели управления Sandworm и хранились практически все вредоносные программы, которые использовались для атак. Полученные данные стали ключевым доказательством преступной деятельности ГРУ РФ.
При этом, помимо офицеров ГРУ, обвиняемых Министерством юстиции США, были выявлены многие русскоязычные сообщники, проживающие в Европейском Союзе, и граждане Украины, которые согласились сотрудничать и предоставили подтверждающие доказательства вины обвиняемых.
Вот уже несколько лет официальное сотрудничество спецслужб РФ и Украины деградирует, а в некоторых сферах полностью отсутствует. Но насколько мне известно, на постсоветском пространстве талантливые хакеры поддерживают отношения со специалистами в области информации. Как вы можете объяснить отсутствие политики в сфере киберпространства? Как вы боретесь с утечками информации?
К счастью, не все жители РФ поддерживают политику своего президента и его правительства. На данном этапе не может быть официального сотрудничества, кроме дипломатической работы и другой деятельности, связанной со спасением человеческих жизней. У многих граждан Украины и России до сих пор есть контакты, знакомые, друзья, родственники с обеих сторон. Эти связи в основном поддерживаются на бытовом и коммерческом уровне, что позволяет им не только поддерживать отношения, но и реализовывать хорошие проекты, хотя, к сожалению, есть и противоположные факты. В таких отношениях нужно понимать одно: если один человек не признает политические взгляды или другие убеждения другого, то отношений между такими людьми не будет.
Я думаю, что отношения между хакерами и специалистами в области ИТ и информационной безопасности выстроены точно на одном уровне.
Что касается противодействия утечке информации, в этой связи было разработано множество рекомендаций, которые нельзя раскрыть. В государственном секторе для этого, помимо технологических ловушек, используется тактика разделения конфиденциальной и критической информации на части, которые в сегментированном виде не будут представлять никакой угрозы в случае раскрытия. Скрытое определение такой информации для каждого пользователя и периодическое использование искаженной информации для повторной проверки остается эффективным методом.
Учитывая языковые и культурные и исторические совпадения между Россией и Украиной в советское время, возможно ли вести эффективную контрразведку в Украине? Он существует?
Контрразведывательная деятельность в Украине осуществляется на высоком уровне. Достаточно посмотреть на недавний арест генерала СБУ Шайтанова, завербованного ФСБ РФ.
Наши офицеры контрразведки делают отличную работу, они молодцы. Не все обстоятельства всегда можно предать огласке. Поэтому я не могу комментировать операции контрразведки в киберпространстве.
Сергей Демедюк
Не секрет, что большинство самых известных и талантливых хакеров - украинцы. Почему их так много? Вы их лично знаете? Кого из украинских хакеров вы уважаете больше всего?
Если честно, я не знаю, как объяснить это явление. Я могу только высказать свое мнение и предположить, что это может быть связано с историческим прошлым и современной историей нашей страны, в которой наши граждане развили желание быть свободными и независимыми. Это качества, присущие хакерам.
К сожалению, я не могу знать всех украинских хакеров. Я знаю только тех, с кем сталкивался во время работы в правоохранительных органах и с кем работаю сейчас. Я знаю не только их имена, но и немного больше. Их очень много. Конечно, не все из них лично знакомы со мной, потому что моя предыдущая деятельность не всегда предусматривала это, но обязывала устанавливать, искать и знать их всех лично.
Мы работаем с комьюнити, есть разные люди, которые помогают, в зависимости от задач. Каждый специалист в своем направлении, невозможно выделить одного наиболее яркого, да и вообще не думаю, что это хорошая идея. Потому что, работая в группе, они делают невероятные вещи.
Еще будучи главой Киберполиции, в знак нашего сотрудничества я получил подарок от этих ребят - личный хэштег #cyberdemediuk , которым меня называют по сей день.
Я могу только сказать, что есть женщина-хакер, которую я знаю, которая мне нравится, которая за период моего становления офицером CyberPolice многому меня научила, заставила думать, как они, принимать их такими, какие они есть. Очень хороший человек.
Какое расследование было самым интересным во время вашей службы в Киберполиции Украины? Как вам удалось это раскрыть?
Здесь нужно учитывать, что именно я создал Киберполицию в Украине. Это означает, что в течение очень короткого периода времени необходимо было разработать методологию, новые способы выявления и раскрытия киберпреступлений, которые не были присущи полиции. Таким образом, практически все исследования в период с 2014 по 2015 год были интересными. За время, пока я возглавлял Украинскую киберполицию, у нас было немало отличных кейсов, о которых мы часто вспоминаем с коллегами. Думаю, в будущем эти рассказы могут превратиться в достойную книгу. Но больше всего мне запомнилось расследование дела о деятельности хакерской группы, которая в конце 2017 года занималась компрометацией кошельков криптовалюты на blockchain.com.
Нам удалось установить, что члены этой группы систематически через Google Adwords рекламировали свои фишинговые ресурсы (например, xn--blockchan-d5a.com, blokchreain.info, blokchreain.info, blokcheains.info, некоторые с помощью Punycode), чтобы пользователи, которые искали фразу блокчейн. Злоумышленники сознательно полагались на широко распространенную практику выхода пользователей Интернета на сайты с помощью поисковых ресурсов, в основном Google, чтобы не вводить URL вручную в строке браузера.
Фишинг, который они использовали в то время, отличался тем, что он по существу проксировал ресурс blockchain.com с помощью серверов на базе Nginx + LuaJIT, которые перенаправляли запросы на исходный сайт. Сами смена этих заголовков производилась с помощью модуля, написанного на языке программирования Lua (на веб-сервере Nginx). После того, как пользователь вошел на сайт, модифицированный Javascript (измененный my-wallet.js) крадет закрытый и открытый ключи, отправляя их на серверы злоумышленников через POST-запрос со следующими данными: sharedkey, пароль, secondPassword, isDoubleEncrypted , pbkdf2_iterations, accounts.
Весь процесс кражи денег был полностью автоматизирован. Злоумышленникам оставалось только следить за обновлениями рекламы, покупать похожие домены, а также администрировать и регулярно скрывать серверы, на которых размещались фишинговые ресурсы и панели управления. Украинские хакеры несли ответственность за последние действия, которые привели нас ко всей группе, поскольку именно через них нам удалось получить доступ к их зашифрованным каналам связи и выяснить, что в группе было до восьми участников, шесть из которых находились в британские острова.
Затем для комплексного расследования мы начали сотрудничать с отделом разведки угроз Talos, Cisco и британских коллег (SW RCCU), в результате чего вся группа была арестована. По данным следствия, группировка контролировала десятки миллионов долларов США.
Еще одна хорошая история - о черных нотариусах. Группа украинских хакеров взломала компьютеры наших нотариусов и перерегистрировала дорогую недвижимость от их имени на третьих лиц. Но это очень долгая история, поскольку здесь использовалось множество нетипичных методов для получения доступа к необходимым устройствам и беспрецедентным методам заговора.
Как вам удалось добиться такой эффективности с помощью своей киберполиции и раскрытия преступлений? Это потому, что в киберполиции работают белые хакеры? Как часто на госслужбу принимаются люди с сомнительным прошлым, а именно хакеры, которых вам удалось идентифицировать?
Конечно, я считаю, что ключевым звеном в работе киберполиции были хакеры в очень белых шляпах - специальные агенты, как мы их называли, - которых нам с большим трудом удалось убедить работать на нас в 2015 году. инновация для нашей страны, и это было сделано впервые. Но сейчас, по прошествии некоторого времени, могу с уверенностью сказать, что это была одна из лучших инициатив, которые мне удалось реализовать. На службу в полицию пришли высококлассные специалисты. Именно эти ребята внедрили новые, нетрадиционные подходы к нашей работе. Конечно, когда работа белого хакера усиливается возможностями и авторитетом правоохранительных органов, например, при проведении оперативно-технических мероприятий, это дает отличный результат.
Было непросто нанять белых хакеров. Это было связано с тем, что госсектор не мог предложить таким специалистам достойную компенсацию. Обеспечьте их надлежащим оборудованием и программным обеспечением. Но самым сложным фактором при этом было психологическое убеждение этих людей поделиться своими знаниями и передовым опытом с государством. Но все обошлось, и киберполиция родилась.
Что касается официального сотрудничества с гражданами Украины, которые подозреваются правоохранительными органами других стран во взломе их информационных систем или совершении других киберпреступлений, но при этом не совершали ничего подобного на территории Украины, то это это еще одна моя инициатива. Это мотивировано тем, что по украинскому законодательству граждан Украины нельзя вытеснять в другие страны. Во-вторых, большинство киберпреступлений, в которых подозреваются такие лица, в основном совершались непреднамеренно или под давлением третьих лиц. В-третьих, они обладают колоссальными нетипичными знаниями, которые могут быть полезны как нашему государству, так и тому государству, которому они нанесли ущерб. А главное, осознают свою ответственность и готовы искупить вину работой на государство. Но пока эта инициатива остается нереализованной. У нас очень много разногласий как в нашем собственном, так и в международном законодательстве, которые необходимо разрешить. Поэтому взаимодействие с ними остается на уровне негласного сотрудничества в соответствии с нашим законодательством.
В начале 2020 года широко распространились хакерские атаки на серверы украинской газовой компании Burisma, что привело к «украинскому скандалу» в США и импичменту президента Дональда Трампа. Каково ваше экспертное мнение об этой ситуации?
Публично этот скандал начался со статьи в The New York Times в январе этого года, где журналисты издания со ссылкой на отчет и слова Орена Фальковица, соучредителя компании по кибербезопасности Area 1 и бывшего сотрудника Агентства национальной безопасности объявили о фишинг-атаке, которая была осуществлена в отношении дочерних компаний Burisma Holdings, таких как КУБ-Газ, Aldea, Эско-Пивнич, Надрагас, Техноком-Сервис, Пари и украинская телекомпания Квартал 95, в канун Нового Года.
Следует отметить, что данные атаки были идентифицированы одним из субъектов кибербезопасности Украины. В ходе анализа данного фишинга выяснилось, что это дело рук хакерской группы российского ГРУ - APT28. Мы подозреваем, что их главной целью было получить доступ к электронной почте и внутренней сети компании. При этом до сих пор неизвестно, была ли эта атака успешной, поскольку ни одна из потерпевших не проявила желания делать официальное заявление. Украинское законодательство предусматривает расследование подобных инцидентов в частном секторе только на основании письменного запроса потерпевшего.
Эта атака не была оценена как критическая, так как подобные действия с их стороны проводятся достаточно часто, все знают о них и готовы их отразить. А то, что публикация этой информации нашла отклик в американских СМИ, на мой взгляд, связано исключительно с процессом импичмента президенту Трампу.
Что сейчас не дает вам спать по ночам?
К счастью, у меня редко бывают бессонные ночи. Вероятно, это связано с тем, что 26 лет службы в полиции научили меня ко всему относиться спокойно и не нервничать. Но ситуация с COVID-19 меня, безусловно, беспокоит и заставляет беспокоиться за своих близких и друзей.
Большинство экспертов считают группы программ-вымогателей самой серьезной угрозой в 2020 году. Что вы думаете о программах-вымогателях? Как с этим бороться?
Я считаю, что это явление будет оставаться актуальным до тех пор, пока люди не начнут рассматривать кибергигиену как нормальную гигиену своего здоровья, пока они не научатся регулярно создавать резервные копии важной информации и хранить ее соответствующим образом, и пока они не прекратят платят преступникам.
Также всем следует понимать, что большинство программ-вымогателей уже расшифрованы. Чем раньше жертвы сообщат о программе-вымогателе в соответствующие органы или компании, которые занимаются противодействием ей, тем скорее будут разработаны новые дешифраторы и приняты меры по выявлению программ-вымогателей. К сожалению, люди предпочитают платить выкуп, а не обращаться в правоохранительные органы через назойливую бюрократию и отсутствие немедленного ответа на такие обращения.
Поэтому наиболее эффективный способ противодействия программам-вымогателям - систематическое информирование граждан о соблюдении правил кибергигиены.
Какая киберугроза будет наиболее значительной в 2021 году? Готовы ли вы бороться с этим?
Думаю, таких угроз будет несколько. Первый связан с удаленной работой в связи с пандемией. Низкий уровень подготовки таких пользователей привел к тому, что злоумышленники пытаются получить доступ к корпоративным ресурсам для похищения корпоративных данных. В связи с этим количество фишинга, разработанного специально для этих нужд, будет расти. Уже сегодня мы фиксируем фишинговые кампании, которые выходят на качественно новый уровень фишинга с помощью нейронных сетей. И ваш предыдущий вопрос о росте числа программ-вымогателей был связан именно с этим.
Вторая связана с военными действиями, которые сейчас происходят по всему миру. Они все чаще сопровождаются злонамеренными действиями в киберпространстве. Все это приводит к опасности компрометации и уничтожения государственных данных, а также нарушения работы критически важных объектов инфраструктуры. При этом все чаще для таких атак будут использоваться скомпрометированные популярные прикладные программы, как это было в случае с атакой NotPetya, когда использовались обновления программы учета MEDoc или другие известные промышленные атаки с использованием программы CCleaner.
Все субъекты кибербезопасности в нашей стране готовы к этим угрозам и делают все возможное, чтобы предотвратить их на подготовительном этапе.
Вы сделали невероятную карьеру в сфере международных отношений и информационной безопасности и стали иконой в современной Украине своего патриотизма. Как вам это удалось и с какими проблемами вы сталкиваетесь на работе?
Приятно слышать такие слова. Но я могу оценивать себя и свои действия только для себя, чтобы анализировать свои цели по сравнению с достигнутыми, формулировать новые и исправлять ошибки. Общественную оценку должны давать другие, особенно те, на кого мои действия повлияли, независимо от их роли и места. Что касается вашего вопроса, то, на мой взгляд, главное - всегда оставаться патриотом своей Родины, уважать свою профессию, коллег и оппонентов, стремиться стать профессионалом своего дела. А также признать свои ошибки и никогда не стыдиться постоянно учиться. Это основные принципы, которые сделали меня тем, кто я есть.
В правоохранительных органах я прошел все этапы карьеры - от кадета до генерала, от рядового оперативника до начальника отдельного подразделения - не обойдя ни одного. И это, наверное, тоже сыграло важную роль в моем становлении. Кроме того, мне очень помог мой опыт работы, полученный в МВД в подразделениях оперативной разработки, которые занимались раскрытием преступлений в высших эшелонах власти.
Что касается вызовов, следует отметить, что они необходимы. В конце концов, определенные вызовы - это двигатель роста. Считаю, что здесь необходимо выделить только самые важные элементы, тормозящие поступательное развитие в сфере национальной кибербезопасности - это отсутствие квалифицированных специалистов, готовых работать на государственных должностях, непонимание среди высших должностных лиц. государственных целей и проблем в информационном и киберпространстве. И это касается не только Украины. Как следствие, отсутствуют соответствующие нормативные акты, которые регулировали бы взаимодействие и сотрудничество между государством и частным сектором, особенно с иностранными специалистами и компаниями.
Очевидно, что ваш опыт, связи и знания будут очень ценными на западном рынке труда в области разведки угроз. Скажите по секрету - каковы ваши планы после выхода на пенсию?
Я планирую использовать свой опыт, чтобы помочь сбитым с толку ребятам, которые сами не могут найти выход из плохой ситуации. Ведь я знаю, что многие из них остаются один на один с проблемами, которые возникают с правоохранительными органами. Их очень мало, а в нашей стране вообще нет людей или организаций, которые оказывали бы профессиональную помощь таким детям. Для этого я уже получил лицензию юриста и сейчас ищу единомышленников среди своих коллег.
В то же время я буду передавать свои знания подрастающему поколению через консультации, лекции, тренинги. Возможно, я попробую оставить что-нибудь в книге. И, конечно же, продолжу узнавать все новое.
На протяжении всего того времени Сергей Демедюк, возможно, играл наиболее заметную роль в защите Украины от цифровых вторжений, расследовании кибератак и стоящих за ними группировках и укреплении возможностей страны в киберпространстве. В 2015 году Демедиюку было поручено создать украинскую киберполицию, которая преследует киберпреступников и предотвращает атаки, спонсируемые государством. В прошлом году президент Украины назначил Демедиука заместителем секретаря Совета национальной безопасности и обороны страны.
Демедюк поговорил с экспертом по анализу угроз компании Recorded Future Дмитрием Смилянецом о наиболее опасных атаках, с которыми он имел дело, а также о новых угрозах, к которым он готовится. Интервью было проведено на русском языке, переведено на английский с помощью профессионального переводчика и слегка отредактировано для ясности.
Дмитрий Смилянец: Недавно вы сказали, что российские спецслужбы собирают информацию об украинцах через мобильные приложения социальных сетей, а также используют социальные сети для распространения дезинформации с целью влияния и манипулирования общественным мнением. Можете ли вы поделиться примерами увиденного?
Сергей Демедюк: Прежде всего, следует сказать, что социальные сети по-прежнему являются наиболее доступными площадками для распространения и обмена различной информацией и являются наиболее подходящим пространством для манипулирования мнениями пользователей. Данные, которые пользователи оставляют там, позволяют другим с очень высокой точностью определять их личности, рассчитывать свои предпочтения и увлечения, а также политические убеждения на момент анализа. Существующие технологии искусственного интеллекта очень быстро выявляют и отфильтровывают специально созданных ботов, вымышленные учетные записи и другие ненужные учетные записи. Эта информация позволяет разделить пользователей социальных сетей на социальные группы, необходимые для массового использования социальной инженерии, чтобы получить психологический контроль над наиболее активными пользователями определенной группы. А потом, как говорится, это вопрос технологии - кому и в каком количестве предоставлять необходимую информацию для получения ожидаемого результата. Результатом может быть что угодно, в том числе агрессивное отношение ко всему и кому угодно, поддержка радикальных движений, групп и т.д.
Сергей Демедюк
Контролируемые СМИ используются для того, чтобы получить результат, полученный из Интернета, и воплотить его в жизнь. Появление в СМИ критической информации из социальной сети - показатель ее правдивости и воплощение накопленных в сети эмоций, которые могут быть чем угодно. А учитывая тот факт, что социальные сети давно перестали быть эксклюзивным потребительским сервисом для общения между друзьями, а стали рупором политики и рекламной площадкой для бизнеса, их использование стало привлекательным для всех без исключения, в том числе и для особых услуги разных стран, в том числе России.
Проблема фейков и дезинформации о пандемии COVID-19 появилась практически во всех странах. Сегодня международное сообщество активно ищет способы предотвращения распространения ложного контента на социальных платформах, а также повышения ответственности социальных сетей за неадекватные меры, связанные с выявлением и удалением специально созданных фейковых аккаунтов. Но соответствующие меры, принятые разными странами, практически не дают эффекта. Я считаю, что это связано с тем, что правительства, в том числе Украина, очень плохо общаются со своими гражданами. Официально они предоставляют только ту информацию, которая, по их мнению, должна быть интересна гражданам, а неполная или скрытая информация о фактах всегда вызывает любопытство и порождает недоверие. Кроме того, психологически большинство людей не доверяет властям по умолчанию, что само по себе усиливает это недоверие. Более того, большинство людей не доверяют своему правительству по умолчанию, что только усиливает это недоверие. Поэтому любая дезинформация, критикующая или разоблачающая действия государственных органов, всегда будет востребована. Есть много и очень разных примеров этой манипуляции. Вспомните случай с Cambridge Analytica.
Что касается Украины, то могу привести лишь несколько примеров, демонстрирующих силу социального влияния. Для этого хочу упомянуть о событиях минувшего февраля, которые произошли в украинском селе Новые Санжары (Полтавская область), когда распространение недостоверной информации в социальных сетях и СМИ о возможной беспрецедентной коронавирусной инфекции вызвало беспорядки во время митинга украинских и других эвакуированных гражданиз Ухани. Ситуация в Новых Санжарах была вызвана отсутствием достоверной и полной информации от властей и несогласованностью информационной политики властей, принимавших участие в эвакуации. Эта ситуация, связанная с эвакуацией украинских граждан из Ухани, была использована Россией в рамках информационной войны против Украины, используя тему коронавируса для дестабилизации ситуации по всей Украине.
Важным аспектом информационно-пропагандистской деятельности российских спецслужб была активная внутренняя и внешняя информационная политика относительно максимального освещения событий в Украине с точки зрения, благоприятной для Российской Федерации - многочисленные ток-шоу, создание и продвижение соответствующих сообщества в социальных сетях. Все это затем масштабируется с помощью других коммуникаций (связанных коммуникаций, интернет-ресурсов, спутникового телевидения). Деятельность российских спецслужб проявляется в активизации работы по привлечению экспертов (создаваемых ими институтов гражданского общества) к информационным операциям, что оказывает дополнительное целенаправленное негативное влияние на общественное мнение наших граждан.
Помимо интенсивных антиукраинских информационных кампаний внутри Украины, Российская Федерация систематически усиливает их за рубежом. Одна из приоритетных задач информационно-пропагандистской деятельности Кремля в отношении Украины - спровоцировать напряженность между нашим государством и соседними странами (Польшей, Венгрией, Турцией, другими соседними и союзными странами). К примеру, российские спецслужбы ведут активную антиукраинскую информационно-пропагандистскую деятельность в отношении Польши. Среди польских пользователей социальных сетей, наиболее популярными из которых являются Facebook и Twitter,Примечание редактора: ОУН и УПА были националистическими политическими организациями, действовавшими во время Второй мировой войны и активно сражавшимися против польской коммунистической армии. В последние годы парламент Польши официально обвинил группы в геноциде, что оспаривается историками за пределами страны ]. Причина, по которой Российская Федерация делает это, - тотальное затопление информационного пространства нашего соседа ложной, примитивной дезинформацией, доступной рядовым гражданам.
Аналогичным примером информационной операции, направленной на подрыв отношений между Украиной и ее соседями с использованием социальных сетей, является распространение в конце 2019 года через каналы Telegram, подконтрольные спецслужбам РФ («Крот СБУ», «Джокер ДНР») информации о якобы убийстве на границе с Венгрией четырех сотрудников СБУ. В то же время в новостях отмечалось, что группа «выполняла задачи по документированию контрабанды» через «частный участок границы» Украины с Венгрией и Румынией. Эта провокация со ссылкой на анонимные источники в СБУ была дополнительно усилена рядом российских СМИ. В свою очередь, СБУ разоблачила эту фальшивку за неделю до массового распространения.
Уже сегодня можно утверждать, что организаторами этих информационных атак и распространения дезинформации против Украины являются сотрудники воинской части 54777 РФ.
Считаю, что для предотвращения потенциальных угроз, которые могут быть вызваны использованием социальных сетей и мессенджеров, необходимо развивать медиаграмотность общества на государственном уровне. В нашей стране нам удалось включить этот приоритет в Стратегию национальной безопасности Украины, недавно утвержденную Президентом Украины. В частности, повышение уровня медиакультуры в обществе должно стать инструментом противодействия распространению дезинформации. Я также призываю всех приучать себя по умолчанию не доверять информации из непроверенных источников, в первую очередь тех, которые появляются в социальных сетях или со ссылкой / ссылкой на них.
Считаете ли вы, что атаки, подобные тем, которые нацелены на критическую инфраструктуру Украины, следует рассматривать как военную агрессию? Как им противостоять?
Все атаки на критическую инфраструктуру следует оценивать согласно их классификации. Атаки, направленные на повреждение сетевой инфраструктуры и вмешательство в работу информационных систем, эффективность которых может отрицательно сказаться на жизни общества, следует рассматривать как террористические, независимо от того, были ли эти атаки внутренними или внешними.
Такие нападения могут быть классифицированы как военная агрессия, только если они исходят от другого государства и направлены на изменение суверенитета, территориальной целостности или политической независимости нашего государства. Но мне сложно представить, какими могли бы быть эти нападения без использования классических вооруженных сил.
К противодействию подобным атакам необходимо было подготовиться с самого начала развития и использования информационных систем и технологий. Прежде всего, это подбор и обучение персонала для их обслуживания, администрирования и реализации безопасности, как внешней, так и кибернетической. Человеческий фактор (инсайдерские знания) по-прежнему остается ключевым в этой области.
Желательно использовать ПО с доступным исходным кодом, который можно проверить на уязвимости. Кроме того, вам необходимо подключиться к существующим системам для обмена информацией о киберинцидентах, как публичных, так и частных, в режиме реального времени. Никогда не используйте программное и аппаратное обеспечение от одного производителя при построении информационных систем.
А самым трудоемким и утомительным фактором для работодателя является систематическое обучение кибергигиене. Как показывает мой опыт в области киберзащиты и борьбы с киберпреступностью, большинство успешных атак было результатом халатного или небрежного отношения сотрудников учреждения, организации или компании-жертвы.
Какой «медведь» наиболее активен в украинских сетях - APT28, он же Fancy Bear, или APT29, известный как Cozy Bear? Ожидаете ли вы, что эти группы будут координировать свои действия с людьми на местах в Украине? Видите ли вы совпадение между киберпреступниками и теми, кого привлекают государственные спецслужбы?
По имеющейся у меня информации, Turla, APT28 и Sandworm все еще активны. Последний даже снова попытался запустить атаку на цепочку поставок, как NotPetya.
Конечно, правоохранительным органам нашей страны известно, что перечисленные хакерские группировки российских спецслужб имеют шпионскую сеть в хакерской среде Украины. Большинство этих участников были идентифицированы и находятся под наблюдением. Некоторые из них согласились сотрудничать с правоохранительными органами и спецслужбами Украины. Это кропотливая и плодотворная работа с нашими международными партнерами.
Наблюдение за хакерской деятельностью российских спецслужб показало, что помимо штатных сотрудников в них работают и киберпреступники.
Подтверждением стало то, что в дни, свободные от специальных операций, они занимались обычной преступной деятельностью, от распространения программ-вымогателей до кражи криптовалюты. Именно эти преступления дали нам возможность идентифицировать практически всех членов этих групп, как разведчиков, так и киберпреступников.
Кроме того, для всех своих преступлений эти группы использовали одни и те же методы аренды серверов, регистрации учетных записей, легализации и использования украденной криптовалюты (как для нужд криминальной деятельности, так и в личных целях), а также создания ботнетов. Они не особо беспокоились о вредоносном ПО, которое использовали почти для всех своих операций с минимальными изменениями кода. Их «медвежьи привычки» привели и к другим ошибкам, о которых я пока не могу говорить, за исключением упомянутых выше, которые позволили идентифицировать всех участников и их сообщников в Украине и Евросоюзе, а также определить принадлежность каждый к определенной группе.
Недавно министерство юстиции США официально обвинило шестерых офицеров российского ГРУ в / ч 74455 в нападениях, в том числе на критически важные объекты инфраструктуры на Украине. Не могли бы вы прокомментировать это поподробнее?
Могу только сказать, что Киберполиция Украины проделала огромную работу по этому делу. В первые дни атаки сотрудники милиции круглосуточно записывали и устанавливали цифровые следы со всех серверов, которые использовались в атаке как в Украине, так и за рубежом. Конечно, не все страны этому способствовали. Ровно до того момента, когда они сами начали ощущать на себе последствия этого приступа, а это были первые два-три часа после активной фазы приступа. В то же время этих двух часов злоумышленникам хватило, чтобы очистить некоторые из своих серверов.
Собранная в то время информация позволила детально восстановить все события и отследить всех участников, вплоть до их организаторов, о которых объявил Госдепартамент США.
Следует отметить, что к расследованию этого дела были привлечены все пострадавшие страны. Но активные следственные действия, по полученной нами информации, проводились только в Великобритании, США, Украине и Франции. В течение первых месяцев расследования удалось быстро установить причастность российских спецслужб и их группы Sandworm к организации нападения. Но потребовалось три года, чтобы идентифицировать всех причастных офицеров ГРУ и их сообщников, а также собрать доказательства относительно каждой из их ролей. Продолжительность расследования была связана с различиями в уголовно-процессуальном законодательстве каждой страны, на устранение которых в рамках международных норм потребовалось время. Так,
Но это не помешало нам вместе с французской стороной идентифицировать и расшифровать сервер TOR, на котором размещались панели управления Sandworm и хранились практически все вредоносные программы, которые использовались для атак. Полученные данные стали ключевым доказательством преступной деятельности ГРУ РФ.
При этом, помимо офицеров ГРУ, обвиняемых Министерством юстиции США, были выявлены многие русскоязычные сообщники, проживающие в Европейском Союзе, и граждане Украины, которые согласились сотрудничать и предоставили подтверждающие доказательства вины обвиняемых.
Вот уже несколько лет официальное сотрудничество спецслужб РФ и Украины деградирует, а в некоторых сферах полностью отсутствует. Но насколько мне известно, на постсоветском пространстве талантливые хакеры поддерживают отношения со специалистами в области информации. Как вы можете объяснить отсутствие политики в сфере киберпространства? Как вы боретесь с утечками информации?
К счастью, не все жители РФ поддерживают политику своего президента и его правительства. На данном этапе не может быть официального сотрудничества, кроме дипломатической работы и другой деятельности, связанной со спасением человеческих жизней. У многих граждан Украины и России до сих пор есть контакты, знакомые, друзья, родственники с обеих сторон. Эти связи в основном поддерживаются на бытовом и коммерческом уровне, что позволяет им не только поддерживать отношения, но и реализовывать хорошие проекты, хотя, к сожалению, есть и противоположные факты. В таких отношениях нужно понимать одно: если один человек не признает политические взгляды или другие убеждения другого, то отношений между такими людьми не будет.
Я думаю, что отношения между хакерами и специалистами в области ИТ и информационной безопасности выстроены точно на одном уровне.
Что касается противодействия утечке информации, в этой связи было разработано множество рекомендаций, которые нельзя раскрыть. В государственном секторе для этого, помимо технологических ловушек, используется тактика разделения конфиденциальной и критической информации на части, которые в сегментированном виде не будут представлять никакой угрозы в случае раскрытия. Скрытое определение такой информации для каждого пользователя и периодическое использование искаженной информации для повторной проверки остается эффективным методом.
Учитывая языковые и культурные и исторические совпадения между Россией и Украиной в советское время, возможно ли вести эффективную контрразведку в Украине? Он существует?
Контрразведывательная деятельность в Украине осуществляется на высоком уровне. Достаточно посмотреть на недавний арест генерала СБУ Шайтанова, завербованного ФСБ РФ.
Наши офицеры контрразведки делают отличную работу, они молодцы. Не все обстоятельства всегда можно предать огласке. Поэтому я не могу комментировать операции контрразведки в киберпространстве.
Сергей Демедюк
Не секрет, что большинство самых известных и талантливых хакеров - украинцы. Почему их так много? Вы их лично знаете? Кого из украинских хакеров вы уважаете больше всего?
Если честно, я не знаю, как объяснить это явление. Я могу только высказать свое мнение и предположить, что это может быть связано с историческим прошлым и современной историей нашей страны, в которой наши граждане развили желание быть свободными и независимыми. Это качества, присущие хакерам.
К сожалению, я не могу знать всех украинских хакеров. Я знаю только тех, с кем сталкивался во время работы в правоохранительных органах и с кем работаю сейчас. Я знаю не только их имена, но и немного больше. Их очень много. Конечно, не все из них лично знакомы со мной, потому что моя предыдущая деятельность не всегда предусматривала это, но обязывала устанавливать, искать и знать их всех лично.
Мы работаем с комьюнити, есть разные люди, которые помогают, в зависимости от задач. Каждый специалист в своем направлении, невозможно выделить одного наиболее яркого, да и вообще не думаю, что это хорошая идея. Потому что, работая в группе, они делают невероятные вещи.
Еще будучи главой Киберполиции, в знак нашего сотрудничества я получил подарок от этих ребят - личный хэштег #cyberdemediuk , которым меня называют по сей день.
Я могу только сказать, что есть женщина-хакер, которую я знаю, которая мне нравится, которая за период моего становления офицером CyberPolice многому меня научила, заставила думать, как они, принимать их такими, какие они есть. Очень хороший человек.
Какое расследование было самым интересным во время вашей службы в Киберполиции Украины? Как вам удалось это раскрыть?
Здесь нужно учитывать, что именно я создал Киберполицию в Украине. Это означает, что в течение очень короткого периода времени необходимо было разработать методологию, новые способы выявления и раскрытия киберпреступлений, которые не были присущи полиции. Таким образом, практически все исследования в период с 2014 по 2015 год были интересными. За время, пока я возглавлял Украинскую киберполицию, у нас было немало отличных кейсов, о которых мы часто вспоминаем с коллегами. Думаю, в будущем эти рассказы могут превратиться в достойную книгу. Но больше всего мне запомнилось расследование дела о деятельности хакерской группы, которая в конце 2017 года занималась компрометацией кошельков криптовалюты на blockchain.com.
Нам удалось установить, что члены этой группы систематически через Google Adwords рекламировали свои фишинговые ресурсы (например, xn--blockchan-d5a.com, blokchreain.info, blokchreain.info, blokcheains.info, некоторые с помощью Punycode), чтобы пользователи, которые искали фразу блокчейн. Злоумышленники сознательно полагались на широко распространенную практику выхода пользователей Интернета на сайты с помощью поисковых ресурсов, в основном Google, чтобы не вводить URL вручную в строке браузера.
Фишинг, который они использовали в то время, отличался тем, что он по существу проксировал ресурс blockchain.com с помощью серверов на базе Nginx + LuaJIT, которые перенаправляли запросы на исходный сайт. Сами смена этих заголовков производилась с помощью модуля, написанного на языке программирования Lua (на веб-сервере Nginx). После того, как пользователь вошел на сайт, модифицированный Javascript (измененный my-wallet.js) крадет закрытый и открытый ключи, отправляя их на серверы злоумышленников через POST-запрос со следующими данными: sharedkey, пароль, secondPassword, isDoubleEncrypted , pbkdf2_iterations, accounts.
Весь процесс кражи денег был полностью автоматизирован. Злоумышленникам оставалось только следить за обновлениями рекламы, покупать похожие домены, а также администрировать и регулярно скрывать серверы, на которых размещались фишинговые ресурсы и панели управления. Украинские хакеры несли ответственность за последние действия, которые привели нас ко всей группе, поскольку именно через них нам удалось получить доступ к их зашифрованным каналам связи и выяснить, что в группе было до восьми участников, шесть из которых находились в британские острова.
Затем для комплексного расследования мы начали сотрудничать с отделом разведки угроз Talos, Cisco и британских коллег (SW RCCU), в результате чего вся группа была арестована. По данным следствия, группировка контролировала десятки миллионов долларов США.
Еще одна хорошая история - о черных нотариусах. Группа украинских хакеров взломала компьютеры наших нотариусов и перерегистрировала дорогую недвижимость от их имени на третьих лиц. Но это очень долгая история, поскольку здесь использовалось множество нетипичных методов для получения доступа к необходимым устройствам и беспрецедентным методам заговора.
Как вам удалось добиться такой эффективности с помощью своей киберполиции и раскрытия преступлений? Это потому, что в киберполиции работают белые хакеры? Как часто на госслужбу принимаются люди с сомнительным прошлым, а именно хакеры, которых вам удалось идентифицировать?
Конечно, я считаю, что ключевым звеном в работе киберполиции были хакеры в очень белых шляпах - специальные агенты, как мы их называли, - которых нам с большим трудом удалось убедить работать на нас в 2015 году. инновация для нашей страны, и это было сделано впервые. Но сейчас, по прошествии некоторого времени, могу с уверенностью сказать, что это была одна из лучших инициатив, которые мне удалось реализовать. На службу в полицию пришли высококлассные специалисты. Именно эти ребята внедрили новые, нетрадиционные подходы к нашей работе. Конечно, когда работа белого хакера усиливается возможностями и авторитетом правоохранительных органов, например, при проведении оперативно-технических мероприятий, это дает отличный результат.
Было непросто нанять белых хакеров. Это было связано с тем, что госсектор не мог предложить таким специалистам достойную компенсацию. Обеспечьте их надлежащим оборудованием и программным обеспечением. Но самым сложным фактором при этом было психологическое убеждение этих людей поделиться своими знаниями и передовым опытом с государством. Но все обошлось, и киберполиция родилась.
Что касается официального сотрудничества с гражданами Украины, которые подозреваются правоохранительными органами других стран во взломе их информационных систем или совершении других киберпреступлений, но при этом не совершали ничего подобного на территории Украины, то это это еще одна моя инициатива. Это мотивировано тем, что по украинскому законодательству граждан Украины нельзя вытеснять в другие страны. Во-вторых, большинство киберпреступлений, в которых подозреваются такие лица, в основном совершались непреднамеренно или под давлением третьих лиц. В-третьих, они обладают колоссальными нетипичными знаниями, которые могут быть полезны как нашему государству, так и тому государству, которому они нанесли ущерб. А главное, осознают свою ответственность и готовы искупить вину работой на государство. Но пока эта инициатива остается нереализованной. У нас очень много разногласий как в нашем собственном, так и в международном законодательстве, которые необходимо разрешить. Поэтому взаимодействие с ними остается на уровне негласного сотрудничества в соответствии с нашим законодательством.
В начале 2020 года широко распространились хакерские атаки на серверы украинской газовой компании Burisma, что привело к «украинскому скандалу» в США и импичменту президента Дональда Трампа. Каково ваше экспертное мнение об этой ситуации?
Публично этот скандал начался со статьи в The New York Times в январе этого года, где журналисты издания со ссылкой на отчет и слова Орена Фальковица, соучредителя компании по кибербезопасности Area 1 и бывшего сотрудника Агентства национальной безопасности объявили о фишинг-атаке, которая была осуществлена в отношении дочерних компаний Burisma Holdings, таких как КУБ-Газ, Aldea, Эско-Пивнич, Надрагас, Техноком-Сервис, Пари и украинская телекомпания Квартал 95, в канун Нового Года.
Следует отметить, что данные атаки были идентифицированы одним из субъектов кибербезопасности Украины. В ходе анализа данного фишинга выяснилось, что это дело рук хакерской группы российского ГРУ - APT28. Мы подозреваем, что их главной целью было получить доступ к электронной почте и внутренней сети компании. При этом до сих пор неизвестно, была ли эта атака успешной, поскольку ни одна из потерпевших не проявила желания делать официальное заявление. Украинское законодательство предусматривает расследование подобных инцидентов в частном секторе только на основании письменного запроса потерпевшего.
Эта атака не была оценена как критическая, так как подобные действия с их стороны проводятся достаточно часто, все знают о них и готовы их отразить. А то, что публикация этой информации нашла отклик в американских СМИ, на мой взгляд, связано исключительно с процессом импичмента президенту Трампу.
Что сейчас не дает вам спать по ночам?
К счастью, у меня редко бывают бессонные ночи. Вероятно, это связано с тем, что 26 лет службы в полиции научили меня ко всему относиться спокойно и не нервничать. Но ситуация с COVID-19 меня, безусловно, беспокоит и заставляет беспокоиться за своих близких и друзей.
Большинство экспертов считают группы программ-вымогателей самой серьезной угрозой в 2020 году. Что вы думаете о программах-вымогателях? Как с этим бороться?
Я считаю, что это явление будет оставаться актуальным до тех пор, пока люди не начнут рассматривать кибергигиену как нормальную гигиену своего здоровья, пока они не научатся регулярно создавать резервные копии важной информации и хранить ее соответствующим образом, и пока они не прекратят платят преступникам.
Также всем следует понимать, что большинство программ-вымогателей уже расшифрованы. Чем раньше жертвы сообщат о программе-вымогателе в соответствующие органы или компании, которые занимаются противодействием ей, тем скорее будут разработаны новые дешифраторы и приняты меры по выявлению программ-вымогателей. К сожалению, люди предпочитают платить выкуп, а не обращаться в правоохранительные органы через назойливую бюрократию и отсутствие немедленного ответа на такие обращения.
Поэтому наиболее эффективный способ противодействия программам-вымогателям - систематическое информирование граждан о соблюдении правил кибергигиены.
Какая киберугроза будет наиболее значительной в 2021 году? Готовы ли вы бороться с этим?
Думаю, таких угроз будет несколько. Первый связан с удаленной работой в связи с пандемией. Низкий уровень подготовки таких пользователей привел к тому, что злоумышленники пытаются получить доступ к корпоративным ресурсам для похищения корпоративных данных. В связи с этим количество фишинга, разработанного специально для этих нужд, будет расти. Уже сегодня мы фиксируем фишинговые кампании, которые выходят на качественно новый уровень фишинга с помощью нейронных сетей. И ваш предыдущий вопрос о росте числа программ-вымогателей был связан именно с этим.
Вторая связана с военными действиями, которые сейчас происходят по всему миру. Они все чаще сопровождаются злонамеренными действиями в киберпространстве. Все это приводит к опасности компрометации и уничтожения государственных данных, а также нарушения работы критически важных объектов инфраструктуры. При этом все чаще для таких атак будут использоваться скомпрометированные популярные прикладные программы, как это было в случае с атакой NotPetya, когда использовались обновления программы учета MEDoc или другие известные промышленные атаки с использованием программы CCleaner.
Все субъекты кибербезопасности в нашей стране готовы к этим угрозам и делают все возможное, чтобы предотвратить их на подготовительном этапе.
Вы сделали невероятную карьеру в сфере международных отношений и информационной безопасности и стали иконой в современной Украине своего патриотизма. Как вам это удалось и с какими проблемами вы сталкиваетесь на работе?
Приятно слышать такие слова. Но я могу оценивать себя и свои действия только для себя, чтобы анализировать свои цели по сравнению с достигнутыми, формулировать новые и исправлять ошибки. Общественную оценку должны давать другие, особенно те, на кого мои действия повлияли, независимо от их роли и места. Что касается вашего вопроса, то, на мой взгляд, главное - всегда оставаться патриотом своей Родины, уважать свою профессию, коллег и оппонентов, стремиться стать профессионалом своего дела. А также признать свои ошибки и никогда не стыдиться постоянно учиться. Это основные принципы, которые сделали меня тем, кто я есть.
В правоохранительных органах я прошел все этапы карьеры - от кадета до генерала, от рядового оперативника до начальника отдельного подразделения - не обойдя ни одного. И это, наверное, тоже сыграло важную роль в моем становлении. Кроме того, мне очень помог мой опыт работы, полученный в МВД в подразделениях оперативной разработки, которые занимались раскрытием преступлений в высших эшелонах власти.
Что касается вызовов, следует отметить, что они необходимы. В конце концов, определенные вызовы - это двигатель роста. Считаю, что здесь необходимо выделить только самые важные элементы, тормозящие поступательное развитие в сфере национальной кибербезопасности - это отсутствие квалифицированных специалистов, готовых работать на государственных должностях, непонимание среди высших должностных лиц. государственных целей и проблем в информационном и киберпространстве. И это касается не только Украины. Как следствие, отсутствуют соответствующие нормативные акты, которые регулировали бы взаимодействие и сотрудничество между государством и частным сектором, особенно с иностранными специалистами и компаниями.
Очевидно, что ваш опыт, связи и знания будут очень ценными на западном рынке труда в области разведки угроз. Скажите по секрету - каковы ваши планы после выхода на пенсию?
Я планирую использовать свой опыт, чтобы помочь сбитым с толку ребятам, которые сами не могут найти выход из плохой ситуации. Ведь я знаю, что многие из них остаются один на один с проблемами, которые возникают с правоохранительными органами. Их очень мало, а в нашей стране вообще нет людей или организаций, которые оказывали бы профессиональную помощь таким детям. Для этого я уже получил лицензию юриста и сейчас ищу единомышленников среди своих коллег.
В то же время я буду передавать свои знания подрастающему поколению через консультации, лекции, тренинги. Возможно, я попробую оставить что-нибудь в книге. И, конечно же, продолжу узнавать все новое.
