Одной из самых заметных фигур на Третьем международном форуме по информационной безопасности и противодействию терроризму, организованном в Гармиш-Пантекирхене (Германия) Институтом проблем информационной безопасности МГУ, стал Рафал Рогозинский – директор группы компаний SecDev, специализирующейся на сетевой контрразведке и изучении политических конфликтов. SecDev сыграла ведущую роль в раскрытии в марте этого года шпионской сети GhostNet похищавшей информацию из посольств, министерств, офисов международных организаций.
- Что сейчас в центре внимания исследователей кибербезопасности?
- Самый горячий вопрос сегодня - гонка кибервооружений. Каждый хочет иметь эквивалент ядерного оружия в киберпространстве. Но его пока не существует.
- А что уже есть?
- Есть, например, средства создания эффективных шпионских сетей, таких как GhostNet. Пока мы нашли только одну, но я уверен, что существуют и другие, причем сделанные на более высоком техническом уровне.
- Каким образом вы обнаружили GhostNet?
- На нас вышли люди из неправительственных организаций, близких к индийскому офису Далай-ламы и правительству Тибета в изгнании. У них было подозрение, что идет утечка информации с компьютеров. Мы провели предварительные исследования и убедились, что единственным каналом утечки могут быть только компьютеры. Было установлено наблюдение за всеми потоками данных при помощи наших технологий, и подтвердилось, что время от времени документы действительно «уходят» - их отсылала специальная программа, нечто вроде «троянского коня».
- На компьютерах, за которыми вы следили, было установлено обычное антивирусное обеспечение?
- Да, все было, и на очень высоком уровне, и тем удивительнее выглядел факт утечки. Через некоторое время в потоках данных мы заметили подозрительную строку из 22 символов. Позже выяснилось, что в ней записан адрес какого-то компьютера.
- Этот компьютер находился в Китае?
- Тогда мы еще не знали этого. Началась вторая фаза операции, она проходила уже в лаборатории в Торонто. Там мы тщательно изучили собранные данные, и обнаружили, что эта строка из 22 символов реализует обращение к серверу, находящемуся в Китае, на острове Хайнань. Стали смотреть, что это за сервер и – случайно! – выяснили, что в его защите есть огромная дыра. Мы тут же начали наблюдение за этим сервером и за 3-4 недели нашли почти 1300 компьютеров, которые передавали на него информацию.
Оказалось, что это были далеко не случайные компьютеры. Многие из них находились в министерствах, посольствах, штаб-квартирах международных организаций, в редакциях СМИ, был даже один компьютер в штаб-квартире НАТО. Информация передавалась из МИДов Ирана, Бангладеш, Латвии, Индонезии, Филиппин, Брунея, Барбадоса и Бутана; посольств Индии, Южной Кореи, Индонезии, Румынии, Кипра, Мальты, Таиланда, Тайваня, Португалии, Германии и Пакистана.
В таких организациях обычно есть открытая сеть и защищенная сеть. Эта шпионская система не могла залезть в защищенную сеть. Но визовые базы данных, базы данных сотрудников, финансовые базы данных, личные файлы военного атташе – это все было в открытых сетях и доступно для шпионажа, так же как почтовые ящики и адресные книги. На зараженном компьютере система могла не только перехватывать ввод с клавиатуры и искать файлы, но и включать встроенную камеру и микрофон. Вполне достаточно информации для хорошей политической разведки!
Постепенно мы распутали всю сеть. В частности, выяснили, что основных управляющих серверов было четыре - три в Китае, один в США.
В конце марта мы опубликовали подробный отчет на нашем веб-сайте, об этой истории написала «Нью-Йорк Таймс». Где-то через три дня после этого система стала потихоньку сворачиваться. Но она существует до сих, только отсылает информацию по несуществующим адресам.
- Кто же построил эту сеть?
- Хороший вопрос. Интерфейс полностью на китайском языке, главные серверы на китайской территории. Но возможно ли, что все это подстроено третьей стороной? Вполне возможно. Так что полной ясности тут нет, а Китай официально объявил, что не имеет отношения к этой истории. В любом случае, это была хорошая проверка нашей методологии и инструментария, которые разрабатывались в течение семи лет. Сама же работа велась в рамках проекта Information Warfare Monitor, где мы совместно с лабораторией Citizen Lab из университета Торонто наблюдаем за превращением киберпространства в арену стратегического соперничества.
- Вы осуществляли мониторинг кибератак в период конфликта с Грузией в августе 2008 года?
- Когда начались военные действия, наша команда как раз была в Грузии…
- …опять случайное совпадение?
- Вы знаете, в таких делах без случайностей успеха не бывает, спросите у любого профессионала. Так вот, в Грузии нам было очень удобно собирать данные со всех интересующих нас сетей. Впрочем, хакеры, которые со стороны России начинали эти атаки, ничего и не скрывали, открыто писали на своих форумах, кто, когда и что делал.
- То есть, российские госструктуры этим не занимались?
- Нет. Но использованные в атаках серверы находились на территории России, и никто не прекратил их работу. В итоге была закрыта вся грузинская сеть, 3-4 дня не было возможности в нее войти. Не работали серверы госорганов, серверы грузинских СМИ, скайп. 13 августа, когда никто не знал, будут ли российские войска входить в Тбилиси, вообще не было информации, и началась легкая паника. Телевидение не работало, радио не работало, «грузинский интернет» не работал, а доступ к «русскому интернету» грузины сами заблокировали.
- Были ответные действия?
- Были атаки украинских хакеров на российские серверы. Мы все это видели в реальном времени – и как идет атака, и кто потом гордо объявляет «это мы!». Но результаты были очень слабые – попытки обрушить несколько медиа-сайтов, не более того.
- Кто заказывает SecDev исследования?
- Наши заказчики - международные организации, включая ООН и ОБСЕ, и частные клиенты. На государственные спецслужбы, на закрытые госструктуры мы не работаем.
- Что сейчас в центре внимания исследователей кибербезопасности?
- Самый горячий вопрос сегодня - гонка кибервооружений. Каждый хочет иметь эквивалент ядерного оружия в киберпространстве. Но его пока не существует.
- А что уже есть?
- Есть, например, средства создания эффективных шпионских сетей, таких как GhostNet. Пока мы нашли только одну, но я уверен, что существуют и другие, причем сделанные на более высоком техническом уровне.
- Каким образом вы обнаружили GhostNet?
- На нас вышли люди из неправительственных организаций, близких к индийскому офису Далай-ламы и правительству Тибета в изгнании. У них было подозрение, что идет утечка информации с компьютеров. Мы провели предварительные исследования и убедились, что единственным каналом утечки могут быть только компьютеры. Было установлено наблюдение за всеми потоками данных при помощи наших технологий, и подтвердилось, что время от времени документы действительно «уходят» - их отсылала специальная программа, нечто вроде «троянского коня».
- На компьютерах, за которыми вы следили, было установлено обычное антивирусное обеспечение?
- Да, все было, и на очень высоком уровне, и тем удивительнее выглядел факт утечки. Через некоторое время в потоках данных мы заметили подозрительную строку из 22 символов. Позже выяснилось, что в ней записан адрес какого-то компьютера.
- Этот компьютер находился в Китае?
- Тогда мы еще не знали этого. Началась вторая фаза операции, она проходила уже в лаборатории в Торонто. Там мы тщательно изучили собранные данные, и обнаружили, что эта строка из 22 символов реализует обращение к серверу, находящемуся в Китае, на острове Хайнань. Стали смотреть, что это за сервер и – случайно! – выяснили, что в его защите есть огромная дыра. Мы тут же начали наблюдение за этим сервером и за 3-4 недели нашли почти 1300 компьютеров, которые передавали на него информацию.
Оказалось, что это были далеко не случайные компьютеры. Многие из них находились в министерствах, посольствах, штаб-квартирах международных организаций, в редакциях СМИ, был даже один компьютер в штаб-квартире НАТО. Информация передавалась из МИДов Ирана, Бангладеш, Латвии, Индонезии, Филиппин, Брунея, Барбадоса и Бутана; посольств Индии, Южной Кореи, Индонезии, Румынии, Кипра, Мальты, Таиланда, Тайваня, Португалии, Германии и Пакистана.
В таких организациях обычно есть открытая сеть и защищенная сеть. Эта шпионская система не могла залезть в защищенную сеть. Но визовые базы данных, базы данных сотрудников, финансовые базы данных, личные файлы военного атташе – это все было в открытых сетях и доступно для шпионажа, так же как почтовые ящики и адресные книги. На зараженном компьютере система могла не только перехватывать ввод с клавиатуры и искать файлы, но и включать встроенную камеру и микрофон. Вполне достаточно информации для хорошей политической разведки!
Постепенно мы распутали всю сеть. В частности, выяснили, что основных управляющих серверов было четыре - три в Китае, один в США.
В конце марта мы опубликовали подробный отчет на нашем веб-сайте, об этой истории написала «Нью-Йорк Таймс». Где-то через три дня после этого система стала потихоньку сворачиваться. Но она существует до сих, только отсылает информацию по несуществующим адресам.
- Кто же построил эту сеть?
- Хороший вопрос. Интерфейс полностью на китайском языке, главные серверы на китайской территории. Но возможно ли, что все это подстроено третьей стороной? Вполне возможно. Так что полной ясности тут нет, а Китай официально объявил, что не имеет отношения к этой истории. В любом случае, это была хорошая проверка нашей методологии и инструментария, которые разрабатывались в течение семи лет. Сама же работа велась в рамках проекта Information Warfare Monitor, где мы совместно с лабораторией Citizen Lab из университета Торонто наблюдаем за превращением киберпространства в арену стратегического соперничества.
- Вы осуществляли мониторинг кибератак в период конфликта с Грузией в августе 2008 года?
- Когда начались военные действия, наша команда как раз была в Грузии…
- …опять случайное совпадение?
- Вы знаете, в таких делах без случайностей успеха не бывает, спросите у любого профессионала. Так вот, в Грузии нам было очень удобно собирать данные со всех интересующих нас сетей. Впрочем, хакеры, которые со стороны России начинали эти атаки, ничего и не скрывали, открыто писали на своих форумах, кто, когда и что делал.
- То есть, российские госструктуры этим не занимались?
- Нет. Но использованные в атаках серверы находились на территории России, и никто не прекратил их работу. В итоге была закрыта вся грузинская сеть, 3-4 дня не было возможности в нее войти. Не работали серверы госорганов, серверы грузинских СМИ, скайп. 13 августа, когда никто не знал, будут ли российские войска входить в Тбилиси, вообще не было информации, и началась легкая паника. Телевидение не работало, радио не работало, «грузинский интернет» не работал, а доступ к «русскому интернету» грузины сами заблокировали.
- Были ответные действия?
- Были атаки украинских хакеров на российские серверы. Мы все это видели в реальном времени – и как идет атака, и кто потом гордо объявляет «это мы!». Но результаты были очень слабые – попытки обрушить несколько медиа-сайтов, не более того.
- Кто заказывает SecDev исследования?
- Наши заказчики - международные организации, включая ООН и ОБСЕ, и частные клиенты. На государственные спецслужбы, на закрытые госструктуры мы не работаем.
