KZ-CERT: Злоумышленники совершают ошибки, которые помогают их задержать

Во второй части эксклюзивного интервью руководитель казахстанской Службы реагирования на компьютерные инциденты Жанат Жакупов рассказывает о поиске уязвимостей и работе KZ-CERT с ними, участии службы в следственных действиях. Ранее эксперт рассказал о принципах организации KZ-CERT и сотрудничестве с зарубежными коллегами.

Digital.Report: Насколько быстро удается остановить новый, ранее не применявшийся тип атаки?

Жанат Жакупов: Атакой на информационную систему называют преднамеренные действия злоумышленника, использующего уязвимости информационной системы и приводящие к нарушению доступности, целостности и конфиденциальности обрабатываемой информации. На сегодняшний день считается неизвестным, сколько существует методов атак. Ежедневно в мире появляется около 125 тысяч новых вирусов.

Большинство атак проводится при прямом участии устройств пользователя, но без его ведома. Злоумышленники применяют различные уловки для сокрытия своих действий.

При обнаружении и подтверждении инцидента компьютерной безопасности, KZ-CERT проводит комплекс мер по сбору информации об инциденте, анализу и расследованию инцидента, выдаче рекомендаций по устранению последствий инцидента и предупреждению возникновения инцидентов в будущем.

Точно спрогнозировать время отработки практически невозможно.

Какие инциденты представляют наибольшую опасность?

Сегодня, когда миллиарды долларов хранятся в системах электронной коммерции, гигабайты конфиденциальных данных обрабатываются на серверах, усиливается тренд использования так называемых «целевых атак» на инфраструктуры средних и крупных компаний.

Целевые атаки или APT (Advanced Persistent Threats) – это вредоносное программное обеспечение, направленное на конкретные объекты или отрасли. Они учитывают специфику компании, к которой применяют атаки, или к сфере деятельности компании в целом. Нередко используют эксплойты нулевого дня (неустраненные уязвимости, а также вредоносные программы, против которых еще не разработаны защитные механизмы).

KZ-CERT с начала текущего года провела анализ более 10 объектов вредоносного кода. Часть проанализированных образцов использовалась в ряде целевых атак, направленных, в том числе, на казахстанские компании. В результате анализа выявлены вредоносные объекты семейства PlugX (Gulpix, Korplug), которые могли привести к компрометации обрабатываемой информации и саботажу информационных систем, что представляет высокую опасность!

В организациях, где мы обнаружили вредоносное ПО, проведены работы по предупреждению инцидентов. Также, с целью осведомления, на сайте KZ-CERT опубликованы некоторые отчеты о результатах анализа.

Всегда ли удается вычислить виновников компьютерных атак?

Учитывая актуальные проблемы в сборе доказательств при исследовании инцидентов и дальнейшем расследовании киберпреступлений правоохранительными органами, обнаружение виновников компьютерных атак очень затруднительно, но и злоумышленники совершают ошибки. В результате при активном взаимодействии с силовыми структурами виновных удается задержать.

Как происходит сотрудничество со следствием, а также работа с уполномоченными госорганами?

KZ-CERT осуществляет взаимодействие с правоохранительными органами в рамках законодательства Республики Казахстан, участвует в процессуальных следственных действиях в качестве специалистов, оказывает содействие в сборе доказательств (логи, образы зараженных машин и др.), участвует в предварительном исследовании инцидентов информационной безопасности.

С территории каких стран чаще всего пытаются совершить атаку на казахстанские государственные информационные системы? Это внешняя или внутренняя угроза?

Атаки проводятся как с казахстанских, так и с зарубежных IP-адресов. Так, например, в 1 квартале 2016 года KZ-CERT зафиксировала атаки на государственные органы, проводимые с IP-адресов США, России, Китая, Нидерландов, Германии, Турции и др.

А от кого или от чего приходится охранять информацию частным компаниям?

Частные компании могут быть подвержены риску проведения DDoS-атак, целевых атак, кражи или шифрования информации с целью шантажа, вымогательства и мошенничества со стороны злоумышленников, которые организуют массовые хакерские кампании, недовольных сотрудников или конкурентов компании.

В 1 квартале 2016 года KZ-CERT зарегистрировала инциденты ИБ на интернет-ресурсах компаний и организаций торговли (61%), образования (9%), прессы (7%), досуга (7%), государственного сектора (6%), производства (5%), интернет-сервисов (3%), общественных организаций (2%).

Как KZ-CERT может помочь представителям сферы бизнеса, СМИ или некоммерческого сектора проверить свои ресурсы на наличие вредоносных кодов, защититься от них или ответить на кибератаки? Что им необходимо сделать для получения помощи от вас?

Любому пользователю достаточно обратиться по одному из удобных каналов взаимодействия и предоставить необходимое количество информации о проблеме. Далее специалисты KZ-CERT окажут содействие и выдадут рекомендации, если вопрос относится к нашей компетенции.

Каким типам атак чаще всего подвергаются обычные казахстанские пользователи?

Казахстанские пользователи наиболее часто сталкиваются с вирусными атаками в результате посещения интернет-ресурса, распространяющего вирусы (drive by downloads), перехода по вредоносным ссылкам или открытии вложений в спам-сообщениях, перехода по вредоносным ссылкам в социальных сетях (Facebook- и Twitter-черви), загрузки файлов или установки программ с непроверенных источников, использования непроверенных USB-накопителей и др.

Такие атаки могут привести к краже конфиденциальных данных, заражению компьютера вирусами, взлому интернет-ресурса, включению зараженного компьютера в бот-сеть, шифрованию файлов и др.

Какие меры предосторожности обязательны, чтобы защититься от этого?

Прежде всего, это регулярная установка последних исправлений и обновлений операционной системы и программного обеспечения, создание надежных паролей и хранение их в безопасном месте, а также использование двухфакторной аутентификации (известна как «двухступенчатая»), установка и правильная конфигурация программного обеспечения для защиты компьютера (брэндмауэр, антивирус).

Кроме того, пользователь должен позаботиться о защите личных данных – для этого надо делать регулярное резервное копирование, исключить переходы на подозрительные сайты по незнакомым ссылкам в письмах или браузере, не отвечать на сообщения, запрашивающие конфиденциальную информацию. Также я бы посоветовал внимательно изучать политики конфиденциальности, применяемые на веб-сайтах, мобильных приложениях и в программном обеспечении, использовать сервисы с защищенным шифрованным соединением (https).

Что делать, если проблема уже возникла? Как обратиться в службу KZ-CERT?

В KZ-CERT может обратиться любой пользователь через сайт www.kz-cert.kz, получить консультацию или отправить заявку можно на электронный адрес: info@kz-cert.kz, и через наши аккаунты в социальных сетях Facebook (https://www.facebook.com/www.kz-cert.kz), «ВКонтакте» (http://vk.com/certkz), Twitter (https://twitter.com/KZCERT), «Мой мир» (http://my.mail.ru/mail/kzcert/).

Кроме того, круглосуточно функционирует «горячая линия» по номеру 1400, звонок на который с городских телефонов, а также для абонентов Tele2 и Beeline бесплатен.