Глава кіберполіції Сергій Демедюк: Інструкції до модифікованого вірусу Petya.A писали російською мовою. Це доведений факт

Напередодні Дня конституції, 27 червня, країна чи не вперше відчула, що таке кібервійна. Фінансові установи, компанії, державні органи атакував вірус-здирник Petya.А. Жертвами хакерської атаки стали Кабінет міністрів, Міністерство інфраструктури, Ощадбанк, Укргазбанк, Укрсоцбанк, «OTP банк», Укрпошта, «Нова пошта», аеропорт «Бориспіль», мережі WOG, KLO, гіпермаркети «Епіцентр», Чорнобильська АЕС, та низка ЗМІ.

Вірус-здирник шифрував дані на комп’ютері та вимагав викуп – близько $300. Фахівці з комп’ютерної безпеки радили нічого не платити. І дійсно, жодних ключів після виплати грошей власники уражених комп’ютерів так і не отримали. І тут є цілком логічне пояснення, за інформацією СБУ, справжня мета Petya.А – це аж ніяк не заробити грошей, а передусім, дестабілізувати ситуацію в країні.

Треба визнати, що вірус поширився й іншими країнами Європи та Азії. Як стверджують експерти, збитки від діяльності вірусу по всьому світу сягнули позначки в  $8 млдр. Деяким постраждалим структурам, для того, щоб повернутись до нормальної роботи знадобилось три дні.

Згодом був знайдений і канал поширення вірусу – «зараження» відбувалось через оновлення бухгалтерського програмного забезпечення M.E.Doc українського виробництва. У компанії-розробниці програми причетність до поширення Petya.А спочатку спростували, а пізніше визнали, що дійсно хтось втручався у роботу серверів.

Так чи інакше, під час масованої хакерської атаки в Україні були інфіковані понад 12,5 тисяч комп'ютерів. І це лише вершина айсбергу. Частина ураженої техніки до цього часу просто себе не виявила, і вірус може поновити атаку в будь-який час.

В інтерв’ю «Главкому» глава кіберполіції України Сергій Демедюк пояснив, звідки взявся Petya.A, чому до цього може бути причетна Росія, та що справді було на меті у чорних хакерів, які перевіряли на міцність кіберсистему України.

Глава кіберполіції Сергій Демедюк

На якому етапі розслідування щодо розповсюдження Petya.A? Причетною до поширення вірусу була названа компанія M.E.Doc. Експертиза мала встановити, чи це була умисна дія компанії, чи вони стали тільки каналом розповсюдження. Зараз вже є підтвердження першої чи другої версії?

Ви правильно сказали, достеменно вже відомо, що якраз каналом розповсюдження вірусу було програмне забезпечення M.E.Doc, тут вже без виключення. Щодо причетності персоналу і посадових осіб компанії-розробника – поки не доведено. Нами також встановлено, що їхні сервери були зламані ще заздалегідь до самої атаки, дуже давно. Зараз наша задача полягає в тому, щоб ми могли виявити всі шкідливі програмні забезпечення, які використовувалися за допомогою цього каналу. Ми вже доповідали, що однією із головних цілей поширення вірусу Petya.A було затирання слідів попередньої злочинної діяльності. Тому зараз наша головна задача - не сам вірус дослідити, нас тепер цікавлять шкідливі програмні забезпечення, які були встановлені за допомогою цього каналу задовго до вірусу Petya.A. Тому зараз назначено багато експертиз.

Експертизи стосуються компанії-розробника?

Ми вилучили практично все їх обладнання, так як знали, що 4-го липня відбулось вже повторне розповсюдження вірусу за допомогою програмного забезпечення M.E.Doc. Поясню, що сталося: посадові особи компанії не відреагували на наші усні попередження, хоча ми співпрацювали вже з 29-го червня (взяли всі копії їх серверів та почали їх досліджувати). На наші застереження компанія-розробник не відреагувала. Тобто вона не закрила доступ до оновлення. Навпаки, вони продовжили роботу, ще й почали себе піарити, що вони чисті і відбулась підміна серверів. Хоча це не так. І коли вже поліцейські прийшли до них і розказали, яким чином це відбувається, вони таки визнали, що зараження відбулось.

Компанія M.E.Doc йде вам на зустріч?

Так, кожен день ми працюємо разом. Ми розпаковуємо обладнання лише в присутності їхніх фахівців.

Відразу після того як сталася атака, кіберполіція давала рекомендацію відмовитись від продуктів цієї компанії. Ви досі переконані у корисності цих порад?

Так, тому що ми не дослідили до цього часу їх патчу оновлення (патчем або оновленням називається програмний продукт, який використовується для усунення проблем в програмному забезпеченні або зміни його функціональності – «Главком»). Але кіберполіція не установа із дослідження антивірусних програм, це не входить в наші функції. Проте ми взяли на себе добровільне зобов’язання дослідити патчі, але враховуючи те, що їхній вихідний код програмного забезпечення дуже великий та писався неякісно, дослідити і сказати в найкоротший термін, що їх оновлення являється дійсно безпечним, ми не маємо можливості.  Зараз ми в процесі дослідження. Навіть ті міжнародні компанії, які з нами співпрацюють, вони також не готові надати свої попередні висновки стосовно цих оновлень.

Знову ж непорядно чинять в компанії M.E.Doc  – вони  оголосили, що вже розробили дослідження, які закривають ті вразливості, які були раніше. У нас виникає питання: які вразливості, якщо навіть ми не виявили до кінця усіх вразливостей?

Врешті-решт, якщо буде доведено те, що вони знали про вірус, але нічого не зробили, яким буде покарання?

Звичайно, будемо клопотати перед прокуратурою, щоб посадових осіб притягнути до кримінальної відповідальності за службову недбалість.

Яке покарання може їх чекати?

Невелике, але кримінальна відповідальність може бути.  До 5 років позбавлення волі, не більше.

В одному зі своїх інтерв’ю Ви казали, що  розповсюдження Petya.A було лише прикриттям успішної кібероперації хакерів, які збирали інформацію. То яка все ж таки була конкретна мета у злочинців?

Ще 15 травня через процедуру оновлення M.E.Doc  було встановлено шкідливе програмне забезпечення, так званий backdoor (основною метою backdoor є таємне і швидке отримання доступу до даних, в більшості випадків - до зашифрованих і захищених – «Главком»). Людина, яка утримувала цей канал, могла отримувати дані, які знаходились на враженому комп’ютері.

Чи готові ви сьогодні визнати, що можна було діяти на випередження, запобігти кібератаці?

Превентивні заходи нами були здійснені ще після світової атаки вірусом WannaCry у травні. Ми наголошували скрізь, що необхідно закрити вразливості  у комп’ютерах. Є відповідні патчі розробників Microsoft, інших програм, які були використані в даних вірусах, але у нас ніхто не виконав цих рекомендацій. Навіть після останньої кібератаки лише 10% підприємств, як державних, так і приватних сектору, зреагували. Всі інші не вчинили жодних безпекових заходів.  Ніхто не вчиться на своїх помилках.

Можливо варто робити спеціальні попередження і заяви на рівні уряду.

На рівні уряду і РНБО це все проговорюється і приймаються рішення, однак заключне слово стоїть за Верховною Радою. Парламент навіть після таких атак, які відбулись, не спромігся прийняти закон «Про основні засади кібербезпеки». Про що ми далі можемо говорити?

Глава кіберполіції Сергій Демедюк

Чого конкретно вам не вистачає сьогодні?

Законодавство України у цій сфері не сформовано на достатньому рівні. До цього часу у нас в країні невизначені конкретні професійні терміни – що таке «кіберзлочин», що таке «кіберпростір» і так далі - всі слова з приставкою «кібер».  

Як же у таких умовах працює кіберполіція?

Ми працюємо на поняттях, передбачених у Конвенції про кіберзлочинність, яку Україна ратифікувала, правда, не в повному обсязі. Наша основна мета  - добитись від Верховної Ради, щоб вони все-таки імплементували на 100% цю конвенцію. Вона передбачає ази боротьби із кіберзлочинністю – це взаємодія між бізнесом і правоохоронними органами, хто що робить в конкретних випадках при вчиненні злочину. Зараз ми працюємо на взаємних домовленостях із бізнесом.

А законопроект «Про основні засади кібербезпеки», розроблений депутатами, винесений, зареєстрований, але вони не встигли за нього проголосувати.

Вас влаштовує цей проект?

Розумієте, він про основні засади. Він не може не влаштовувати, він конкретно визначає: чим займається СБУ, Держспецзв’язок, Нацполіція, НБУ, розвідка, Міноборони та інші. Там чітко для всіх прописані функції. Щоб кожен міг під ці основи розробити свої відомчі акти.

Єдине, що в нас  ухвалено, це – Стратегія кібербезпеки України, затверджена указом президента в у березні минулого року. Цією стратегією було створено Центр кібербезпеки при РНБО. Це допомогло нам 27-го червня екстрено зібратися і разом – Держспецзв’язку, СБУ та Нацполіції – протидіяти атаці.

За словами президента Петра Порошенка, остання атака була організована РФ. Які ще дані підтверджують, що хакери були з Росії, окрім того, що у ній були задіяні російськомовні фахівці?

Кожен вірус пишеться певною мовою програмування. Однак для того, щоб зробити якісь поправки прописуються певні інструкції. Ми виявили, що якраз в допрацюваннях  в цьому коді були такі інструкції на російській мові. Як приклад, якщо я англомовний, я не буду інструкції писати на російській мові.

Але ж і в Україні є багато спеціалістів, які полуговуються російською мовою…

Я казав тільки про російськомовних, я не казав про Російську Федерацію. Основна із версій – це втручання спецслужб РФ, але я поки цього не стверджую.

Тобто ніяких нових деталей розслідування стосовно зв’язку із Росією хакерів ви не можете сьогодні оприлюднити?

На жаль, поки не можу. В нас дуже багато напрацювань, але нам би не хотілось, щоб особи, які причетні до певних етапів атаки, про це дізналися і могли знищити свої сліди. Тому ми лише інформуємо бізнес і населення, даємо рекомендації стосовно захисту їхньої техніки. Ми точно знаємо про те, що було запущено багато  шкідливого програмного забезпечення за допомогою M.E.Doc і не всі комп’ютери були виведені з ладу Petya.A. Ми повинні всіх, хто вцілів, попередити, розказати, яким чином знайти шкідливе програмне забезпечення, яке вже встановилося на їхню техніку. Всі рекомендації, що ми дали, на сьогодні є чинними.  Їх просто ніхто не виконує. В Україні є дуже багато фахових спеціалістів щодо адміністрування мереж, а от спеціалістів щодо кіберзахисту і відбиття кіберзагроз взагалі немає.

В чому проблема? Ми ж постійно чуємо, що наші it-спеціалісти ціняться у всьому світі…

Ніхто не хоче оплачувати працю відділів кібербезпеки. В переважній більшості керівники наших компаній не сприймають всерйоз кіберзагрози. Навіть випадок, який ми  відчули на своїй шкурі 27-го червня, не навчив нікого. Лише ті компанії, які постраждали найбільше і відчули втрату своєї інформації, зараз вкладають кошти.

В Україні чимало об’єктів критичної інфраструктури знаходяться в приватній власності, але питання їхньої кібербезпеки потім стають проблемою держави?

Ви вірно і чітко підмітили. До сьогодні не прийнятий перелік об’єктів критичної інфраструктури. СБУ і ми наполягли на тому, щоб в цей перелік включити і приватні структури, наприклад, компанії мобільного зв’язку. Але про весь список я не можу вам говорити. Це компетенція Держспецзв’язку. Деякі об’єкти будуть відкриті, деякі закриті. Це вже вони визначають.

Глава кіберполіції Сергій Демедюк

Коли можлива наступна кібератака в Україні?

Ми попереджаємо, що це буде 24-го серпня, на День Незалежності. Ми бачимо, що такі атаки відбуваються напередодні або в день якихось великих свят для України.

У шкідливому програмному забезпеченні M.E.Doc було багато елементів, які до цього часу не активовані. Ми ще не знаємо у повній мірі, які властивості має вірус. У нас лише близько 1,3 тис. офіційних заяв, де розпочаті кримінальні провадження. Ми повинні враховувати: якщо  злочинці знищили  такий важливий для них канал отримання інформації, вони залишили резерви. Дуже потужні резерви. Зараз ми намагаємось знайти ще один  канал.  Мені хочеться сподіватись, Petya.A  випадково уразив канал і попалив їх мережу, але це не так. Тому що ми чітко знаємо, основна мета кіберзлочинців - знищити сліди втручання у вразливі критичні об’єкти.

Поясніть як працюють оперативники та спецагенти під час кібератак?

Фахівець приїздить на місце кіберінциденту і починає досліджувати. Наша основна задача – виявити шкідливе програмне забезпечення і негайно його віддати в лабораторію для реверсу, тобто встановити хто ним керує, яким чином, які його функції. В даному випадку з Petya.A  під вечір ми вже всім оголосили, що каналом розповсюдження є M.E.Doc, для того, щоб ті хто ще не заразився, могли відключитися і не робити оновлення програми. І це врятувало дуже багатьох. Нам закидували, що ми не мали цього робити.

Спеціалісти кажуть, що ключ від Petya.A знайти вкрай складно. Що вам відомо?

Зазвичай, після зараження вірус-вимагач повідомляє хазяїну адресу комп’ютера, який він заблокував і на цей комп’ютер має прийти після оплати код декриптування. Але в цьому випадку ми не знайшли відповідного каналу зв’язку віруса зі своїм хазяїном. Це означає, що навмисно все криптувалось без можливості поновлення. Другий варіант - є вразливість про яку ми ще не знаємо, вона буде фактичним ключем до всіх вражених комп’ютерів. 

У кіберполіції є версії, чому саме Petya і звідки така назва?

Petya.A  тому що був використаний раніше запущений вірус Petya . Це ж модифікований вірус. Хто придумав раніше – це треба тільки здогадуватись. Він був зафіксований ще на початку 2016-гороку.

Тобто не бачите жодного політичного підтексту?

Я думаю, ні. Але можливо розробники хотіли щось сказати, так як він був розповсюджений на території України.

Щоб убезпечити себе спеціалісти рекомендували компаніям перейти замість Windows на інші операційні системи. Якщо приватні структури вирішують це питання в індивідуальному порядку, то на державних підприємствах потрібне якесь урядове рішення?

На жаль, не визначено, хто має цим займатись у державних підприємствах.  У певних урядових установах цим займа’ється Держспецзв’язок. Він надає рекомендації, забезпечує повністю внутрішньою мережею, здійснює перевірку всіх надходжень контенту у їхнє закрите поле.

Кібербезпека інших установ лежить на плечах відповідальної посадової особи цієї структури. Вона зобов’язана забезпечити належну безпеку, найняти фахівців, закупити програмне забезпечення. На превеликий жаль на даний час ніхто не збирається цього робити.

У кіберполіції сьогодні багато вакансій?

Близько 60. Найближчим часом ми оголосимо донабір спецагентів – близько 10 чоловік і біля 50 чоловік – це інспектори. Їхні місця звільнились, бо, на жаль, спеціалісти залишили наші лави. Вони не очікували такої роботи. В більшості випадків люди думали, що будуть знаходитися на робочих місцях, в дуже гарних кабінетах, думали, що їм дадуть такі програми, які  самі будуть шукати злочинців. Вони не розуміли, що треба буде вчитися кожен день. Не змогли, тому що треба і в засадах сидіти, і злочинців на вулиці шукати,  здійснювати вербовку, агентуру і так далі…

Елементи розвідки у вашій роботі також є?

Є, але тільки в кіберпросторі. Наші злочинці ховаються за вигаданими акаунтами в даркнеті  (darknet - вищий за ступенем анонімності сегмент інтернету, до якого неможливо підключитися через звичайний браузер – «Главком») і на закритих форумах. У нас є спеціальний підрозділ, який здійснює занурення у середовище хакерів і саме там відбувається розвідка.

Боти у Facebook - не ваші агенти?

Facebook  – це не наш профіль.  Я говорю про спеціалізовані форуми, куди простому користувачу важко зайти. Там дуже чітко злочинці визначають, хто чужий, хто свій. Це як класична розвідка серед злодіїв, тільки наша у кіберпросторі і тут навіть на волосинку неправильно сказаний термін ставить  агента у режим великого знаку питання. Тебе можуть заслати в карантин і придивлятись до тебе, якщо підозри підтверджуються, то тебе викидають із форуму і ти більше не маєш можливості туди потрапити.

Серед вашого персоналу є колишні хакери, які тепер стали борцями із кіберзлочинцями?

Коли ми набирали спецагентів, частина таких людей якраз і прийшла. Це - чисті патріоти, які хочуть допомогти. Але є й інша категорія, хакери, які не є співробітниками. Вони допомагають в залежності від того, який підхід до них знайти.

Окрім Petya.A, які ще великі кіберзлочини розслідуєте зараз?

Наприклад, один із останніх. Під час скачування відео-контенту на каналах Youtube йде розповсюдження «цікавого» программного забезпечення. Ви переходите за посиланням, щоб подивитись фільм, і в цей час у вірусу є півтори години встановитись, викрасти інформацію, дати сигнал командному центру і все – ви або в бот мережі, або у вас викрали повністю всі дані, які були на цьому комп’ютері. Це реальний випадок. Це діє навіть якщо не скачувати фільм, а лише дивитись онлайн. Ваша задача лише нажати на клавішу play.

Як себе убезпечити?

Користуватись тими ресурсами, які вже себе зарекомендували, як надійне джерело і мають певну репутацію.Фільм у хорошій якості і безкоштовний – це вже повинно насторожити. Просто так ніхто не розповсюджує контент в мережі.

Порносайти, сайти з піратським софтом використовуються для того, щоб встановити шкідливе програмне забезпечення. Наприклад, порносайти використовуються розробниками блокувальних програм, тому що вони знають на що давити - в кожній країні порнографія як правило це заборонена діяльність. Людина заходить на сайт, а там вискакує вікно із оголошенням «це кіберполіція УМВС, вас оштрафували, заплатіть» і т.д.  І хтось дійсно може заплатити «штраф», бо людина була на такому сайті і вже соромиться сказати дружині, або дитина своїм батькам.

Ви знаходили людей, які займаються цим?

В переважній більшості цим займаються росіяни, ми навіть встановили прізвища цих людей. Це в основному початківці, які беруть десь  на закритих форумах віруси, переробляють під себе і розповсюджують на незахищених сайтах.

Якщо цей ресурс легітимний, це не означає, що він не зламаний, і від його імені не розповсюджується шкідливе програмне забезпечення. Навіть від наших партнерів отримуємо відомості про злам державних сайтів, де розповсюджуються шкідливі програми. До державного сайту є довіра, людина не підозрює, що користуючись цим сайтом отримує собі такий подарунок.

Крадіжки із банківських карток: які тут нові тенденції?

Так, у нас кардерство дуже поширене. Розумієте, сайти, які займаються поповненням мобільних телефонів є фішинговими(фішинг - вид інтернет-шахрайства, метою якого є отримання доступу до конфіденційних даних користувачів - логінів і паролів, номерів кредитних карт, електронної пошти – «Главком»). Мало того, що ви повідомляєте номер власного мобільного телефону, так ще й свої координати банківських карток.

Зараз шахрайство вже дійшло до того, що аферисти не використовують великі накладки у банкоматах, а лише маленьку стрічку та мікроскопічну камеру. Таким чином, знімається пін-код з вашої картки і при вставлянні її в карткоприймач зчитується вся інформація. Потім злочинці продають ці дані на чорному ринку, тому що хакери ніколи в житті не будуть використовувати те, що крадуть.

Варто сказати, що українці дуже бідні порівняно з європейцями, американцями, канадцями і австралійцями. Україні цікава тільки для початківців у кіберзлочинності. Злочинці із Румунії до нас приїздять, але їх об’єкт – це дуже круті магазини або аеропорти, де бувають іноземці. Злочинці знають, що коли іноземець виїздить за кордон, він повністю розблоковує доступ до картки.

У Києві на фасадах будівель пишуть номера  телефонів, за якими можна знайти групу, у якій продають наркотики. Що стосовно використання соцмереж, наприклад, каналів у телеграм для поширення наркотиків?

Це парафія підрозділу боротьби із наркозлочинністю, ми їм допомагаємо встановити тих, хто стоїть за тим чи іншим ресурсом.

Що із нових видів кіберзлочинів у найближчому майбутньому буде поширюватись?

Знову пішла активна фаза втручання шахраїв у віддалений клієнтський банківський софт, в основному викрадення коштів. Також була стара схема, яка поновилася, злам пошти бухгалтерів і перехоплення платіжних інструментів. 

Несанкціоноване втручання у державні реєстри - теж ваша парафія. Низка рейдерських захоплень сільськогосподарських підприємств здійснені саме цим способом.

Ми повертаємося до того питання, що сталося з M.E.Doc. У нас не передбачено і до цього часу немає процедури допуску до комерційних структур, які розробляють певний софт для держави. Всі розробники – це приватні компанії, які не несуть відповідальність. Тепер і Кабмін, і Верховна Рада ініціюють сертифікацію такої продукції якимось органом, який би здійснював контроль.

Коли ДФС зробить нормальне програмне забезпечення для обміну та реєстрації податкових накладних? Хто саботує цей процес?

Ніхто там не саботує. У зв’язку із тим, що люди перейшли і користувалися приватним продуктом, не було стимулу для ДФС розробити власний продукт. Зараз, знаю, вони працюють над цим. Інші структури зрозуміли, що повинна бути альтернатива для клієнта. Наша ініціатива - зобов’язати державу надавати альтернативний продукт для громадян.

Юлія Тунік, Микола Підвезяний, «Главком»