Голова Департаменту кіберполіції Сергій Демедюк: "Проти України ведуть цілеспрямовану кібервійну. Все вказує на причетність РФ"

Автор: Тетяна Бодня

Про причини й наслідки недавньої масштабної кібератаки; що опинилося в руках тих, хто запустив вірус-вимагач; як довго і яким чином реалізовували злочинний задум, - в інтерв'ю "Цензор.НЕТ" розповів голова Департаменту кіберполіції Нацполіції України Сергій Демедюк.

"РАСПРОСТРАНЕНИЕ ВИРУСА БЫЛО ЯВНО НАПРАВЛЕНО НА ДЕСТАБИЛИЗАЦИЮ ЭКОНОМИЧЕСКОГО СЕКТОРА"

- Сергей Васильевич, какова была конечная цель хакеров, запустивших вирус Petya?

- Мы пока не можем однозначно говорить о конкретной цели, только о фактах, которые нам известны. Но распространение вируса было явно направлено на дестабилизацию экономического сектора. Украина является в данной ситуации нулевым реципиентом.

- По какому принципу хакеры выбирали коммерческие предприятия для атаки?

- Они их не выбирали. Они выбрали компанию М.Е. Dос, зная, что их программа обеспечивает большинство пользователей экономического сектора. Было рассчитано на то, что все договоры заключены официально, лицензии приобретены и программа по умолчанию включена на автоматическое обновление. Хотели поразить таким образом как можно больше объектов.

- Но представители компании отрицают какую-либо причастность и заявляют, что заинтересованы в расследовании и сотрудничают с полицией. А также о том, что актуальная версия пакета обновления была выпущена 22 июня, все файлы были проверены на наличие каких-либо вирусов.

- Безусловно, есть презумпция невиновности. Но в этом случае мы вынуждены были пойти на беспрецедентные меры и сообщить об источнике распространения вируса на основании полученных только предварительных заключений, для того, чтобы уберечь остальных пользователей от заражения. Когда мы во вторник об этом сообщили, нам удалось очень многих предупредить и предотвратить вмешательство. Кто-то успел не активировать данную программу, кто-то просто остановил автоматическое обновление. Те, кто даже обновлялся, не устанавливали, а откатили все на границу 22 июня. Таким образом, они сохранили свою технику и свои ресурсы.

- А могли собственники этой программы не знать о том, что она содержит вирус?

- Конечно, могли. То, что к ним проникли извне, мы уже установили на 90%. Но мы также установили, что они об этом знали. Мы их около месяца назад предупреждали о проблеме, о том, что есть уязвимости защиты их системы. К тому времени у нас не было таких оснований, как на сегодняшний день, считать, что их могут использовать в качестве источника транспортировки вируса. Поэтому согласно нашему положению мы просто их информировали о том, что необходимо принять меры. Они на это не отреагировали. Откровенно говоря, они просто проигнорировали. Также нам стало известно, что антивирусные компании, которые их обслуживают, тоже их об этом предупреждали. Прямо сообщали, что на их серверах, на их программном обеспечении, существует вредоносное программное обеспечение. То есть вредоносный код, который может поражать технику их пользователей.

- То есть, они сознательно это сделали?

- Это установит следствие.

- Можно будет выставлять им через суд претензии?

- Думаю частично. Претензии только к компании, которая не предприняла мер безопасности для своих клиентов. Не они разработчики вируса и не они его прямые распространители. Но они по сути являются дверью, ведущей к потребителям, которые им доверились и которые их обновление и данные, приходившие с их серверов, воспринимали как должное.

- Сергей Васильевич, можно говорить, что против Украины ведется кибервойна и такие атаки в разной форме могут повторяться?

- По природе атаки направлены на определенную цель. Их часто используют мошенники, рассчитывая на получение выкупов. Они направляют только на тот объект, который их интересует. Чтобы потом с ним общаться. А в данном случае уязвимости программы использовались для того, чтобы поразить как можно больше пользователей. То есть, создать глобальную дестабилизацию. Использован целенаправленный, диверсионный способ атаки. Кто это сделал, мы пытаемся сейчас установить.

- Есть понимание, кто заказчик?

- Относительно заказчика сказать не могу, пока мы не задержим непосредственно распространителя. Либо он нам объяснит и назовет имя, либо мы получим доказательства причастности того, кто сделал заказ.

- То, что произошло, реализовал один человек?

- Мы предполагаем, что это группа лиц.

- Они находятся в одной стране?

- Пока подробнее говорить не буду, в интересах следствия. Отмечу лишь несколько важных нюансов. Этот вирус использует те уязвимости, информация о которых была опубликована хакерской группировкой относительно инструментов АНБ (спецслужбы США). Эти инструменты использовались для определенных разведывательных целей.

Было опубликовано большое количество эксплойтов и других уязвимостей тех или иных систем. С момента опубликования прошло достаточно много времени. Все компании, которые там были указаны, и имели определенные уязвимости разработали определенные обновления и другие инструменты, позволяющие их позакрывать. А вот пользователи не уделили этой информации должного внимания.

Например, в данном случае, вирус, который распространяется, использует уязвимость системы Windows. Как было с предыдущим вирусом " WannaCry", который распространялся полтора месяца назад. Украину, слава Богу, на тот момент он не зацепил, но мы тогда начали всем сообщать, что есть уязвимость системы Windows и ее необходимо закрыть очень простым способом – обновить свое программное обеспечение, дополнительно также установить локальную действующую антивирусную программу для того, чтобы не стать потерпевшими. Большинство этого не сделали.

Причем тогда эти советы давала не только полиция, но и СБУ, и ГССЗЗИ. Проигнорировали все рекомендации, которые были опубликованы. Даже те средства массовой информации, которые сами и распространяли эту информацию. Сейчас с высокой долей вероятности мы можем прогнозировать, что другие способы, которые там были изложены, также будут использованы. Мы будем и в дальнейшем стараться активно информировать всех, кто к нам обратился с заявлениями, а их у нас уже более трех тысяч, что необходимо сделать. Проанализировав те уязвимости, которые были опубликованы данной группировкой, мы периодически создаем и опубликовываем максимально доступные рекомендации.

- Не читала. А что, нужно полностью отказаться от системы Windows?

- Мы этого не утверждаем. Просто есть много других, бесплатных операционных систем, и они ничем не отличаются. Часто люди, чтобы не покупать, ищут пиратскую версию. Но на таких взломанных ОС полностью отключена защита и возможность установления обновлений.

- Все-таки Вы не ответили прямо на мой вопрос. Можем ли мы говорить, что против Украины ведется кибервойна, что ее начали без объявления?

- На основании анализа тех киберинцидентов, которые мы фиксируем в течение последних трех лет, я могу сказать прямо: против Украины ведется целенаправленная кибервойна.

- Кто за ней стоит?

- Все, что мы видим и документируем, указывает на причастность Российской Федерации.



"БИТКОИНЫ У НАС ФИГУРИРУЮТ ПРАКТИЧЕСКИ ВО ВСЕХ ПРЕСТУПНЫХ СХЕМАХ"

- Информацию украли или уничтожали? Что попало в руки тем, кто запустил последний вирус, и какими могут быть дальнейшие последствия?

- Нами было установлено, что поражение информационных систем украинских компаний произошло через обновление программного обеспечения, предназначенного для отчетности и документооборота – "M.E.Doc".

По полученным данным, злоумышленники совершили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения - ООО "Интеллект-Сервис".

Получив доступ к исходным кодам, они в одно из обновлений программы встроили бэкдор (backdoor) - программу, которая устанавливала на компьютерах пользователей "M.E.Doc" несанкционированный удаленный доступ. Такое обновление программного обеспечения, вероятно, произошло еще 15.05.2017 года. Представители компании-разработчика "M.E.Doc" были проинформированы о наличии уязвимостей в их системах антивирусными компаниями, но это было проигнорировано. Компания-производитель отрицает проблемы с безопасностью и назвала это совпадением.

Вместе с тем установлено, что обнаруженный бэкдор по функционалу имеет возможность собирать коды ЕГРПОУ пораженных компаний, и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей.

Злоумышленники, с целью сокрытия удачной кибероперации относительно массового поражения компьютеров и несанкционированного сбора с них информации, тем же самым способом, через последние обновления ПО "M.E.Doc" распространили модифицированный ransomware Petya.

Удаление и шифрование файлов операционных систем, было совершено с целью удаления следов предварительной преступной деятельности (бэкдора), и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших.

- Почему объекты критической инфраструктуры оказались не защищены?

- Это неправда. Объекты критической инфраструктуры не пострадали. Я не говорю о банках и госпредприятиях. Они – отдельные субъекты хозяйствования и сами занимаются вопросами безопасности. Но не один из тех субъектов, которые находятся под защитой ГССЗЗИ, не пострадал.

- Торгово-промышленная палата Украины получает многочисленные обращения предпринимателей, пострадавших от кибератаки на корпоративные сети, с просьбой заверения форс-мажорных обстоятельств. И публично переадресовывала предпринимателей в киберполицию за справками. Готовы выдавать?

- У нас очереди стоят уже почти неделю, предприниматели обращаются, чтобы мы могли зафиксировать факт заражения техники вирусом, от которого они пострадали. Это является основанием для налоговой службы отсрочить каким-то образом сдачу отчетности. Кроме того, сейчас обсуждаем с фискальной службой еще одну проблему относительно компании М.Е. Dос. Нужно принимать кардинальное решение. Все замкнуто на эту компанию, все отчеты через них. Мы, как киберполиция, будем рекомендовать всем пользователям полностью отказаться от данного продукта. Есть много аналогичных программ, как отечественных, так и иностранных. Но это временной период, определенные финансовые затраты, потому что люди проплатили уже годовые лицензии. Некоторые это сделали недавно. Думаю, тот, кто волнуется о своей безопасности, особенно у кого огромная сетевая система, вынужден будет пойти на такой шаг.

- Сколько открыто уголовных производств и сколько человек признано пострадавшими?

- На данный момент открыто 597 уголовных производств по статье 361 Уголовного кодекса, 1047 юридических и физических лиц обратились с официальными заявлениями в правоохранительные органы с этой проблемой, которые в дальнейшем могут быть признаны потерпевшими. Но в большинстве случаев к нам продолжают обращаться преимущественно с целью консультации.

- А что вы обсуждаете с фискальной службой?

- Их взаимодействие с субъектами. Чтобы отсрочили на время подачу отчетности или предприняли другие меры, чтобы люди смогли восстановить отчетность и установить новые программы.

- И что говорят? Готовы предоставить такой временной люфт?

- Говорят, что пока нет законодательных оснований. Но они предпринимают все возможное для этого.

- Были те, кто заплатил вымогателям?

- Нам известен лишь один факт. Предприятие очень большое. Им очень нужно было работать, поэтому и решили заплатить.

- Помогло?

- Нет, код расшифровки так и не пришел. Потеряли очень большое количество техники.

- При последней кибератаке вымогали $300 в биткоинах. Но насколько мне известно, в Украине вопросы, связанные с криптовалютой, законодательно не урегулированы. Как в подобных случаях считается ущерб для суда? Суммы ведь могут быть гораздо больше. Давали ли предложения касательно законодательного регулирования в Украине расчетов в криптовалюте?

- Некоторые страны биткоин легализируют. Но это их ответственность и финансовое обеспечение решения о том, что они разрешают оборот такой денежной единицы. Соответственно они должны его финансово подтвердить. У нас в Украине этого нет. Нацбанк не признает данную валюту, как платежный инструмент, считая ее суррогатом, поэтому подсчет убытков пострадавших вследствие таких операций под вопросом.

На данный момент у нас предусмотрена ответственность только за незаконные электронные платежи. Криптовалюта – это не классические электронные средства, а с определёнными техническими нюансами. Мы предлагаем внести ответственность за их использование. Я лично не сторонник легализации таких средств.

- Почему?
 
- Потому что это платежная система, которая дает возможность преступникам беспрепятственно вымогать, получать выкупы, оплачивать оборот запрещенных товаров и т.д. Платежи, которые проводятся по этой системе в биткоинах, достаточно сложно вычислить из-за анонимности записи отправителя и получателя. Грубо говоря, это код из 34 буквенных и числовых символов, который никак не указывает на лицо и место происхождения, как отправителя, так и получателя. Такой инструмент анонимного трансфера денег, по сути, позволяет "обойти" государственные системы и контролирующие органы.

Биткоины у нас фигурируют практически во всех преступных схемах. Похищение людей, продажа оружия, наркотиков. Международное распространение таких платежей делает эту категорию услуг привлекательной для таких противоправных действий, как отмывание средств, полученных преступным путем, или финансирование терроризма.

- Украина беспрецедентно открыта в вопросе данных, поднявшись на 18 пунктов и заняв 44 место в мировом рейтинге открытости данных. Киберполиция что-то делает, чтобы защитить базы данных? Есть ли преступления, которые связаны с несанкционированным проникновением в базы?

- Мы проводим круглосуточный мониторинг сети интернет в том числе и так называемой темной части "Даркнет" на предмет продажи или распространения персональных данных граждан Украины для дальнейшего использования в оперативной работе. Также специалисты Департамента предоставляют консультации в сфере кибербезопасности государственным организациям, с целью предотвращения утечки конфиденциальной информации из баз данных, которыми они владеют.

Благодаря усилиям сотрудников Департамента была прекращена деятельность сайта vse - ua, на котором размещалась база персональных данных граждан Украины.

Также оперативно сопровождаем производство о вмешательстве в работу реестра госимущества, которое расследует ГСУ. С помощью программ шпионов злоумышленники получали логины, пароли и электронные ключи нотариусов для того, чтобы в дальнейшем от имен нотариусов вносить изменения в реестр имущества. Подробнее рассказать не могу, тайна следствия.



- Кто продает базы данных? Кого задерживаете?

- Продают, как правило, не всю базу, а урезанный вариант. В большинстве случаев – это мошенники, которые давно украденную базу, выдают за новую. Но есть не единичные случаи, когда мы выявляем и задерживаем лиц, которые распространяют как раз актуальные на данный момент базы данных. Сейчас разрабатываем группу, один из участников которой рассказывает, что у него уже есть база данных миграционной службы по ID -паспортам. Он показывает потенциальным покупателям скриншоты базы, которая якобы у него есть, но проверить ее на достоверность мы пока не можем. Возможно, он свою фотографию показывает. А может действительно у него есть доступ. Мы исследовали базу "Захист", следов вмешательства не нашли. Это означает, что непосредственно несанкционированного вмешательства из открытого интернета не было. Но не исключено, что кто-то мог через какой-то носитель физически получить определенную информацию и вынести ее. Это тоже нужно отслеживать и устанавливать. Человеческий фактор – это основная причина всех преступлений в безопасности. Даже если какая-то компания вложит огромные деньги в свою IT-безопасность, действие одного человека из этой компании может свести ее на нет. Например, сделают закрытый контур, чтобы из интернета не могли поступать какие-то вредоносные программы, но один сотрудник придет со своим зараженным ноутбуком, несанкционированно подключится к этой сети, и вся система "ляжет". Такой троян откроет систему, где все настройки безопасности ориентированы на внешние атаки, изнутри.

Как, к примеру, воруются базы данных? Подкупаются сотрудники, у которых есть к ним доступ. Они могут быть даже не технари и не знать, как все скачать. Но им достаточно вставить флешку с вредоносным программным обеспечением, дальше преступники уже сами получат доступ.

- Какие базы самые востребованные?

- В основном базы фискальной службы.

"МЫ ПРЕИМУЩЕСТВЕННО ВЕРБОВКОЙ ЗАНИМАЕМСЯ В ВИРТУАЛЬНОЙ СРЕДЕ"

- Есть случаи, когда к компьютерам госорганов присоединяются программы, которые незаметны, но воруют информацию? Выявляете отправителей? Технические возможности полиции это позволяют?

- Технических возможностей не всегда хватает, но благодаря высокому уровню знаний "спецагентов", в 99% случаев удается быстро отреагировать на угрозу и предупредить негативные последствия и выявить преступника.

- Как узнать, что такая программа присоединилась?

- Все вредоносные программы это делают в фоновом режиме. Пользователь не заметит. Но есть много антивирусных программ, много софтов, позволяющих просканировать вашу технику. Если вы не специалист. Специалист по системным файлам, корневым папкам это обнаружит. Но этим нужно заниматься.

Есть немало хакеров, которые постоянно чего-то опасаются. Они могут по несколько раз в сутки проверять свою технику, смотреть, чтобы к ним никто не присоединился. У меня, видите, камеры на мониторах только заклеены, а у них вообще выковыряны. Они знают, что может быть и как это делается, поэтому стараются себя обезопасить.



- Бывают случаи, что отслеживают или взламывают почту чиновников?

- Да, такие обращения поступают. Сейчас ведется расследование по одному из таких фактов. Но подробнее пока информацию дать не можем.

Все атаки, все взломы аккаунтов, почтовых ящиков, в преимущественном количестве случаев происходят через полученные фейковые письма. Наши люди очень доверчивы. Поэтому у нас в Украине процветает мошенничество в любой форме. У нас 60% киберпреступлений – это мошенничество. Приведу пример. "Приват-банк" в своих банкоматах, прежде чем провести операцию, на весь монитор пишет предупреждение: если вам позвонили и сообщили, чтобы вы пришли к банкомату и провели там определенные операции, это делает не банк, а мошенники. Наши люди беспечны настолько, что даже не читают, а идут на поводу у мошенников.

- Украинские ІТ-специалисты – одни из лучших в мире. Работают ли хакеры высокого класса в киберполиции?

- В прошлом году нам удалось набрать "белых" хакеров. Требования выдвигались очень серьезные. У нас было 30 должностей спецагентов. Нам удалось набрать только 20 человек. А подавали заявки свыше 10 тысяч кандидатов.

- Чем удерживаете?

- Даже в тех государствах, где такая работа оплачивается на очень высоком уровне, не могут удержать специалистов. Потому что корпорации их перекупают за очень большие деньги.

Есть две категории таких людей. Это люди, которые никогда в бизнесе не работали. Они всегда работали на государство. И когда им предлагают большие деньги, они уходят. А есть среди хакеров те, для кого деньги не основной приоритет. Им нужно развитие, постоянное движение вперед.

Мы поступили иначе. Набрали людей, которые уже состоялись, уже успели поработать в бизнесе. Когда перешли к нам, увидели, что есть много других возможностей, специфическое обучения.

К нам зашло много патриотов. Когда мы общались на собеседовании, они прямо говорили, что хотят нам помочь стать на ноги и достойно противостоять вызовам, которые сегодня есть. Я ими горжусь. Всем говорю, что не дам их в обиду.

Мы им установили зарплату по сравнению с другими полицейскими очень высокую – 35 тысяч. Сейчас добиваемся, чтобы им снова ее поднять.

Но человека, который заинтересован только в деньгах, мы никогда не удержим. Он все равно уйдет, каких бы тепличных условий мы не создавали.

- Уходят?

- Все, кто пришел, остались. Проблема с оперативниками. Уже около 50% из тех, кто пришел вначале, оставили службу. В большинстве случаев они шли с "гражданки" и думали, что сядут за компьютеры и будут что-то делать. Представляли, что как в американских фильмах, что он агент киберполиции и будет только за компьютером работать, что его научат за 4 месяца тем специальным знаниям и программам, которым люди обучаются всю жизнь и каждый день занимаются самообразованием. Думали, что будут раскрывать преступления, не выходя из кабинета. Оказалось, что надо и в засадах сидеть и ногами очень часто бегать, и заниматься агентурной работой.

Она у нас не классическая. Мы преимущественно вербовкой занимаемся в виртуальной среде. Когда на начальном этапе не понятно, кто там скрывается на самом деле и за кого себя выдает. Если видим, что объект нас интересует, включаем много сил и средств, чтобы его завербовать. Это также общение на закрытых чатах, форумах, где специалисты и профессиональные хакеры между собой общаются. Для них не представляет особого труда выявить полицейского, который выдает себя за хакера. Поэтому свой уровень нужно повышать постоянно.

Реформа киберполиции – это реформа которая была инициирована лично министром. Ее начали внедрять еще задолго до патрульной полиции. На мой взгляд, она удачная. Удалось многое сделать. К нам приезжают международные партнеры обмениваться опытом. После нас аналогичную полицию создали в Польше. Немцы тоже в этом очень заинтересованы. Раньше они не сталкивались с такими проблемами и у них не создавались отдельные подразделения для борьбы с киберпреступностью. Да, нам сложно, нет такого финансирования, которое необходимо. К примеру, в той же Польше создали и сразу дали 100%-е финансово-материальное обеспечение.

В основном мы получаем финансирование только на зарплаты. Поддерживать материально-техническую базу помогают международные партнеры по работе.




- Какая средняя нагрузка на оперативника?

- Всего по Украине в киберполиции работает 271 оперативник (инспектор), в среднем каждый сопровождает по 19 профильных уголовных производств одновременно, не считая рассмотрения заявлений, которые поступают через форму обратной связи, в этом году поступило более 12 тысяч таких обращений. Кроме этого, они занимаются агентурной и оперативно-розыскной деятельностью, оказывают содействие в расследовании других уголовных производств, сопровождаемых другими службами и органами. Оказывают техническую помощь в осмотре изъятой техники.

- Как продвигается расследование по делу о киберсети "Аваланж", которой распространялось вредоносное программное обеспечение с целью похищения средств с банковских счетов? Что с розыском Капканова, которого подозревают в организации этой сети?

- Данное производство находится в активной фазе расследования. Как на территории Украины, так и на территории Германии. Установлено много дополнительных фактов, много соучастников этой преступной схемы. Я бы не хотел разглашать на данном этапе лишнего. Все необходимые меры для установления местонахождения Капканова нами предпринимаются.

- Он продолжает вести какую-то деятельность?
 
- Нет, все те ресурсы, которые были нами установлены, погашены и никакой активности там нет. Есть активность другой группировки, которая помогала им в легализации похищенных денег. На 50% мы приостановили ее деятельность, работаем дальше с международными партнерами.



- Часто участвуете в международных спецоперациях? С какими иностранными правоохранительными органами взаимодействуете?

- Да. Нам научились доверять, поняли, что мы не продаем информацию.

Мы сотрудничаем с правоохранителями стран Европы и США. К примеру, была предоставлена помощь компетентных органам США относительно расследования деятельности группы лиц, которые легализуют доходы, полученные путем использования вредоносного программного обеспечения во время мошеннических электронных переводов денежных средств, которые изымались с банковских счетов потерпевших. Общие убытки измеряются суммой свыше 82 млн. долларов США.

Операция Pacifer, организатором которой выступило ФБР. Ее задачей было установить и привлечь к уголовной ответственности лиц, которые использовали различные скрытые " TOR формулы" системы общего доступа Интернет для распространения и сбыта детской порнографии, а также организовывали детский "секс-туризм" в разные страны мира.

Есть много других уже реализованных спецопераций и тех, которые проводятся сейчас. Но наше сотрудничество не ограничивается только мерами по совместному расследованию трансграничных преступлений. Мы работаем над усовершенствованием законодательства и упреждения киберпреступлений, в рамках ряда масштабных проектов, к которым привлечены страны Европы и НАТО.


Татьяна Бодня, для "Цензор.НЕТ"
Фото: Наталия Шаромова, "Цензор.НЕТ"