Имидж в ботах

Сообщение ІТ-компании Finjan о том, что «украинские хакеры» создали самую большую в мире сеть зараженных компьютеров, так называемый ботнет, — еще один сомнительный штришок к международному имиджу Украины. К счастью, такие сообщения в последнее время нечасто «тянут» на полномасштабную сенсацию. Злорадство на российских форумах, короткие статьи в Financial Times, Би-би-си и практически во всей компьютерной прессе — и на этом, кажется, все. До следующего «рекорда». Они не медлят — в лидеры поочередно вырываются Россия, Китай и наши замечательные — это признано в мире — ІТ-специалисты, которыми мы могли бы гордиться, если бы они пустили свои таланты на какое-то благородное дело.

Технический директор Finjan Юваль Бен-Ицхак заявил, что ботнет, управляемый с территории Украины, насчитывал 1,9 миллиона зараженных компьютеров, значительная часть которых принадлежала транснациональным корпорациям, а также правительственным структурам в США и Велико­бри­тании. Вообще, в ботнете были компьютеры из 77 правительственных доменов различных стран. По словам ІТ-специалиста, компании Finjan удалось выяснить, что руководила ботнетом группировка из шести преступников.

Информация о сети, по данным Financial Times, была передана правоохранительным структурам США и Великобритании, но сообщения об успехах в поисках преступников пока отсутствуют.

Если быть точным, то до звания самой крупной зафиксированная сеть с якобы находящимся в Украине центром на самом деле немного не дотягивает. Официально признанным чемпионом был вирус Downadup, в начале нынешнего года заразивший и подготовивший к использованию в виде ботнета, по различным оценкам, от 8 до 12 миллионов компьютеров, в том числе в государственных ведомствах практически всех европейских стран. Правда, технические возможности зараженных компьютеров по неизвестным причинам в полной мере так и не были использованы.

После ознакомления с пресс-релизом Finjan остается немало вопросов. В частности, если огромное количество зараженных компьютеров поддается подсчету хотя бы теоретически, то совершенно непонятно, как специалистам по компьютерной безопасности удалось выяснить, что киберпреступников было шестеро. Такую информацию можно получить разве что агентурным способом, но никак не сугубо технологическими изысканиями: понять, сколько живых людей прячется за одним IP-адресом, невозможно. Можно предположить, что определенным способом отслеживались банковские транзакции преступников, но, во-первых, откуда у специалистов Finjan уверенность, что все без исключения участники кибербанды засветились в банках, а во-вторых, оперативно-розыскная деятельность в сферу полномочий компьютерных аналитиков вроде бы не входит. Поэтому точные данные о количестве преступников можно объяснить или утечкой информации из самой группировки, или результатом ударной работы PR-отдела.

Работники СБУ уверяют, что история с гигантским ботнетом не стала для них полным сюрпризом: о его существовании они узнали еще в начале года. Возмож­но, и так. Сюрпризом, очевидно, является не факт существования, а масштабы заражения. Во всяком случае, ситуацию, когда о наличии и размерах ботнета официально объявила посторонняя ІТ-компания, а весь мир говорит о «украинских хакерах», назвать успехом оперативной деятельности СБУ сложно.

Тем не менее вся история наталкивает на несколько невеселых догадок. Во-первых, везением можно назвать тот факт, что найденный гигантский ботнет использовался, очевидно, для тривиальной рассылки спама. Прямой информации об этом нет, но если бы специалисты по Finjan нашли что-то более криминальное, то PR-отдел компании воспользовался бы случаем осветить это в пресс-релизах. Не надо забывать, что Finjan специализируется на продаже компьютерных систем безопасности, и чем больше общественность будет бояться киберпреступников, тем лучше будет идти торговля.

Однако, во-первых, гарантий того, что очередной «украинский» ботнет не будет использован для кражи данных о миллионах платежных карточек, атаки на чьи-то правительственные серверы или массовой рассылки детской порнографии, нет никаких. «Отмывание» имиджа после этого может стать практически непосильной задачей. И если направленная дискредитация отдельной страны нечасто входит в планы обычных киберпреступников, то не стоит забывать, что торговля ресурсами ботнетов — тоже разновидность криминального бизнеса. И сумма 190 тыс. долл., в которую специалисты Finjan оценивали куплю ресурсов найденного ботнета на одни сутки, может оказаться вполне подъемной как для специальных служб недружественно настроенных стран, так и для отдельных специфически настроенных индивидов.

Во-вторых, не радует тот факт, что странами традиционного базирования киберпреступников, в частности и операторов ботнетов, является Россия, Ки­тай, Нигерия и Украина. Конечно, далеко не все хакеры могут похвалиться «трезубым» или «двуглавым» паспортом, но тенденция вынуждает задуматься.

При этом нельзя исключать, что вся история с гигантским ботнетом — не более чем ошибка ІТ-экспертов из Finjan, сознательная или несознательная. В пользу этой версии свидетельст­вует отсутствие немедленного ареста «банды из шести киберпреступников», так хорошо описанной в пресс-релизе.

Сомнения СБУ в реалистичности данных Finjan тоже не стоит сбрасывать со счетов. В случае, если информация об украинских «суперхакерах» не подтвердится, остается надеяться, что украинский МИД сработает на надлежащем уровне.

Георгий КАРПОВ, заместитель начальника управления СБУ по защите информационных ресурсов

— Служба безопасности отсле­живала ситуацию еще в январе—феврале 2009 года. Мы знали, что распространяется специфический вирус, и взяли ситуацию под контроль. Нам удалось обнаружить источник поражения — прежде всего пострадали компьютерные системы государственных органов. Это оказалось следствием несанкционированного использования инфицированных флешек работниками государственных структур. Они просто нарушали правила использования компьютеров, установленных в помещениях органов государственного управления, что и содействовало распространению вируса. Служба защиты информации своевременно отреагировала, заражение было локализовано и преимущественно ликвидировано. Но остались частные сети, которые тоже были инфицированы.

— Источник распространения вируса действительно находился в Украине?

— Обнаружить источник такого специфического заражения очень трудно, поскольку не было командного пункта, из которого исходили распоряжения зараженным системам.

— И все же специалисты по Finjan говорят, что такой источник есть, и находится он в Украине.

— Возможно, этот источник появился позже, и мы еще не успели его зафиксировать. До сих пор у нас не было информации, что эта ботсеть уже была задейст­вована.

— Обращалась ли СБ в компанию Finjan за более подробной информацией? Ведь речь идет о преступлении, к тому же эти заявления портят имидж Украины.

— Я разделяю вашу обеспокоенность. Но Finjan не является государственной структурой, это не ведомство, которое может заниматься раскрытием преступлений, — это коммерческая фирма. Сейчас выясняется, откуда и как они получили эту информацию. Finjan распространил ее 21 апреля, — у нас не было причин обращаться к ним раньше. Разумеется, если им удалось что-то обнаружить, их информация может стать для нас полезной. Вообще же, хочу подчеркнуть, вопросы выявления, предотвращения и прекращения преступных действий относятся к полномочиям компетентных органов как в Украине, так и в других государствах. Только эти органы могут выявлять и расследовать противоправные действия. Если частные компании помогают в этом деле, мы им признательны. Но брать на себя поиск преступников я бы им не рекомендовал. Мы занимаемся этим совместно с нашими зарубежными партнерами, и о результатах расследования сообщим соответствующим образом.

— Ведется ли в Украине отслеживание ботнетов? Ведь это у нас не первый случай.

— Да, мы занимаемся отслеживанием ботнетов. И есть факт привлечения к ответственности киберпреступников — именно за использование ботнетов для реализации DoS-атаки в прошлом году. Сейчас у нас налажено взаимодействие с зарубежными партнерами, в частности для получения подробной информации о грожданах Украины, которые, возможно, принадлежат к преступной группировке.

— Например, по поводу тех шести лиц, которые упоминались в пресс-релизе Finjan?

— У меня вызывают сомнения отдельные моменты в этой информации. В частности, количество задействованных компьютеров и количество лиц. Почему шестеро? Почему не двое? Как им удалось сосчитать преступников? Мы сейчас проверяем эту информацию.

Справка: Ботнет — сеть компьютеров, на которых без ведома пользователей, как правило, с помощью вирусов или огрехов в безопасности операционных систем, устанавливается программное обеспечение, позволяющее посторонним людям — операторам ботнета — выполнять с помощью зараженных ПК разнообразные операции: рассылку спама, DoS-атаки на интернет-ресурсы, шпионство за пользователями зараженных компьютеров и многое другое.