— Действительно ли банки перестали грабить?
— Нет, банки не перестали грабить. Если мы говорим про киберограбления, а не про физический взлом хранилищ (про последнее я ничего сказать не могу, просто не знаю). Если же говорить про кибервзломы, то они фиксируются, но успешность этих атак значительно снизилась.
— Какие группировки лидируют на рынке кибервзломов банков?
— В этом деле преуспевают северокорейские преступные группировки, однако громких инцидентов, как, например, ограбление бангладешского банка в 2016 году (имеется в виду кибервзлом ЦБ Бангладеш, когда было украдено $81 млн), давно не фиксируется.
— Получается, банки все-таки удалось надежно защитить?
— Уровень защищенности банков сильно вырос. Но пройдет какое-то время, злоумышленники подтянутся, усовершенствуют свои инструменты и продолжат искать уязвимости в защите финансовых организаций. Ведь всегда в процессах «противостояния щита и меча» есть волны.
За последние 2–3 года банки сделали кибербезопасность приоритетом №1 в своей деятельности, туда были направлены огромные денежные вливания, поэтому сейчас мошенники ринулись грабить криптобиржи, которые в данный момент защищены слабее. Вполне вероятно, что в обозримой перспективе мы опять увидим, как «броня» банков в разных странах будет повержена, а криптобиржи, наоборот, укрепятся.
— За счет чего они укрепятся?
— Они будут переманивать специалистов по информационной безопасности из государственных и банковских структур, которые в результате поднимут уровень защищенности криптобирж. Сейчас этот процесс уже идет.
— В «Лаборатории Касперского» вы занимаетесь исследованием целевых атак. Можно ли сказать, что целевые атаки самые сложные?
— Да, так можно сказать. Целевая атака, которая обычно проводится АРТ-группировками (Advanced Persistent Threat — высокоуровневая устойчивая угроза), — это особо продолжительная атака повышенной сложности. Выбор жертвы тут не может быть случайным: это или крупный бизнес, или государственные организации, которые имеют дело со сверхсекретными данными, или военные организации и т.д.
Под такие атаки пишется специализированное ПО, цель которого — обход систем, защищающих от киберугроз. Цель таких программ проникнуть, закрепиться в системе и скрытно существовать в ней. Такие программы очень сложно обнаружить, они могут проводить в компьютерных сетях жертвы дни, месяцы и даже годы.
— Можно ли такие программы назвать самыми сложными из тех, которые вообще разрабатываются мошенниками?
— Есть программы и посложнее. Это так называемое кибероружие. Если программы, предназначенные под целевые атаки, направлены на шпионаж, то есть на сбор конфиденциальной информации внутри защищенных систем компаний, где есть промышленные, коммерческие секреты или государственные секреты, то кибероружие нацелено на проникновение внутрь критической инфраструктуры и ее разрушение.
То есть это программа, которая, например, попадает в критическую систему промышленного предприятия или атомной станции, или космических нанотехнологий и выводит из строя оборудование.
— Можно ли привести пример, где использовалось кибероружие?
— Этих случаев действительно мало — буквально единицы — именно из-за того, что написать такой код очень сложно. Самый известный случай — Stuxnet — вредоносный компьютерный червь. Его открыли в 2010-м, а разрабатывался он предположительно с 2005-го. Это был вредонос, который проник в инфраструктуру иранского предприятия по обогащению урана. Он проник туда и подключился к промышленным центрифугам, перехватил управление ими и отдал команду на использование при повышенных оборотах. Эти центрифуги стали крутиться очень быстро и разрушились. Кроме того, они разрушили помещения, в которых находились. Это было сделано, чтобы остановить ядерную программу Ирана.
— Почему написать такой код так сложно?
— Во-первых, нужно знать специфику этих устройств, — в данном случае центрифуг. Нужно написать код, который сможет правильно взаимодействовать с ними. Нужно придумать, как этот код доставить. Нужно создать такие условия с учетом специфики предприятия, чтобы удаленно протестировать написанный код.
Это огромные усилия программистов и различных технарей, связанных именно с «железом». Причем специалистов очень высокого уровня. Поэтому подобные атаки можно разработать только усилиями государства.
— Так сейчас уже известно, кто сумел создать Stuxnet?
— Существует предположение, что это была совместная кампания спецслужб нескольких стран.
— Можно ли назвать кибероружием взорвавшиеся пейджеры «Хезболлы»?
— Нет, это нельзя назвать кибероружием, потому что там не использовались вредоносные программы. Там было все сделано на уровне микроконтроллеров. Из пейджеров просто сделали оружие, заложив в них взрывчатку.
— А DDoS-атаки можно причислить к кибероружию?
— Нет, хотя DDoS-атаки часто могут быть прикрытием для проведения более сложных атак.
— Что еще можно назвать кибероружием?
— С натяжкой можно сказать, что к кибероружию относятся так называемые вайперы или «стиратели». Это не очень сложная программа, цель которой уничтожить все данные, до которых она может «дотянуться». В результате компьютер просто не грузится. Случаев с вайперами по миру довольно много.
— С начала СВО количество атак на российские ресурсы с помощью вайперов увеличилось?
— Да, с 2022 года они участились. Кроме того, появились вайперы, которые маскируются под шифровальщиков. Они вымогают деньги, но потом восстановить данные нельзя, похожие атаки совершали группы хактивистов Twelwe, KeyGroup, BlackJack. Вероятно, одни и те же атакующие могут называть свою группу одним именем и преследовать политические мотивы, а затем представляться по-другому и нацелиться уже исключительно на финансовую выгоду.
— Какое будущее у кибероружия?
— Такое же, как и у киберпреступников, — оно никуда не денется. Кибероружие будет эволюционировать, я не исключаю того, что оно будет взаимодействовать с системами искусственного интеллекта. Впрочем, ИИ может быть и целью атаки кибероружия.
— Сейчас уже существуют так называемые «джейлбрейки» — это компьютерные программки, которые являются «сывороткой правды» для больших языковых моделей, таких как ChatGPT или GigaGPT. Под действием этих программ ИИ начинает говорить то, что не выдаст из-за вложенной в него разработчиками этичности. Вы их имеете в виду?
— Нет. Обыкновенный GPТ-джейлбрейк единственное, что может сделать, — это разболтать какие-то данные, не предназначенные для публичного использования. Допустим, как сделать коктейль Молотова. Но оружием в данном случае будет человек и сам коктейль.
Я же говорю о кибероружии. Представьте, что скоро искусственный интеллект будет полностью контролировать, например, дорожный трафик. Что будет, если кибероружие вмешается в процесс управления трафиком беспилотных автомобилей? То же самое касается поездов и самолетов.
— Говорит ли это о том, что неминуемо разделение интернета на национальные зоны со своими границами?
— Эксперты уже давно предрекают «балканизацию» интернета. С моей точки зрения, тренды к этому идут: изолируются не только страны, но мы уже видим отдельные сети, например, крупных корпораций. Так что да, возможно появление отдельных видов интернета не только на уровне страны, но и на уровне различных сообществ.
— Как будет выглядеть эта карта с границами интернета?
— Мне кажется, эта карта будет очень динамической, она будет постоянно меняться. Границы будут объединяться, «схлопываться» и наоборот. Это будет происходить в зависимости от инцидентов, в зависимости от регуляторов. Будут появляться новые законы, которые определят правила существования в интернете. В разных странах эти законы будут сильно отличаться. Та Solid-структура интернета, которая была основана в 2000-х, распадется.
— Между национальными сетями будут вестись войны с помощью кибероружия?
— Уже ведутся, просто они невидимы. Эти войны, конечно, будут продолжаться, как на глобальном уровне между государствами, так и на мелком уровне между различными IT-наемниками, работающими по заказу, киберкриминалом. Это будет большой ком угроз, в котором нам, исследователям, придется разбираться.