Експерт по киберсигурност разнищи хакерската атака по "Български пощи"
Откупът за Български пощи може да стигне $100 000, има изтичане на лични данни на пенсионерите, зад атаката стои хакерска банда, покровителствана от Русия, смята Любомир Тулев
Любомир Тулев е роден е през юли 1987 г. Завършил е Академията на МВР и ЮЗУ „Неофит Рилски“. Работил е повече от седем години в отдел „Киберпрестъпност“ ГДБОП. В момента е директор "Управлявани охранителни услуги" в DIGITALL. Консултира по темата за информацията и киберсигурността в управлението на InfoSec, тестване и оценки на проникване, SOC, интеграция на системи за сигурност и осведоменост за киберсигурността, пише Телеграф бг.
Притежава множество международни сертификати за киберсигурност и защита на информацията като CCISO, ITIL, ECSA, CEH, CHFI, CEI и др.
- Г-н Тулев, проблемът с „Български пощи“ все още не е разрешен. Стана ли ясно за вас откъде и как е направена хакерската атака?
- За мен още не е ясно точно кой стои зад нея, макар че още от първия ден сякаш имах усещането, че не е точно това, което се казва в публичното пространство.
Официалната информация гласеше, че има технически проблем, който налага местенето на сървърите към държавния облак.
Мои студенти ме питаха веднага дали не става въпрос за т.нар. атака от типа „Отказ от услуга“. Казах им, че няма как да е такава, защото тя трае няколко часа и е насочена към това да не бъдат достъпни онлайн ресурси.
В случая бяха минали повече от 4-5 часа и очевидно сървърите все още не работеха. Ето защо бях воден от факта, че в момента огромен бич за бизнеса и за критичната инфраструктура и държавни администрации по целия свят са т.нар. Криптовирусни атаки.
За съжаление моите очаквания се потвърдиха, когато две седмици по-късно вицепремиерът Константинова излезе във Фейсбук и спомена, че става въпрос точно за този вид атака.
- Кой може да седи зад нея?
Ако погледнем генерално, криптовирусните атаки съществуват от 2012 г. В началото имаха един профил, после го промениха, но винаги зад тях са стояли не конкретни държави, а организирани престъпни хакерски групи.
Сред нашата общност смятаме, че голяма част от тях са покровителствани от различни правителства по света. И САЩ, и много други държави правиха изследвания и доказаха, че хакерски престъпни групи са наистина покровителствани от Русия и в тях участват руски хакери.
Мога да ви кажа една от най-големите банди – Ревю. Ето защо може да се предполага обосновано, че тази атака е дошла от подобна група, която се покровителства от Русия.
Не можем да кажем, че Москва стои директно зад атаката, но може да се предполага, че хакерска група, закриляна и мотивирана от нея, именно може да е като Ревю и т.н. Те са над 20. Това е руската следа. Има и друга.
- Каква друга следа води към Русия?
- Коментирайки официалните изявления, стана ясно, че криптовирусът е бил настроен така, че да не поразява и инфектира компютри и системи, свързани с Русия.
- Възможно ли е да се направи такова нещо?
- Напълно възможно. Има различни фактори и когато вирусът влезе във вашия компютър, ако не са налични, го заразява.
- Каква е целта на атаката – „Български пощи“ оперират най-много с пратки и пенсии, но е и държавна институция?
- Моят прочит на ситуацията е, че тази институция е била сред част от таргета на въпросния вирус. Ще припомня за нашите читатели, че м.г. беше заразен с подобен тип атака и тръбопровод в САЩ. През него минават петрол и газ. Компанията, която го оперираше, беше поразена и не функционираше над 4-5 дни. Това доведе до милиарди долари загуби. Мотивът при тези атаки е финансов и не цели политическо сътресение.
- Но у нас стана и политически проблем, а се говори, че една куриерска фирма е спечелила покрай спирането на пощите?
- У нас стана, да. Но за печалба на фирма не мога да се съглася, защото по последна информация пощите държат едва 2% от изпращането на пратки в страната. Мислите, че тези проценти биха подпомогнали другите две големи две частни компании? Аз не.
Получи се политически отзвук, защото за пореден път за съжаление не се даде достояние на тази информация в обществото още в самото начало.
През годините е неглижиран проблемът със сигурността. Не мога да разбера защо, след като имахме НАП, сега пощите, не се говори и се неглижира проблемът със сигурността.
- Всеки българин би трябвало да се притесни. Как може да се противодейства?
- Нека погледнем природата на този тип атаки. Първо се осъществява нерегламентиран достъп до една система. Една от най-честите хипотези е чрез получаване на измамен мейл с прикачен файл. Той представлява Мауер, който дава отдалечен достъп на хакерите до компютъра ви.
Твърди се в публикации, че въпросният пробив в пощите е станал през служебен компютър, от който служител си е отворил пощата.
Това е голямо нарушение на корпоративната сигурност, това е забранено. Пощата затова е лична и няма как да мине проверката.
Така, отваряйки я, може да стане пробив. Отваряйки този файл, на практика отваряте врата, през която да влезе организираната престъпна хакерска група. На 4 април е станал пробивът според вицепремиера, но тук има и друг проблем.
- Какъв е той?
- Твърди се, че операционната система на служителя е била с инсталиран Windows XP, която е на повече от 15 години и дори официалният производител „Майкрософт“ каза през 2014 г., че няма да я поддържа.
Тя беше известна с много уязвимости. Сега вторият въпрос е, ако се докаже, че това е така, защо „Български пощи“ са били оставени да ползват софтуер, който е известно, че е много пробит.
- Вероятно отговорът е – от безпаричие?
- Да, това е единият отговор. Има втори. Представете си, че ако „Български пощи“ не са ескалирали този проблем, не са го сложили на масата, това означава, че не са си свършили работата. И двете са опции.
Прокрадна се и трети вариант - дали това не е атака от вътрешен човек. Не мога да я изключа, но е технически малко вероятно.
- Как може да се оправи този проблем и пощите да заработят? Не е нормално в 21 век в европейска държава пенсионерите да се редят по опашки и да не могат да си вземат парите...
- Сега ще обясня и нещо друго на читателите ви, за да им стане образно ясно какво се случва. Следващата стъпка, след като вирусът влезе в компютъра, е да свали друг криптовирус. Той инфектира файловете, заключва ги със специален ключ. Когато файлът е криптиран, не може да се отвори, не може да се оперира по никакъв начин с него.
За да можеш да си възстановиш достъпа до него ръчно, трябва да се опитате да счупите ключа, но това би отнело стотици години, и то използвайки супер мощни компютри. Ето затова наистина не може никой да помогне. Има и друг начин – чрез плащането на откуп. Организираните престъпни групи целят да вземат пари, не мислете, че го правят, защото им е кеф. След като заразят компютъра, се дава биткойн адрес, за да се преведе въпросната сума за откупа.
- Има ли вече поискан откуп за „Български пощи“?
- Преди време казах в мое интервю, че най-вероятно е искан, а държавата обясняваше, че не е. В последното изказване обаче беше спуснато сякаш между редовете: „Да, искан е там някакъв откуп, но това е стандартна процедура“.
Не знам точно колко е бил поисканият откуп, но сумата варира. Може да бъде между 0.2 биткойна до 2-3. Към настоящия момент един биткойн се търгува за около $38 хил. Откупът може да варира между $10-15 хил. и да стигне до $100 000, но и нагоре.
- Извинявайте, г-н Тулев, но 10-15 хил. долара за държавна институция не са ли нищожна сума?
- Никога не трябва да се плаща. Това е препоръка, която и аз давам, и всички мои колеги, и ФБР, и международните органи. На брифинга в МС беше казано: „Ние с терористи не преговаряме“.
Това е и правилната политика. Радвам се, че по този въпрос сме на едно мнение. А защо не се плаща откуп? По няколко причини. Първата е, че и да платите парите, никой не ви гарантира, че ще получите ключа обратно.
Парите в биткойни са непроследими. Според официална статистика на IBM от м.г. на-големият платен откуп след заразяване с криптовирус е бил $3.2 млн. Средната цена на откупа за м.г. е била около $170 хил.
- Друга причина защо не се плаща откуп?
- Дори да получите ключа, никой не ви гарантира, че хакнатата информация няма да бъде продадена в тъмния интернет. Според статистиката на IBM в 34% от случаите на платени откупи информацията е била продадена впоследствие.
Има обаче друго нещо, което ме притеснява - какво се случва в тези 10 дни от пробива до самото заразяване. Според официалната позиция на органите няма изтичане на лични данни. Аз съм склонен да считам, че може и да има.
- Защо?
- Защото е стандартна практика при тези атаки. Точно този профил напълно съвпада. Когато престъпните групи пробият една система, имат време да прегледат наличната информация вътре, извличат я, копират я за себе си, криптират файловете и после я използват, за да мотивират жертвата да плати откупа. Но това трябва да кажат разследващите.
- Пощите имат данните, ЕГН-то, адреса на абсолютно всеки пенсионер в България, което е адски голяма база данни...
- За съжаление е така. По предварителна информация на КЗЛД шансът за изтичане е голям. Ако се докаже, пощите могат да получат глоба, близка до тази на НАП – около 4 млн. лв.
- Колко време още може да седи блокирана пощата?
- Добрите практики в нашата сфера казват, че трябва да поддържаме регулярен архив на данните. Той трябва да се пази на различно място. Ще го обясня с пример. Вашият лаптоп съдържа информация.
Вие я копирате цялата и трябва да я съхранявате на друг лаптоп, за да може при атака да задействате другия, за да работите. Ако внимателно прочетете стенограмата от МС, в изказването си съветникът по информационната сигурност спомена: „За съжаление голяма част от архивните копия са безвъзвратно загубени“. Това означава, че не са правени копия.
- Какво правим в тази ситуация?
- Ако имаше резервни копия, можеше до 2-3 дни да се възстанови работата. Но виждаме, че не се случва. Това означава, че сървърите трябва да бъдат изчистени, да се инсталира нова система и да започне да се гради нова база данни. Въпросът е откъде да намерим тази информация.
- Някой от държавата търсил ли ви е за съвет в тази ситуация?
- Не мога да коментирам.
- Това означава нито да, нито не?
- Да, точно така (смее се).
- Вижда се, че България е на супер ниско ниво да реагира срещу хакерски групи. Адекватно ли е според вас да въведем електронно гласуване и такова по пощите?
- Това е дълъг процес и няма как да стане от днес за утре. Трябва да подсигурим първо чисто битовизмите, за да можем да гласуваме електронно. Това означава, че трябва да имаме електронен подпис.
Например в естонските лични карти има чип, в него е сложен електронният подпис, и то от 2015 г. С него могат да се купуват и продават жилища, коли. Та у нас, за да има онлайн гласуване, трябва да предоставим на всеки гражданин е-подпис или да подменим с годините личните карти на гражданите, в които да има инкорпориран подпис.
- Това означава поне 10 години?- Няма как да стане за година-две. Вторият проблем е сигурността. За да можем да позволим онлайн гласуване, трябва да бъдат изчислени всички вектори на заплахи. Така ще можем да вземем превантивни мерки и да сме защитени в подобна платформа за онлайн гласуване. Това изисква доста мислене и доста работа. Изисква се и стратегия.