Георгий Кучерин, Kaspersky GReAT: Борьба со злоумышленниками – это бесконечная игра в «кошки-мышки»

Обеспечение информационной безопасности требует от ИБ-специалистов постоянного развития: нужно разрабатывать эффективные способы защиты и предотвращения угроз, ведь злоумышленники все быстрее учатся создавать новые ВПО и методы атак. Георгий Кучерин, эксперт Kaspersky GReAT, рассказал в интервью Cyber Media об эволюции вредоносного ПО, поделился наблюдениями о трендах в сфере информационной безопасности и прогнозами на будущее.

Cyber Media: На ваш взгляд, какие факторы или события сильнее всего повлияли на разработку вредоносных программ? Совпадают ли они с факторами, которые серьезно сказались на разработке легитимного ПО (появление новых фреймворков и языков, развитие open-source, облачные технологии и т. д.)? Есть ли локальные события, которые актуальны только для вредоносов?

Георгий Кучерин: Новые вредоносные программы появляются регулярно. И одна из главных причин – это то, что мы, исследователи киберугроз, активно предпринимаем меры для борьбы со зловредными файлами. Чтобы продолжать совершать атаки, злоумышленникам необходимо придумывать новые инструменты, которые еще не попадали в поле зрения ИБ-специалистов. Стараясь максимально предотвратить заражения, мы изобретаем различные техники противодействия атакующим. В свою очередь, разработчики вредоносов активно противодействуют нашим усилиям: они пытаются конструировать вредоносный код так, чтобы придуманные нами техники не смогли остановить его работу. И, разумеется, эти попытки мы не оставляем без ответа. Таким образом, наш процесс борьбы со злоумышленниками – это некая бесконечная игра в кошки-мышки.

Эта «игра» имеет скорее локальный характер – события, которые в ней случаются, по большей части заметны лишь специалистам по кибербезопасности и самим киберзлоумышленникам. Однако нововведения, которые появляются внутри ИТ-индустрии в целом, также влияют на развитие вредоносных программ. Например, если в среде разработчиков начинает набирать популярность новый язык программирования, создатели вредоносов тоже начинают его использовать – в таком случае мы, исследователи, изобретаем различные эффективные методы анализа программ на этом языке.

Cyber Media: Как за последние десять лет изменилась функциональность вредоносных программ? Какие фичи и инструменты утратили свою актуальность, а какие, наоборот, стали более востребованы на рынке ВПО?

Георгий Кучерин: Если говорить про то, что исчезает, то мы видим все меньше вредоносных программ, которые распространяются через флеш-накопители. За последнее десятилетие стали крайне популярными мессенджеры и облачные сервисы для хранения файлов, и благодаря этому мы стали обмениваться файлами преимущественно с помощью интернета, а не через «флешки». Это и привело к тому, что вредоносных программ, которые распространяются через интернет, стало больше, а с теми, что осуществляют заражения через физические накопители, мы сталкиваемся меньше.

Что касается вредоносов, ставших наиболее популярными, то за последнее десятилетие крайне серьезной угрозой для компаний стали шифровальщики-вымогатели. В 2010-х годах стали обретать популярность различные криптовалюты, и это позволило злоумышленникам вымогать у компаний крупные суммы денежных средств, требуя переводить их на криптокошельки для восстановления доступа к зашифрованным файлам: при этом использование криптовалют позволяет им сохранять анонимность.

Кроме того, развитие высокоскоростного интернета за последнее десятилетие привело к тому, что злоумышленники, помимо шифрования, получили возможность быстро выгружать данные из корпоративных сетей. Это, в свою очередь, позволило злоумышленникам, распространяющим шифровальщики, дополнительно шантажировать жертв: в случае неуплаты выкупа в последние годы они часто угрожают опубликовать файлы из сети компании, содержащие конфиденциальную информацию.

Cyber Media: Поделитесь вашими наблюдениями, какие особенности, недостатки, интересные решения в контексте вредоносных программ вам запомнились больше всего?

Георгий Кучерин: Один из наиболее интересных видов кибератак, который набрал популярность за последние несколько лет, это атаки на цепочки поставок. Происходят они так: злоумышленники взламывают разработчиков какой-либо программы, а затем внедряют в эту программу вредоносный код. Этот зловредный код впоследствии попадает на компьютеры всех пользователей зараженной программы – и если эта программа крайне популярная, то вредоносное ПО распространяется на огромное количество компьютеров. Так как эти атаки зачастую имеют массовый характер, то их обнаружение вызывает широкий общественный резонанс, в частности, в ИТ-индустрии. При этом обнаружить подобные атаки не так просто: ведь найти вредоносный имплант, спрятанный внутри огромного пласта легитимного кода, – это нелегкая задача, сравнимая с тем, что иголку ищут внутри стога сена.

Cyber Media: Правда ли, что авторы вредоносов оставляют различные послания во вредоносных программах для исследователей, которые будут их анализировать? Насколько часто подобные вещи встречались в вашей практике?

Георгий Кучерин: Да, это правда, и такие сообщения мы видим нередко. В коде встречается разное: и призывы наподобие «брось анализировать эту программу», и отсылки к различным книгам и фильмам, иногда даже попадаются анекдоты. Помимо этого, в последние годы российские компании стали очень часто атаковать хактивисты – политически мотивированные злоумышленники. В коде, который разрабатывается хактивистами, мы часто встречаем упоминания различных политических лозунгов.

Cyber Media: Сейчас очень много говорят о том, что злоумышленники используют ИИ для написания вредоносного кода. Насколько часто подобные решения встречаются, бросается ли это в глаза? Например, текст, написанный нейросетью, вполне реально отличить при наличии опыта.

Отличить вредоносную программу, написанную человеком, от той, что создана искусственным интеллектом, довольно непросто (в отличие от текстов). Это связано отчасти с тем, что во время «превращения» исходного кода в программу этот код часто сильно видоизменяется. В то же время сейчас в ИТ-индустрии становится все более популярным использование ИИ-помощников, которые помогают ускорить написание кода, и, разумеется, создатели вредоносных программ ими также пользуются.

Помимо этого, массовое распространение нейросетей в последние годы позволило злоумышленникам тратить меньше усилий на то, чтобы создавать качественно написанные и красиво оформленные фишинговые письма. Как раз в текстах подобных писем видно те самые «следы», которые позволяют определить, что сообщение написано искусственным интеллектом, а не человеком.

Cyber Media: Еще один важный тренд, который отмечают исследователи, – это скорость модификации вредоносов и уровень их маскировки, обфускации. Как в этом контексте изменились вредоносные программы?

Георгий Кучерин: С каждым годом количество вредоносных файлов, которые мы обрабатываем и обнаруживаем каждый день, несомненно, растет. Что касается «маскировки», то злоумышленники стали осуществлять ее более профессионально: в общем и целом вредоносные программы, которые мы видим сейчас, анализировать гораздо труднее, чем те, с которыми мы сталкивались в прошлом десятилетии. Однако антивирусная индустрия не стоит на месте, и у нас, аналитиков, разрабатываются и применяются различные инструменты, которые позволяют нам эффективно работать с обфусцированными файлами – благодаря им время, которое тратится на анализ, удается значительно сокращать.

Cyber Media: На ваш взгляд, какие тренды будут определять развитие ВПО в ближайшем будущем, какие его виды будут наиболее активно разрабатываться?

Георгий Кучерин: На развитие вредоносных программ в первую очередь будут влиять те события, которые будут происходить в ходе диджитализации мира. Чтобы упростить нашу жизнь и максимально перевести ее в цифровой формат, создаются новые онлайн-платформы, облачные сервисы и даже операционные системы. Разумеется, злоумышленники будут искать возможности и лазейки, чтобы с помощью этих инструментов осуществлять зловредные действия. Поэтому от устройства цифровых изобретений, повсеместно внедряемых в нашу жизнь, будет зависеть, как будет устроено вредоносное ПО будущего.

Что касается конкретных типов вредоносных программ, то будут продолжать набирать популярность шифровальщики, ведь именно этот тип зловредов на данный момент приносит финансово мотивированным злоумышленникам наибольшую денежную выгоду. Будут эволюционировать вредоносные программы, которые внедряются в сети организаций с целью кибершпионажа – с годами количество атак для кражи конфиденциальных данных организаций только увеличивается.

В то же время вредоносное ПО, которое мы будем обсуждать спустя десятилетие, будет сильно отличаться от того, что мы обнаруживаем сейчас. За это время злоумышленники разработают массу новых техник и тактик распространения, а исследователи – множество инструментов для противодействия атакующим.