Уважаемые журналисты, блогеры, а также пользователи продуктов ESET,
Спасибо за внимание к исследовательской деятельности компании ESET, в частности к исследованию кибератак Operation Groundbait — одном из многих исследований команды ESET, которые помогают вам лучше понять и предотвратить кибератаки. Эти исследования носят научный и образовательный характер, где примеры используются для демонстрации методов, которые используют хакеры, в том числе приемов социальной инженерии, для получения доступа к конфиденциальной информации.
В исследовании Operation Groundbait специалисты ESET опубликовали информацию только о ряде атак, в том числе и на компьютеры «Правого сектора», сепаратистов ДНР и ЛНР, украинской религиозной организации и многих других структур. Информация об атаках на правительственные департаменты и государственные учреждения Украины не раскрывалась из соображений конфиденциальности и безопасности нашей страны.
Ниже приводим ответы, которые были направлены авторам InformNapalm 06 июня 2016 года с повторным письмом-просьбой опубликовать материал без изменений и искажений 07 июня 2016 года.
1. Какова роль московского офиса ESET в глобальной структуре компании?
У компании ESET нет офиса в Москве, там работает только компания-партнер. Такая же ситуация, например, в Украине и в большинстве стран мира, где ESET осуществляет свою деятельность через компании-партнеров, которые занимаются реализацией продуктов ESET. Разработка продуктов ESET ведется в Братиславе, Словакия с момента основания компании в 1992 году.
2. Кто источник информации для исследования «прикормка», кто передал темы писем и файлы приложений? Можете ли вы назвать конкретные лица «ЛДНР» или это была анонимная передача данных?
Проанализированы файлы были получены с помощью сервиса проверок VirusTotal — бесплатного сервиса для исследования подозрительных файлов и ссылок, который позволяет быстро обнаруживать вирусы, черви, трояны и другие виды вредоносных программ. Пользователи VirusTotal самостоятельно предоставляют подозрительные файлы для их изучения сервисом, загружая их в базу на сайте: www.virustotal.com/ru/. Особенность VirusTotal в том, что все файлы, которые были загружены пользователями, проходят автоматическую проверку всеми современными антивирусными системами, которые объединяют свои технические усилия в рамках этого открытого проекта антивирусного сообщества. В обработке данных, полученных независимым сервисом VirusTotal, принимают участие все лидеры международного рынка антивирусных продуктов.
Пользователи, которые самостоятельно загружают подозрительные файлы в базу данных сервиса VirusTotal, делают это на условиях полной анонимности. С другой стороны, любая компания или лицо, зарегистрированное в сервисе VirusTotal, может воспользоваться функцией поиска среди загруженных пользователями файлов и самостоятельно исследовать их заголовки и другие параметры. Узнать больше о поиске базе VirusTotal можно на официальном ресурсе сервиса: www.virustotal.com/en/documentation/searching/.
«VirusTotal Intelligence предлагает расширенные возможности поиска, позволяя перейти от характеристик образцов (имена файлов, обнаруженных антивирусной программой, размер, тип файла, бинарное содержание, модели поведения, URL-адреса для удаленного выполнения кода и т.д.) к списку образцов, которые соответствуют вашим критериям. Эти образцы вредоносных программ могут быть загружены для дальнейшего изучения».
Специалисты ESET (как и любой зарегистрированный пользователь сервиса VirusTotal) имеют доступ только к образцам вредоносных файлов, которые могли быть используемые в качестве вложения электронной почты. Вот образцы этих вредоносных файлов с открытой базы VirusTotal:
- www.virustotal.com/en/file/8421bc0f086fe51755c4255e1b67907ffdac715f3b5a57086a60079448a38b30/analysis/
- www.virustotal.com/en/file/ed150dbb6f54c3ac74e3359a4dee9dea9400655d1bc87a3407fe441b14f7ea68/analysis/
- www.virustotal.com/en/file/dd81c74311a0c88c47ff7902b3bec47289349b622cfdaa4806e5071f8e68f548/analysis/
- www.virustotal.com/en/file/2b434d63ba706c7ad02e1a712d631b495e8e9d1be277db3da6158b62cb8d1b1a/analysis/
Вся процедура исследования прозрачно изложена в оригинале исследования атаки Operation Groundbait: http://www.welivesecurity.com/wp-content/uploads/2016/05/Operation-Groundbait.pdf.
3. Готова ли компания ESET раскрыть свой код, если этого потребуют сотрудники Службы безопасности Украины, ввиду того факта, что 3/4 украинских госучреждений пользуются продуктом ESET?
В Украине ESET действует в рамках законодательства Украины. Регулярно продукты ESET проходят проверку и получают экспертные заключения Государственной службы специальной связи и защиты информации — центрального органа исполнительной власти со специальным статусом, основной задачей которого является реализация государственной политики в сфере защиты государственных информационных ресурсов в сетях передачи данных, обеспечение функционирования Государственной системы правительственной связи, Национальной системы конфиденциальной связи, криптографической и технической защиты информации.
Компания ESET всегда открыта к сотрудничеству в рамках законодательства. Так, например, недавно ESET сотрудничала с CyS-CERT и Киберполицией Украины и обезвредила Linux ботнет под названием Mumblehard.
4. Основной момент, требующий прояснения – если специалисты московского офиса имеют доступ к дополнительной детальной информации по исследованию (не опубликованной из-за конфиденциальности данных), значит они имеют доступ к тайной информации, получаемой от украинского правительства и других госорганов?
Из соображений безопасности государственные учреждения в Украине, которые стали мишенями кибератаки, были проинформированы исследователями ESET из Братиславы напрямую или через украинского партнера в Киеве. Если кто-то из украинских правоохранительных органов заинтересован в конкретных деталях, они могут обратиться к нам по электронной почте, адрес которой указан в Ответах на основные вопросы (https://eset.ua/ru/news/view/452/answers-to-basic-questions-about-the-operation-Groundbait).
Все партнеры, где бы ни находился их офис, включая Россию, получили доступ для собственного использования только к документу с описанием исследования, а также материалу, представленном в блоге, и сопроводительному пресс-релизу. Российская компания-партнер не участвует в исследованиях ESET и не была задействована в исследовании атаки Operation Groundbait.
Уважаемые журналисты, блогеры, а также пользователи продуктов ESET, мы с удовольствием поможем вам и в дальнейшем разбираться в вопросах обеспечения безопасности как персональных компьютеров, так и компьютерных систем. Компания ESET всегда открыта к сотрудничеству и готова предоставить информацию об обнаруженных угрозах компьютерной безопасности как журналистам, так и государственным органам, обеспечивающим защиту киберпространства Украины.
В дальнейшем ESET будет более аккуратно подходить к выбору примеров атак в открытой части своих исследований, чтобы не провоцировать волну инсинуаций, а также не подвергать своих сотрудников необоснованным нападкам.