Шановні журналісти, блогери, а також користувачі продуктів ESET,
Дякуємо за увагу до дослідницької діяльності компанії ESET, зокрема до дослідження кібератак Operation Groundbait — одному з багатьох досліджень команди ESET, які допомагають вам краще зрозуміти та запобігти кібератакам. Ці дослідження носять науковий та освітній характер, де приклади використовуються для демонстрації методів, які використовують хакери, в тому числі прийомів соціальної інженерії, для отримання доступу до конфіденційної інформації.
У дослідженні Operation Groundbait спеціалісти ESET опублікували інформацію лише про низку атак, в тому числі і на комп'ютери «Правого Сектора», сепаратистів ДНР і ЛНР, української релігійної організації та багатьох інших структур. Інформація про атаки на урядові департаменти та державні установи України не розкривалася з міркувань конфіденційності та безпеки нашої країни.
Нижче подаємо відповіді, які були надіслані авторам InformNapalm 06 червня 2016 року з повторним листом-проханням опублікувати матеріал без змін та викривлень 07 червня 2016 року.
1. Яка роль московського офісу ESET в глобальній структурі компанії?
ESET не має офісу в Москві, там працює лише компанія-партнер. Така сама ситуація, наприклад, в Україні та в переважній більшості країн світу, де ESET здійснює свою діяльність через компанії-партнерів, які займаються реалізацією продуктів ESET. Розробка продуктів ESET здійснюється у Братиславі, Словаччина з моменту заснування компанії у 1992 році.
2. Хто є джерелом інформації для дослідження «Прикормка», хто передав теми листів і файли додатків? Чи можете ви назвати конкретні особи «ЛДНР» чи це була анонімна передача даних?
Проаналізовані файли були отримані спеціалістами ESET з бази сервісу перевірок VirusTotal — безкоштовного сервісу для дослідження підозрілих файлів та посилань, який дозволяє швидко виявляти віруси, черв’яки, трояни та інші види шкідливих програм. Користувачі VirusTotal самостійно надають підозрілі файли для їх вивчення сервісом, завантажуючи їх в базу на сайті: www.virustotal.com/uk/. Особливість VirusTotal в тому, що всі файли, які були завантажені користувачами, проходять автоматичну перевірку всіма сучасними антивірусними системами, які об'єднують свої технічні зусилля в рамках цього відкритого проекту антивірусного співтовариства. В обробці даних, отриманих незалежним сервісом VirusTotal, приймають участь усі лідери міжнародного ринку антивірусних продуктів.
Користувачі, які самостійно завантажують підозрілі файли в базу даних сервісу VirusTotal, роблять це на умовах повної анонімності. З іншого боку, будь-яка компанія або особа, яка зареєстрована в сервісі VirusTotal, може скористатися функцією пошуку серед завантажених користувачами файлів і самостійно досліджувати їх заголовки та інші параметри. Дізнатися більше про пошук у базі VirusTotal можна на офіційному ресурсі сервісу: www.virustotal.com/en/documentation/searching/.
«VirusTotal Intelligence пропонує розширені можливості пошуку, дозволяючи перейти від характеристик зразків (імена файлів, виявлених антивірусною програмою, розмір, тип файлу, бінарний вміст, моделі поведінки, URL-адреси для віддаленого виконання коду тощо) до списку зразків, які відповідають вашим критеріям. Ці зразки шкідливих програм можуть бути завантажені для подальшого вивчення».
Спеціалісти ESET (як і будь-який зареєстрований користувач сервісу VirusTotal) мають доступ тільки до зразків шкідливих файлів, які могли бути використовувані як вкладення електронних листів. Ось зразки цих шкідливих файлів з відкритої бази VirusTotal:
- www.virustotal.com/en/file/8421bc0f086fe51755c4255e1b67907ffdac715f3b5a57086a60079448a38b30/analysis/
- www.virustotal.com/en/file/ed150dbb6f54c3ac74e3359a4dee9dea9400655d1bc87a3407fe441b14f7ea68/analysis/
- www.virustotal.com/en/file/dd81c74311a0c88c47ff7902b3bec47289349b622cfdaa4806e5071f8e68f548/analysis/
- www.virustotal.com/en/file/2b434d63ba706c7ad02e1a712d631b495e8e9d1be277db3da6158b62cb8d1b1a/analysis/
Уся процедура дослідження, яка включає опис атак, прозоро викладена в оригіналі дослідження атаки Operation Groundbait: http://www.welivesecurity.com/wp-content/uploads/2016/05/Operation-Groundbait.pdf.
3. Чи готова компанія ESET розкрити свій код, якщо цього вимагатимуть співробітники Служби безпеки України, зважаючи на той факт, що 3/4 українських держустанов користуються продуктом ESET?
В Україні ESET діє в рамках законодавства України. Регулярно продукти ESET проходять перевірку та отримують експертні висновки Державної служби спеціального зв’язку та захисту інформації — центрального органу виконавчої влади зі спеціальним статусом, основне завдання якого є реалізація державної політики у сфері захисту державних інформаційних ресурсів у мережах передачі даних, забезпечення функціонування Державної системи урядового зв’язку, Національної системи конфіденційного зв’язку, криптографічного та технічного захисту інформації.
Компанія ESET завжди відкрита до співпраці в рамках законодавства. Так, наприклад, нещодавно ESET співпрацювала з CyS-CERT та Кіберполіцією України та знешкодила Linux ботнет під назвою Mumblehard.
4. Основний момент, який потребує прояснення — якщо фахівці московського офісу мають доступ до додаткової детальної інформації з дослідження (не опублікованої через конфіденційність даних), це означає, що вони мають доступ до таємної інформації, яка отримується від українського уряду та інших держорганів?
З міркувань безпеки державні установи в Україні, які стали мішенями кібератаки, були проінформовані дослідниками ESET з Братислави напряму або через українського партнера в Києві. Якщо хтось з українських правоохоронних органів зацікавлений в конкретних деталях, вони можуть звернутися до нас за допомогою електронної пошти, адреса якої вказана у Відповідях на основні питання (https://eset.ua/ua/news/view/452/answers-to-basic-questions-about-the-operation-Groundbait).
Усі партнери, де б не знаходився їх офіс, включаючи Росію, отримали доступ для власного використання тільки до документу з описом дослідження, а також матеріалу, представленому в блозі та супровідному прес-релізі. Російська компанія-партнер не бере участі в дослідженнях ESET та не була залучена до дослідження атаки Operation Groundbaitі.
Шановні журналісти, блогери, а також користувачі продуктів ESET, ми із задоволенням допоможемо вам і надалі розбиратися в питаннях забезпечення безпеки як персональних комп'ютерів, так і комп'ютерних систем. Компанія ESET завжди відкрита до співпраці та готова надати інформацію про виявлені загрози комп'ютерної безпеки як журналістам, так і державним органам, які забезпечують захист кіберпростору України.
ESET надалі буде більш акуратно підходити до вибору прикладів атак у відкритій частині своїх досліджень, щоб не провокувати хвилю інсинуацій, а також не наражати своїх співробітників на безпідставні докори.