Group-ib: биткойн-биржи пока не готовы платить за безопасность (интервью)

ForkLog неоднократно сообщал о взломах биткойн-бирж, распространении вирусов, ворующих данные биткойн-пользователей, и вирусах-вымогателях биткойнов.

К примеру, совсем недавно был опубликован целый обзор на тему того, как криптовымогатели живут за счет американской полиции.

Тщательно проанализировав ситуацию, мы решили пообщаться со специалистами в сфере компьютерной безопасности. Итак, о криптовалютных вредоносах и о том, как биткойн-биржи борются с хакерскими атаками, рассказали специально для ForkLog сотрудники Group-ib — самой известной компании в СНГ, работающей в сфере интернет-безопасности.

[funky_box style=»blue»]Group-ib — международная компания по предотвращению и расследованию киберпреступлений и мошенничеств. Лауреат «Премии Рунета — 2013» в номинации «Безопасный Рунет» и лауреат премии «Компания года» в секторе «Телеком, IT».[/funky_box]

На наши вопросы ответили Виктор Белов, главный специалист по анализу защищенности программного обеспечения и исследованию вредоносного кода, и Андрей Брызгин, руководитель направления «Аудит и Консалтинг». Group-IB.

Здравствуйте! Расскажите, доводилось ли вам предоставлять услуги сервисам, работающим с криптовалютами?

Пока нет, однако в последнее время участились запросы на расчет стоимости проектов от такого рода площадок. Однако они пока не готовы вкладывать в безопасность столько же, сколько банки, например.

Недавно на хабре специалисты вашей компании писали о CryptoStealer, с помощью которого злоумышленники крадут у пользователей криптовалюты. А каким образом чаще всего происходит заражение компьютера: через e-mail рассылки, подозрительные сайты или как-то по-другому? Может быть, у вас есть примерные данные о количестве жертв данного вредоноса?

Используются все способы с невысокой и средней стоимостью заражения жертвы: e-mail рассылки, вредоносные вложения и ссылки на профильных площадках. До дорогих и изощренных способов доставки вредоносной нагрузки, используемых в целевых атаках на «легальный» банкинг, пока дело доходит крайне редко.

С какими еще вирусами, ориентированными на кражу криптовалют, вам доводилось сталкиваться? Встречались ли среди них вирусы-вымогатели? Правда ли, что это наиболее популярная разновидность криптовалютного вредоноса?

Шифровальщики и «локеры» — головная боль всех антивирусных вендоров. Вредоносов огромное количество, они регулярно меняют свои внешние признаки, что сильно усложняет их сигнатурный отлов. Поведение их также крайне редко детектируется антивирусными средствами как подозрительное, а применение современных алгоритмов шифрования делает невозможным или чудовищно дорогим извлечение шифрованной информации. Биткоин помогает злоумышленникам сохранять анонимность, достаточную для уверенности в собственной безнаказанности. В большинстве случаев единственным способом вернуть свою информацию является проведение оплаты на адрес вымогателя. Вредоносов, нацеленных на криптование конкретно биткоин-кошельков, исчезающе мало, кошельки предпочитают красть. Учитывая тот факт, что большинство из них до сих пор не защищены адекватно, делать это несложно.

Вообще, предотвратить ущерб от шифрования любой информации очень просто. Регулярное резервное копирование важной информации или системы в целом позволит восстановить систему в рабочее состояние максимум за полчаса. А в целом, вредоносов, созданных для хищения криптовалют, огромное количество. CryptoStealer выделяется среди них мощным набором инструментов хищения и рядом остроумных реализаций ключевых функций. За это он и попал в обзор на площадке habrahabr.

С начала 2015 года биткойн-индустрию захлестнула волна краж. Жертвами становились как крупные биржи вроде Bitstamp, так и небольшие локальные сервисы. Может быть, вы анализировали эту ситуацию или проводили какое-то расследование?

Как мы уже говорили, на сегодняшний день биржи стараются решать проблемы кибербезопасности своими силами. Им сложно это делать в силу отсутствия отраслевых стандартов и типовых решений. Не особенно обеспокоены собственной безопасностью сегодня и пользователи криптовалют. Целевых исследований в этой сфере мы не проводили, но долетающие «с полей» вести позволяют делать именно такие выводы.

Сейчас в сети циркулирует много критики в отношении уязвимости двухэтапной аутентификации, особенно касательно приложения Google Autentificator. Насколько, на ваш взгляд, двухэтапная аутентификация отвечает современным критериям безопасности?

Любая реализация многофакторной аутентификации — это плюс один уровень защиты от взлома. Но стоит понимать, что если устройство, на котором вводится подтверждающий фактор, скомпрометировано, то никакого усложнения жизни злоумышленнику не происходит. В атаках на «большой» банкинг широко распространены вектора, при которых легальный пользователь подтверждает свои легальные действия и лишь потом вредоносный код изменяет параметры транзакций и операций, добиваясь своих преступных целей.

Как бы вы рекомендовали пользователям хранить свои биткойны?
В «офлайн» (Bitcoin Core) кошельке, на отдельном доверенном устройстве или виртуальной машине, без открытых сетевых ресурсов. На устройстве не должно функционировать установленных утилит взаимодействия с внешней средой (VMWare Tools, VIX api и тому подобное) и не должно быть стороннего ПО, не используемого непосредственно для проведения транзакций. Кошелек должен быть запаролен, обязательна резервная копия на отдельном зашифрованном носителе. Не стоит забывать и об обычных мерах предосторожности: своевременное обновление ПО на хостовой машине, антивирусная защита, брандмауэр. Не следует открывать подозрительные письма и запускать вложения в письмах, переходить по подозрительным ссылкам на интернет-порталах.

На днях специалисты Интерпола сообщали, криптовалюта может использоваться для распространения вредоносного ПО. Как вы можете прокомментировать данное заявление? Насколько возможно хранение сторонней информации в файлах транзакций криптовалют? И какую угрозу это может представлять для пользователей?

Статью следует трактовать скорее как инфоповод, как теоретическую модель атаки, поскольку технические аспекты воздействия в статье не отражены. Можно предположить, что идея атаки заключается в том, чтобы хранить среди данных кошелька «куски» вредоносного кода. Собирать же и запускать их должен некий основной вредоносный модуль. Важно, что для сборки этого вредоносного кода из блокчейна все равно нужен базовый вредонос, который бы читал блокчейн и собирал из него новое вредоносное ПО. А этот базовый троян все равно как-то нужно доставить на машину жертвы. Разница только в том, что загружаемый вредонос не оснащается собственной нагрузкой, а в целом, это не меняет ничего.