Привет, планета, это программа Вести.net. Вы уж простите за антураж — на этот раз с Тенерифе, главном из Канарских островов, где на этой неделе проходил саммит аналитиков по безопасности, конференция Лаборатории Касперского. Как обычно, она наполнена шпионскими историями в духе Уильяма Гибсона и Нила Стивенсона.

Начнем мы с удивительного пакета вирусных приложений для "чайников", эдакого набора для совершения киберпреступлений, который раскопало сингапурское подразделение лаборатории.

Лаборатория Касперского раскрыла, пожалуй, крупнейший в истории "коробочный вирус", то есть, коммерческий вредоносный продукт, который разрабатывается и распространяется отдельной почти полноценной компанией. Червь известен как Adwind, это троянец, который впервые был обнаружен еще в 2013 году. Поначалу вирусу не придали большого значения, но затем случаи заражения стали учащаться. К концу 2015-го Лаборатория Касперского зарегистрировала 440 тысяч жертв Adwind.

Иногда он выступал под разными именами, например, Alienspy или Sockrat, но продукт во всех случаях оставался прежним. Заподозрив в столь быстром распространении руку некоего крупного игрока, эксперты лаборатории начали собственное расследование, и результаты оказались весьма неожиданными.

Главный антивирусный эксперт Лаборатории Касперского Александр Гостев сообщил: "В настоящий момент это выглядит, действительно, как такой софтверный стартап, причем там, по нашим оценкам, разработчик — всего один человек. Да, может быть он привлекает аутсорсеров на какие-то мелкие задачи, но это один и тот же человек, который уже четыре года делает эту штуку. Сейчас у него есть веб-сайт с системой подписки, различные тарифные планы варьируются: ты можешь подписаться на две недели либо на год получить подписку. В рамках подписки предоставляется различный набор сервисов. То есть, он продает не просто один троянец — он продает сервис".

В пакет вредоносных решений входит даже мультисканер собственной разработки, который позволяет проверить, будет ли троянец обнаруживаться программным обеспечением. Adwind — платформа, которую покупатель может модифицировать. Если одна версия уже устарела и попала в антивирусные базы, то ее можно поправить и тут же, на месте, проверить, работает ли это. Кроме того, троянец бесконечно переписывается и распространяется кустарно — в Сети можно с легкостью найти "ломаные" версии. По подсчетам Лаборатории Касперского, только официальных подписчиков у стартапа — около двух тысяч.

Отдельно стоит сказать о распространении вируса. Поскольку производитель, судя по всему, находится в Мексике, троянец начал свой путь в испаноязычных странах, и это ему здорово помогло. "Мы всегда говорим о том, что есть три основные экосистемы киберпреступности — китайская, русскоязычная и испаноязычная. Первые две — российская и китайская — являются крайне закрытыми, то есть, они все вращаются внутри себя, людям со стороны туда попасть практически невозможно. Грубо говоря, иностранцев в русской киберпреступности не будет. С испаноязычной ситуация несколько другая. Они — довольно открытое комьюнити, они ведут свою деятельность довольно публично. Мы отслеживали историю Adwind по одному из их форумов, на котором, собственно, вся история создания и разворачивалась", — рассказывает Александр Гостев.

Вирус, оформленный как простое, доступное приложение, да еще и с инструкцией по эксплуатации, этакий "троянец для чайников", благодаря общительным испанцам получил широчайшее распространение. Каждый покупатель может приобрести его с нужным набором модулей для решения своих индивидуальных задач. В итоге программа быстро завоевала сторонников там, где желающих вступить на киберпреступный путь было много, а талантливых программистов — мало. За испанцами Adwind переняли арабоязычные злоумышленники, а за ними новую жизнь получили мелкие кибермошенники, которые совсем уж было исчезли с "большой дороги" — нигерийские спамеры.

"То есть, весь этот нигерийский спам, который всегда был в виде просто писем... Эти же самые нигерийцы нынче освоили использование вредоносных программ, то есть, вышли на новый уровень развития. И теперь они атакуют организации по всему миру, засылая им вот этот конкретный троян", — поясняет главный антивирусный эксперт Лаборатории Касперского.

Возникает законный вопрос: если дистрибуция Adwind ведется так открыто, а занимается ей один человек, почему его до сих пор не могут поймать? В Лаборатории Касперского считают, что это проблема уже не технологическая, а юридическая. В большинстве стран преступником является только тот человек, который непосредственно осуществляет атаку, а разработчики и продавцы вирусов формально перед законом чисты. Поэтому Adwind живет и приносит своим авторам доходы, которые те, скорее всего, вкладывают в разработку. Российские антивирусные эксперты предупреждают, что об Adwind в ближайшее время мы еще так или иначе обязательно услышим.

***

А теперь от массового обслуживания — к точечному, индивидуальному, элитному. Шпионский бутик из Бразилии — новая звезда на небосклоне киберпреступного мира.

История группировки кибершпионажа "Посейдон" похожа на шпионский боевик, причем, снятый в тропиках. Обнаруженный сетевой синдикат представляет из себя частную разведывательную организацию, которая за огромные деньги аккуратно крадет и перепродает секретные данные из крупных корпораций, а иногда и сама занимается шантажом и вымогательством. Целью "Посейдона" являются коммерческие тайны, объекты интеллектуальной собственности, секретные разработки, планы по освоению новых рынков — в общем, финансовые и промышленные сокровища.

Группировка работает больше 10 лет: первый образец зловредного кода, используемого "Посейдоном", датируется еще 2001 годом, но все эти годы никто о ней даже не догадывался. Обнаружили "Посейдон" совершенно случайно. "В прошлом году мы наткнулись на два сэмпла, связанных с ведущими PR-агентствами. В них мы нашли такой процесс, который можно сравнить с замусориванием кода. Это уникальный процесс, это как почерк человека. По этому почерку мы нашли другие сэмплы, которые привели к организациям, которые работают с энергоресурсами, поставляют электричество, газ, нефть, медийные каналы. Мы начали расследование кейса и обнаружили, что это структура. Мы назвали ее "бутик", потому что они занимаются разработкой вредоносного кода по просьбе клиента. То есть, это ручная работа", — пояснил руководитель латиноамериканского исследовательского центра Лаборатории Касперского Дмитрий Бестужев.

Схема работы грациозно проста: зловредный код пробирается на компьютер жертвы в письме, имитирующем внутреннюю переписку, и устанавливает уже чистую программу, которой пользуются даже сисадмины, просто она заточена еще и на передачу данных злоумышленникам. Когда такая утилита установлена, сами киберпреступники уничтожают самый первый вредоносный код, стирают свои следы. Эксперты признались, что настолько тонко был проработан каждый образец зловредного кода, что обнаружить его было практически невозможно. По их словам, каждая атака "Посейдона" настолько тщательно готовилась, каждая установленная программа настолько адаптировалась к особенностям жертвы, что антивирусные специалисты просто не видели ничего общего в разрозненных инцидентах, которые в итоге оказались частью единой картины — активностью одной группы злоумышленников, которые занимаются промышленным шпионажем.

"Мелкий и средней бизнес вне опасности, это только большие корпорации. После заражения начинается эксфильтрация информации — выгрузка краденых данных на сервера, которые находятся на кораблях, которые, в свою очередь, используют Интернет греческой компании через спутники. И найти эти корабли, которые вчера были в Тихом океане, а сегодня — в Индийском, очень сложно Когда информация собрана, она передается клиенту", — поясняет Дмитрий Бестужев.

Жертвами "Посейдона" стали компании из Португалии, Франции, Индии, Казахстана, России, ОАЭ и США — в общей сложности, около 35 жертв. Впрочем, возможно, их было много больше. Единственное, в чем почти уверены в Лаборатории Касперского, так это в том, что штаб-квартира группировки "Посейдон" находится в Бразилии — все подсказки из изученных образцов кода ведут именно туда.

Помимо, простите, понтов со спутниковой связью и серверами на кораблях, у "Посейдона" есть еще одна уникальная особенность: вымогатели заставляли жертв подписывать с ними договор на услуги аудита безопасности. Как результат — даже обнаруженные трояны группировки, внесенные в базы данных вирусных программ, вскоре из них начинали исчезать. Судя по всему, адвокаты "Посейдона" представляли документы о совместной работе с пострадавшими, и вирусы в этом случае превращались в инструменты тестирования Сети – работ, оговоренных договором. Какие-то чудеса в решете, в общем.

***

И последнее. Это уже российская история, точнее, сразу три. Может быть, они и не такие экзотические, но банки-то наши. И деньги наши.

Скандально известная группировка Carbanak вернулась. Киберпреступники, которые украли в прошлом году около миллиарда долларов из банков, залегли на дно после того, как их спугнули правоохранители. На полгода Carbanak прекратили все свои операции, и вот они снова в деле, но цели уже другие. "Остановить эту атаку на текущий момент невозможно. И полицейские, и правоохранители в рамках предупреждения преступности совместно с нами сделали такие заявления по поводу Carbanak. В 2015 году эти атаки возобновились, но уже с новыми целями — не с финансовыми институтами и банками, а сместились цели на бухгалтерию, атаки на сторонние финансовые институты. Но вредоносные атаки и схема остались точно такими же", — рассказывает ведущий антивирусный эксперт Лаборатории Касперского" Сергей Голованов.

Отличительной особенностью атак, за которыми стоят создатели Carbanak, является использование тактик и технологий, применяемых в профессиональных кампаниях кибершпионажа, которые спонсируются государствами. Но хуже всего то, что у Carbanak появились подражатели. Они взяли на вооружение тактику Carbanak: очень долго готовились к нападениям, изучали жертву, программное обеспечение, "поселялись" с вредоносным программным обеспечением в компьютерах и изучали график работы и поведение бухгалтеров, операторов транзакций и других финансовых специалистов. При этом у каждой группы были свои особенности. К примеру, Metel отличилась интересной схемой вывода денег из банка.

"В нескольких городах России несколько людей, обладая специальной карточкой, ходили от банкомата к банкомату, из одного отделения банка в другое отделение банка, и снимали деньги. Максимальная сумма выдачи — 200 тысяч рублей. Каждый раз после снятия суммы баланс на этой карте восстанавливался. Таким образом они украли много-много миллионов рублей. Когда стали разбираться, что произошло, то выяснилось, что в банке, который выпустил такую карточку, находилась вредоносная программа, и эта вредоносная программа смогла захватить компьютер, который принадлежит оператору, который имеет связь с процессингом. И от имени этого оператора производилась отмена транзакции после того, как деньги выдавались из банкомата", — рассказывает Сергей Голованов.

А вот кибергруппировка GCMan отличилась тем, что вообще не использовала никакого вредоносного ПО, полагаясь лишь на легальные технологии и инструменты тестирования системы на проникновение. Из-за этого обнаружить их было еще труднее. В одной из операций, к примеру, они находились в зараженной системе полтора года прежде, чем начали красть деньги. Когда дело доходит до вывода денег, действуют они крайне быстро. Каждую минуту группировка GCMan способна переводить до 15 тысяч рублей – это лимит для анонимных платежей в России.

Сергей Голованов отмечает: "Сейчас все развивается по спирали. Сначала атаковали физические лица, потом юридические, потом банки. И это движется по кругу. И если в прошлом году мы говорили, что Carbanak — это такой огромный пласт, от которого пострадало огромное количество жертв по всему миру, то сейчас у него появляются последователи. Из тех 29 выездов, которые мы сделали в 2015 году, это топ-три истории, которые мы видели, три группы. И причин сомневаться в том, что это остановится и прекратиться, вообще нет. С чего бы это?"

На форуме по безопасности "Инфофорум-2016" член комитета Госдумы по безопасности Илья Костунов со ссылкой на данные Центробанка подчеркнул, что действия киберпреступников нанесли ущерб пользователям и компаниям на сумму от 500 миллионов до трех миллиардов рублей.

На этом мой отчет с саммита по безопасности SAS 2016 можно считать законченным, хотя мы, скорее всего, и вернемся к тому, о чем здесь говорили, в будущих программах.

***

А теперь гаджеты. История имеет отношение к нашей стране. Она — с внутренней драматургией. Назовем ее так: "Возвращение бренда".

Старейший производитель мобильных телефонов, Motorola, возвращается на российский рынок. В четверг в Москве были официально представлены модели смартфонов под брендом Moto, разработанные уже после того, как компанию купил Lenovo. Как видно, от первоначального бренда выжила только половина. Полного названия Motorola как на сцене, так и в названиях устройств старательно избегает, но логотип — тот самый, который еще помнят поклонники марки. В Россию привезли четыре модели с большим разбросом по цене.

Самый дешевый аппарат — Moto-G — будет стоить около 17 тысяч рублей, дорогой Moto X Force — 50 тысяч. Все аппараты довольно сильно различаются по характеристикам или даже, можно сказать, ролям. Один бюджетный и не тонет (всю презентацию пролежал в аквариуме), другой имеет максимально кастомизируемый внешний вид. Это реверанс в сторону сервиса Moto Maker, который позволяет отправить заявку на завод и получить телефон, который соберут по спецзаказу в единичном экземпляре. Причем в США и Европе менять можно не только экстерьер, но и внутренности. В Россию Moto Maker придет позже и в несколько урезанном виде.

"В России сервис Moto Maker в ближайшем будущем мы не планируем реализовать в полном виде, но отдельные его элементы, те, которые мы считаем наиболее важными для конечного пользователя, мы в самое ближайшее время реализуем в России. Они будут доступны для конечного пользователя. Во-первых, это то, что будет видно на поверхности, то есть, это устройство, измененное визуально. Например, различные дополнительные задние крышки, измененный цвет, измененный корпус. То есть, то, что бросается в глаза в первую очередь", — рассказал исполнительный директор мобильного подразделения Lenovo в России и Восточной Европе Алексей Клочков.

Самый дорогой смартфон — X Force — имеет хитрый противоударный экран, сделанный по запатентованной многослойной технологии. На презентации его неоднократно роняли на сцену, демонстрируя крепость аппарата, однако предостерегли, что ронять можно, а вот бросать не стоит — все-таки неуязвимых экранов нет. Но у Moto, судя по всему, самая крепкая лицевая панель в индустрии. В Сети есть видео краш-теста, в котором аппарат с аналогичным дисплеем, Motorola Droid, единственный из всех конкурентов, выживает. Он остается цел после падения экраном вниз на бетонный пол с полутораметровой высоты.

Кстати, в этом тесте интересно не только это удивительное свойство аппарата, но и то, кого Motorola видит в конкурентах — iPhone 6S, Samsung Galaxy S6 и Note 5, словом, самый высший, премиальный сегмент. Это довольно смело, учитывая, что среди устройств этого класса конкуренция максимальная, а вот продажи в штуках относительно небольшие, да и рост премиального рынка в последнее время несколько замедлился. Но для Lenovo это, похоже, вопрос престижа.

"Это тот бренд, который идет немного вверх по сравнению с тем предложением, которое сейчас есть у компании Lenovo в смартфонах. Но это то, где нас сейчас нет, это то, где мы хотим оказаться. У нас есть технологии, у нас есть возможности, у нас есть устройства, которые нам позволят оказаться в том самом премиальном сегменте", — сообщил Алексей Клочков.

Очевидно, что планку в Lenovo задрали высоко. Нам удалось получить топовый смартфон Moto X Force для тестирования. Первые впечатления довольно приятные, аппарат вполне соответствует своему имени. Он очень хорошо собран, материалы и отделка на высшем уровне, приятно лежит в руке. Не самый тонкий и не самый легкий, но при батарее почти в 4 ампер-часа, а также многослойном экране с диагональю 5,4 дюйма имеет вполне адекватные габариты. При этом телефон довольно эргономичный — от края экрана до края корпуса расстояние меньше, чем у некоторых прямых конкурентов. Впрочем, кто-то может назвать это недостатком, так как при попытке ухватить телефон за край палец будет чаще попадать в экран, вызывая нежелательные нажатия.

Внутри все на высшем уровне — восьмиядерный процессор Snapdragon последнего поколения, 3 гигабайта оперативной памяти, 32 гигабайта дискового пространства и слот для micro-SD карты объемом до 200 гигабайт. Однако надо понимать, что смартфон этот не самый новый, мировая премьера состоялась в конце октября прошлого года. За это время пользователи и индустрия успели повысить требования к премиальному сегменту. Например, отсутствие разъема USB-C или сканера отпечатков пальцев может многих сбить с толку.

В целом, учитывая уникальный небьющийся экран, Moto X Force бороться с лидерами премиального сегмента вполне способен при правильном подходе к маркетингу. Сейчас в Lenovo упирают на концепцию, похожую на известную рекламу стирального порошка. Мол, есть обычные смартфоны, а есть Moto. Однако теперь, спустя 4 года после официального ухода с российского рынка, даже поклонникам марки придется заново объяснять, что же такого необычного есть у возрожденного бренда. Впрочем, каких-то космических продаж в Lenovo и не ждут — за ближайший год в России рассчитывают продать до миллиона смартфонов, то есть, около 4 процентов от общего прогноза по рынку.

***

Подошло время нашей обязательной видеорубрики "Фишка недели". На этом итоговая программа Вести.net прощается с вами до следующих выходных. Планета – пока.