Ответы ESET на дополнительные вопросы касательно Operation Groundbait

Уважаемые журналисты, блогеры, а также пользователи продуктов ESET,

Спасибо за внимание к исследовательской деятельности компании ESET, в частности к исследованию кибератак Operation Groundbait — одном из многих исследований команды ESET, которые помогают вам лучше понять и предотвратить кибератаки. Эти исследования носят научный и образовательный характер, где примеры используются для демонстрации методов, которые используют хакеры, в том числе приемов социальной инженерии, для получения доступа к конфиденциальной информации.

В исследовании Operation Groundbait специалисты ESET опубликовали информацию только о ряде атак, в том числе и на компьютеры «Правого сектора», сепаратистов ДНР и ЛНР, украинской религиозной организации и многих других структур. Информация об атаках на правительственные департаменты и государственные учреждения Украины не раскрывалась из соображений конфиденциальности и безопасности нашей страны.

Ниже приводим ответы, которые были направлены авторам InformNapalm 06 июня 2016 года с повторным письмом-просьбой опубликовать материал без изменений и искажений 07 июня 2016 года.

1. Какова роль московского офиса ESET в глобальной структуре компании?

У компании ESET нет офиса в Москве, там работает только компания-партнер. Такая же ситуация, например, в Украине и в большинстве стран мира, где ESET осуществляет свою деятельность через компании-партнеров, которые занимаются реализацией продуктов ESET. Разработка продуктов ESET ведется в Братиславе, Словакия с момента основания компании в 1992 году.

2. Кто источник информации для исследования «прикормка», кто передал темы писем и файлы приложений? Можете ли вы назвать конкретные лица «ЛДНР» или это была анонимная передача данных?

Проанализированы файлы были получены с помощью сервиса проверок VirusTotal — бесплатного сервиса для исследования подозрительных файлов и ссылок, который позволяет быстро обнаруживать вирусы, черви, трояны и другие виды вредоносных программ. Пользователи VirusTotal самостоятельно предоставляют подозрительные файлы для их изучения сервисом, загружая их в базу на сайте: https://www.virustotal.com/ru/. Особенность VirusTotal в том, что все файлы, которые были загружены пользователями, проходят автоматическую проверку всеми современными антивирусными системами, которые объединяют свои технические усилия в рамках этого открытого проекта антивирусного сообщества. В обработке данных, полученных независимым сервисом VirusTotal, принимают участие все лидеры международного рынка антивирусных продуктов.

Пользователи, которые самостоятельно загружают подозрительные файлы в базу данных сервиса VirusTotal, делают это на условиях полной анонимности. С другой стороны, любая компания или лицо, зарегистрированное в сервисе VirusTotal, может воспользоваться функцией поиска среди загруженных пользователями файлов и самостоятельно исследовать их заголовки и другие параметры. Узнать больше о поиске базе VirusTotal можно на официальном ресурсе сервиса: https://www.virustotal.com/en/documentation/searching/.

«VirusTotal Intelligence предлагает расширенные возможности поиска, позволяя перейти от характеристик образцов (имена файлов, обнаруженных антивирусной программой, размер, тип файла, бинарное содержание, модели поведения, URL-адреса для удаленного выполнения кода и т.д.) к списку образцов, которые соответствуют вашим критериям. Эти образцы вредоносных программ могут быть загружены для дальнейшего изучения».

Специалисты ESET (как и любой зарегистрированный пользователь сервиса VirusTotal) имеют доступ только к образцам вредоносных файлов, которые могли быть используемые в качестве вложения электронной почты. Вот образцы этих вредоносных файлов с открытой базы VirusTotal:

Вся процедура исследования прозрачно изложена в оригинале исследования атаки Operation Groundbait: http://www.welivesecurity.com/wp-content/uploads/2016/05/Operation-Groundbait.pdf.

3. Готова ли компания ESET раскрыть свой код, если этого потребуют сотрудники Службы безопасности Украины, ввиду того факта, что 3/4 украинских госучреждений пользуются продуктом ESET?

В Украине ESET действует в рамках законодательства Украины. Регулярно продукты ESET проходят проверку и получают экспертные заключения Государственной службы специальной связи и защиты информации — центрального органа исполнительной власти со специальным статусом, основной задачей которого является реализация государственной политики в сфере защиты государственных информационных ресурсов в сетях передачи данных, обеспечение функционирования Государственной системы правительственной связи, Национальной системы конфиденциальной связи, криптографической и технической защиты информации.

Компания ESET всегда открыта к сотрудничеству в рамках законодательства. Так, например, недавно ESET сотрудничала с CyS-CERT и Киберполицией Украины и обезвредила Linux ботнет под названием Mumblehard.

4. Основной момент, требующий прояснения – если специалисты московского офиса имеют доступ к дополнительной детальной информации по исследованию (не опубликованной из-за конфиденциальности данных), значит они имеют доступ к тайной информации, получаемой от украинского правительства и других госорганов?

Из соображений безопасности государственные учреждения в Украине, которые стали мишенями кибератаки, были проинформированы исследователями ESET из Братиславы напрямую или через украинского партнера в Киеве. Если кто-то из украинских правоохранительных органов заинтересован в конкретных деталях, они могут обратиться к нам по электронной почте, адрес которой указан в Ответах на основные вопросы (https://eset.ua/ru/news/view/452/answers-to-basic-questions-about-the-operation-Groundbait).

Все партнеры, где бы ни находился их офис, включая Россию, получили доступ для собственного использования только к документу с описанием исследования, а также материалу, представленном в блоге, и сопроводительному пресс-релизу. Российская компания-партнер не участвует в исследованиях ESET и не была задействована в исследовании атаки Operation Groundbait.

Уважаемые журналисты, блогеры, а также пользователи продуктов ESET, мы с удовольствием поможем вам и в дальнейшем разбираться в вопросах обеспечения безопасности как персональных компьютеров, так и компьютерных систем. Компания ESET всегда открыта к сотрудничеству и готова предоставить информацию об обнаруженных угрозах компьютерной безопасности как журналистам, так и государственным органам, обеспечивающим защиту киберпространства Украины.

В дальнейшем ESET будет более аккуратно подходить к выбору примеров атак в открытой части своих исследований, чтобы не провоцировать волну инсинуаций, а также не подвергать своих сотрудников необоснованным нападкам.