Китайцы на вирусы не обращают внимания

О китайских кибератаках, в том числе об их технической стороне, «Эксперт» беседует с IT-директором ESET в России Павлом Потасуевым.

— Уже несколько лет эксперты говорят о вале вирусов из Китая. Он действительно неудержимо растет? С чем это связано?

— Около пяти лет наша компания фиксирует рост опасного трафика со стороны Китая. Мы часто обнаруживаем источники вредоносного кода на территории КНР, это и сайты, которые заражают компьютеры пользователей, и сайты, содержащие дополнительные модули для вирусов. Причем источников атак очень много — от небольших местных компаний до хостинг-провайдеров национального масштаба.

Вероятно, это следствие государственной политики Китая в области информационных технологий: уделяя большое внимание цензуре и блокированию «плохих» сайтов, чиновники не обращают особого внимания на источники распространения вредоносного трафика. Конечно, такие источники есть и в США, и в России, но там их гораздо меньше.

Еще один фактор — низкий интерес властей КНР к совместному расследованию различных инцидентов. Если вы обнаружили «китайский след», дальнейшие действия на территории Поднебесной становятся практически невозможными. Только если дело выходит на уровень правительства, китайцы идут на сотрудничество. Ну и еще один фактор, который играет незначительную роль, — низкая стоимость хостинга в Китае.

— Google в своем сообщении намекает на причастность правительства КНР к атаке на инфраструктуру компании. Если говорить о технической стороне вопроса, можно ли утверждать, что за подобными инцидентами стоят некие мощные структуры, не обязательно государственные?

— Давайте рассмотрим эту атаку. Вредоносные коды, которые применялись при атаке, использовали уязвимые места, неизвестные широкому кругу специалистов по сетевой безопасности. Кроме того, эксплойт (последовательность команд, использующая уязвимости в программном обеспечении, предназначенная для проведения атаки на вычислительную систему. — «Эксперт»), примененный в атаке на Google и получивший кодовое название Aurora, быстро эволюционировал. Если в середине января этот эксплойт представлял опасность только для пользователей браузера Internet Explorer 6.0, то на прошлой неделе он был усовершенствован и теперь угрожает и более поздним версиям браузера от Microsoft.

Судя по тому, как была организована атака на Google и еще целый ряд компаний, можно утверждать, что за этими атаками стоит группа лиц, являющихся квалифицированными специалистами в области сетевой безопасности. Стоят ли за этим некие структуры, точно сказать невозможно. Можно сузить круг подозреваемых, оценивая выгоды от результатов атаки. Именно это и сделала американская корпорация, недвусмысленно указав на официальные власти КНР. Не думаю, что дальнейшие подробности станут известны, даже на исполнителей наверняка не выйдут.

Вспомните: в прошлом году вирус Conficker, также известный как Downadup и Kido, заразил миллионы компьютеров по всему миру. Помимо возможных крайне мощных атак, способных удаленно вызвать одновременный сбой оборудования многих веб-ресурсов, последствия могли быть любыми, так как вирус еще и загружал из сети дополнительные вредоносные модули. Иными словами, злоумышленники могли взломать практически любую информационную систему.

История Conficker закончилась так же, как и история большинства прочих вирусов, — он стал неактуальным. Уязвимости, которые он использовал, были ликвидированы, тело вируса внесено в базы антивирусных пакетов, но источник эпидемии никто не нашел. Ничего не известно и о последствиях, ведь эпидемия могла быть частью крупной атаки на любую компанию. А случаи, когда корпорации сообщают об атаках на свои ресурсы, единичны, ведь им это не выгодно.

— В конце прошлого года появилось несколько сообщений о том, что Китай, США и Россия занимаются созданием неких структур для ведения «боевых действий» в интернете. Как вы считаете, такое возможно?

— Сегодняшние реалии способствуют тому, чтобы появились подобные отделения спецслужб. Если раньше под информационной войной понималась только пропаганда, то сейчас этот термин значительно расширился, специалисты высокого уровня должны быть на службе у всех развитых государств. Ведь компьютеры, используемые для хранения данных, которые могут представлять интерес для потенциального или реального противника, так или иначе иногда бывают подключены к мировой сети, а значит, к ним в принципе можно получить удаленный доступ. Другой вопрос, насколько охотно правительства разных стран будут обнародовать информацию о подобных государственных службах. Например, США огласили бюджет, который планируется потратить на создание такого подразделения: на исследования и разработки на 2009 год было предусмотрено 143 миллиарда долларов, в том числе 300 миллионов долларов — на проекты, связанные только с безопасностью компьютерных систем. А Россия и Китай ни о чем подобном в открытую не заявляли. Со стороны США это тоже можно расценить как демонстрацию силы, есть повод говорить об одном из приемов информационного противостояния.