«Ми виявили витік даних у топменеджера Oracle». CEO Alerts Bar — про те, як хакери обходять 2FA та антивіруси й чому 80% атак починаються з інфостілерів

Дмитре, почнімо із самого початку. Як взагалі зародилася ідея Alerts Bar і що підштовхнуло вас зайти в цю нішу?

— Ідея з’явилася, коли я почав стикатися з інцидентами, які відбувалися саме через вкрадені облікові записи, що вже пачками висіли на продаж у Darknet. Розбираючи один із таких кейсів, я побачив, що сьогодні Darknet — це величезний маркетплейс із системним підходом. Там усе розкладено по ланках: одні розробляють софт, інші заражають, треті — брокери, які перепродують дані. Я зрозумів, що бізнесу потрібен інструмент, який буде бачити це раніше за хакерів.

А наскільки дорого було запустити такий складний продукт?

— Насправді, на старті я вклав декілька тисяч доларів у прості організаційні речі. Зараз час соло-фаундерів. Завдяки ШІ одна людина, яка розуміється на архітектурі, може підвищити свою продуктивність у десятки разів. Раніше для такого стартапу потрібні були Angel Investments, а зараз можна все зробити швидше, дешевше і без зайвої бюрократії.

Ви згадували про кейс з Oracle. Як вам вдалося допомогти такому гіганту?

— Так, це було в січні минулого року. Ми виявили заражений комп’ютер Senior-директора Oracle. Там у вільному доступі було понад 400 паролів від різних сайтів. Ми миттєво зарепортили це, вони встигли все пофіксити та змінити акаунти. У результаті вони навіть додали мене як security contributor до себе на сайт.

Як саме працює ваш сервіс і на кого він орієнтований?

— Ми моніторимо мільйони джерел: Tor, Telegram-канали, закриті хакерські форуми й маркетплейси. Наш сервіс сповіщає компанію, якщо дані її співробітників чи клієнтів «спливли». Перевірки робимо кожні шість годин або навіть у реальному часі. Наші клієнти — це і малий бізнес, і великі корпорації.

Скільки коштує такий спокій для бізнесу?

— Підписка для малого бізнесу (до 100 співробітників) стартує від $350 на місяць за один домен. Для середнього бізнесу — від $800 за три домени. Ціни на сайті не вказуємо, бо працюємо через реселерів, але це базові орієнтири. 

Інфостілери: чому 2FA та антивіруси не рятують

— Давайте детальніше про інфостілери. Як вони еволюціонували?

— Раніше віруси були чисто заради розваги — перевертали екран у MS-DOS. Потім крали паролі від ICQ. А зараз це Malware-as-a-Service. Хакери купують підписку на вірус, мають техпідтримку й чіткий roadmap. Інфостілер — це троян, який тихо копіює дані з браузера та відправляє іх в Darknet. Людина про це навіть не знає.

Як зазвичай відбувається зараження? Це якісь складні атаки?

— Найчастіше — людський фактор. Люди завантажують «кряки» для Photoshop, чіти для ігор, генератори ключів Windows або «лівий» софт для macOS, якого в природі не існує. Зараз популярний метод ClickFix: фейкова капча «я не робот», яка просить тебе натиснути Win+R і вставити код. Людина вставляє PowerShell-код, тисне Enter — і все, зараження відбулося, хоча їй пише «ви вдало пройшли перевірку».

У вкрадених даних містяться збережені паролі від сайтів, кукі сесії, автозаповнення поля, кредитні картки, конфіги плагінів, криптогаманців тощо. Ось, наприклад, ми перевірили по бінах деяких топбанків і побачили, що станом на сьогодні за останній час було скомпрометовано 512 карток з CVV-кодами. Усі ці дані вже відвантажені банкам, і, сподіваюсь, вони їх заблокували. Так, «Монобанк» теж користуються нашим сервісом.

А що антивіруси? Невже не бачать загрози?

— Смішно, але майже на всіх заражених компах, які ми бачимо, стоять антивіруси від Defender до CrowdStrike. Антивіруси часто безсилі, бо вірус не резидентний: він не сидить у пам’яті, він просто один раз скопіював файли, відправив і «помер». Або люди їх просто навмисно вимикають, щоб їм не набридало алертами коли вони качають чіти невідомого походження. 

Менеджери паролів можуть убезпечити від зараження. Вони безпечніші за браузер?

— Менеджери (як Bitwarden чи 1Password) — це добре, але вони не панацея. Хакери крадуть сесії (cookies). Якщо в них є твій кукіс, вони заходять у твій Gmail чи ChatGPT взагалі без пароля і в обхід двофакторної автентифікації (2FA).

Ось тільки що ви прямо на очах знайшли новий інфостілер. Розкажіть детальніше, що ми знайшли?

— О так, ми якраз дивилися «свіжак» за 14-те число і натрапили на дамп даних якогось спеціаліста з QA. Там були кукі, та навіть історія команд для Mac (ZSH History), і ми виявили новий інфостілер — Hub Stealer. Я навіть назву таку раніше не чув, одразу скинув команді ресерчерів. Це був «вилов» гарячим слідом.

Анатомія атаки: «Золоте вікно» у дві години та шантаж корпорацій

Через скільки часу інфільтрація може заподіювати шкоду бізнесу?

— У кібербезпеці все вирішують години. Від моменту, коли ми отримуємо сигнал про витік, до моменту, коли хакери реально зможуть скористатися даними, у нас зазвичай є декілька годин.

Тобто хакери не одразу кидаються зламувати акаунт?

— Не зовсім. Ми бачимо, що вони збирають дані у великі «пачки» по кілька тисяч запитів і тільки потім починають їх обробляти. Така пачка склеюється приблизно дві години після накопичення певного об’єму. Поки вони пакують — у нас є час на реакцію. Але й у них є ці ж пару годин, щоб почати діяти.

А що саме вони роблять насамперед?

— Залежить від «здобичі». Якщо в логах є крипта, то її намагаються витягнути автоматично і миттєво. А от акаунт компанії — це інша історія. Його, швидше за все, не будуть атакувати одразу. Його класифікують: наприклад, «адмін Fintech-компанії, оборот $20 млн, Східна Європа». Потім цю інформацію виставляють на Dark-форумі. І вже той, кому цікава атака саме на цей бізнес, купує ці дані.

Хто ці люди, які купують такі доступи? Які в них цілі?

— Це окрема ланка кіберзлочинців, які займаються Ransomware (шифрувальники-вимагачі). Є відомі команди, такі як Clop або Lockbit. Вони атакували Ernst & Young та інші великі корпорації. Їхня схема проста: вони крадуть чутливі документи й вимагають гроші за те, щоб не оприлюднювати їх. Якщо компанія не платить — вони просто викидають все в паблік.

Крім шифрування та вимагання грошей, які ще ризики для бізнесу?

— Шпіонаж на користь конкурентів або банальне використання корпоративної пошти для спаму та фроду. Я особисто займався відновленням одного домену, чия репутація в Google впала майже до нуля після хакерської спам-розсилки. Компанія потім декілька місяців не могла нормально користуватися поштою. Ризиків безліч, і інфостілери — це джерело 80% усіх атак на бізнес.

А чи часто бізнес взагалі платить хакерам, щоб дані не зливали?

— Наскільки я бачу, більшість все ж таки не платить. У хакерів навіть є свої прийоми тиску: вони ставлять таймер, мовляв, «у вас залишилось 7 днів», а потім пишуть на сайті, що компанія така-то не поважає своїх клієнтів, і починають злив. Це справжній психологічний тиск. Ми можемо навіть зайти через TOR-браузер і подивитися на ці «дошки ганьби» в Darknet.

Про AI та вайбкодинг: «Механічна коробка передач більше не потрібна»

Як ви ставитеся до вайбкодингу і ШІ загалом. Це суттєво спрощує роботу чи навпаки шкодить?

— Це революція. Я вже звик отримувати результати миттєво. ШІ мені ніколи не каже: «я захворів», «я не хочу» або «в мене інша думка». Він просто чітко виконує завдання. Багато хто боїться, що ШІ їх замінить, або кажуть, що треба «тренувати мозок» без нього. Це як з автомобілем: можна їздити на механіці, але в 99% випадків вона не потрібна, бо автомат справляється достатньо непогано.

А як щодо якості коду? Чи не створює це забагато технічного боргу?

— Технічний борг буде завжди. Але для стартапу на етапі MVP швидкість важливіша. Як ми жартуємо в бізнес-середовищі, якщо твої сервери не витримують навантаження від клієнтів — це добрий знак, значить бізнес працює. Потім прийде команда і все перепише на надійніші рішення, але зараз час тих, хто біжить швидко.

Злі клони ChatGPT працюють на кіберзлочинців. Як влаштовані WormGPT, FraudGPT та інші загрози

По темi

Злі клони ChatGPT працюють на кіберзлочинців. Як влаштовані WormGPT, FraudGPT та інші загрози

А як щодо «тієї сторони»? Хакери теж освоїли ці інструменти?

— Безумовно. Нам треба чітко розуміти: атакувальна сторона вже максимально повно використовує ШІ на всіх етапах — від створення методів зараження до подальшого викрадення акаунтів. Наприклад, ті винахідливі інструкції з PowerShell-кодом, (коли людей просять натиснути Win+R для «перевірки»), — це все створюється завдяки ШІ.

Тобто ШІ робить їхні методи ще більш витонченими?

— Саме так. Це постійна гонитва озброєнь, яка особливо загострилася зараз із розвитком ШІ-технологій. Хакери використовують ШІ, щоб їхні методи еволюціонували швидше: вони постійно змінюють підходи, вигадують нові хитрощі, і все це відбувається в автоматизованому режимі. Протистояти цьому вручну вже просто неможливо — потрібно теж використовувати технології, щоб бути хоча б на крок попереду.

Що б ви порадили звичайному користувачу чи власнику бізнесу?

— По-перше, Security Awareness — навчайте персонал не тиснути все підряд. По-друге, Darknet-моніторинг. Це ваша остання лінія оборони. Краще дізнатися погані новини від нас за декілька годин до атаки, ніж від хакерів, коли ваші дані вже зашифровані.

«Україна зараз має найбільшу кіберармію у світі. Цей досвід потрібен демократичному світові». Інтерв’ю з топпосадовцем із питань кібербезпеки Румунії

По темi

«Україна зараз має найбільшу кіберармію у світі. Цей досвід потрібен демократичному світові». Інтерв’ю з топпосадовцем із питань кібербезпеки Румунії

«Уся інформація з Telegram потрапляє до спецслужб рф». Бліц із керівницею служби з питань інформаційної безпеки та кібербезпеки Апарату РНБО

По темi

«Уся інформація з Telegram потрапляє до спецслужб рф». Бліц із керівницею служби з питань інформаційної безпеки та кібербезпеки Апарату РНБО

«Якщо айтівцю лячно на вулиці, ще десь, він може швидко викликати нашу групу, вона його забере й відвезе з точки А в точку Б». Інтерв’ю з Дмитром Стрижовим, засновником компанії SHERIFF

По темi

«Якщо айтівцю лячно на вулиці, ще десь, він може швидко викликати нашу групу, вона його забере й відвезе з точки А в точку Б». Інтерв’ю з Дмитром Стрижовим, засновником компанії SHERIFF

Читайте головні IT-новини країни в нашому Telegram

По темi

Читайте головні IT-новини країни в нашому Telegram