Солар попал под санкции: причины и следствия

Солар попал под санкции: причины и следствия

Солар попал под санкции: причины и следствия

14 сентября Минфин США объявил о новом пакете санкций против российских физических и юридических лиц. В их число попала российская компания «Солар», работающая в сфере ИБ.

14 сентября Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело около 100 санкций против российских руководителей и ряда российских промышленных компаний, финансовых институтов и вендоров. В число пораженных в правах попал ряд российских компаний, в том числе тех, кто выпускает продукцию для гражданского применения. Среди них оказалась компания ООО «Solar Security». Это – прежнее название, которое до 14 сентября носила компания «РТК-Солар».

Официальная причина для наложения санкций – «оказание давления и введение экономических ограничений для подрыва потенциала России для ведения боевых действий против Украины».

Если конкретно, то в вину компании ООО «Солар Секьюрити» («Солар Секьюрити») поставлена ее сфера деятельности: «анализ угроз и предотвращение вторжений, участие в строительстве и поддержке систем кибербезопасности, а также обладание лицензией ФСБ России на разработку, производство и распространение средств шифрования». Такой набор предъявленных обвинений выглядит более чем странным.

Как сообщает ТАСС, в пресс-службе «Ростелеком-Солар» уже отреагировали на появление в санкционном списке Минфина США и отметили, что это «не отразится на ее операционной деятельности. <…> На сегодняшний день все решения и технологии компании импортозамещены. <…> «Солар» продолжит работать в штатном режиме».

Ребрендинг «Солар» не связан санкциями

Отметим также, что в этот же день (14 сентября) группа компаний «Солар» презентовала свой обновленный бренд и сообщила о разделении бизнеса на два направления с созданием двух автономных подразделений: работа 1) с коммерческими и 2) государственными заказчиками. Каждая из новых компаний будет функционировать под собственным брендом. Отдельно будет запущен Центр исследования киберугроз Solar 4RAYS, сформирована система доменов экспертизы; набор продуктового предложения будет дополнен услугой управленческого консалтинга.

Проводилось ли разделение компании с учетом предстоящего появления в санкционном списке? Ни во время ребрендинга, ни в кулуарах мероприятия не сообщалось об этом.

Интервью с топ-руководителем «Солар»

В кулуарах мероприятия по ребрендингу мы задали несколько вопросов Владимиру Дрюкову, директору центра противодействия кибератакам Solar JSOC. Как минимум, мы (издание Anti-Malware.ru) не знали на тот момент о предстоящих изменениях (введении санкций). Но полученные в интервью ответы позволяют лучше понять позицию компании «Солар». Они также позволяют оценить объективность выдвинутых против нее обвинений и наложении санкций.

 

Anti-Malware.ru: В последнее время в мире встречаются две различные доктрины безопасности: наступательная и оборонительная? Какой модели придерживаются в «Солар»?

Владимир Дрюков: Выбор доктрины не меняет принципиально то, что происходит в реальности. Он скорей характеризует «импульс», который потом трансформируется в принятие тех или иных решений при реализации оборонительных мер в ИБ.

Здесь очень важна граница. Когда мы говорим о наступательной кибербезопасности, то речь идет о том, что внутри страны могут создаваться команды, которые нацелены на профессиональный взлом чужих (иностранных) инфраструктур, шпионаж, добычу данных, осуществление деструктивных действий, атаку на опережение и т. д.

Можно рассмотреть гипотетический пример: давайте взломаем электростанцию, чтобы в городе случился блэкаут (системная авария в энергосистеме, сопровождаемая массовым отключением потребителей). Это позволит выполнить другие наступательные действия.

Но данная концепция бесконечно далека даже от нашей текущей доктрины (которой придерживается «Солар»).

Но есть другая история. Если вас «ломают» с определенного хакерского ресурса и вы знаете местонахождение его центра управления, то в распоряжении защищающихся есть инструменты, которые позволяют взломать и удалить «вирусное тело» нападающих, т. е. <совершить> инвазивные действия против атакующего. Но это уже другая, «серая» область в системах безопасности.

Действительно, некоторые <за рубежом> активно используют именно эту модель. Например, известны случаи, когда ФБР пропатчила все роутеры, взломав их и установив свои обновления. Таким путем был обезврежен центр управления нападающей стороны, что позволило удалить «вирусное тело» отовсюду в сети – они запускались «от кнопки» в центре управления.

Эта функциональность была бы полезна для тех, кто занимается практической кибербезопасностью. Но мы сейчас не имеем права применять воздействие против атакующего. Возможно, эта доктрина будет изменена через какое-то время (но пока этого не произошло).

С другой стороны, американская сторона не просто применяет, а предлагает размещать соответствующие инструменты в продуктах. Это позволяет иметь возможность реализовать подобные защитные действия. Нечто похожее наблюдается в российской зоне ответственности.

Пока мы («Солар») видим «серое поле» – инвазивное воздействие на атакующую инфраструктуру. Фактов предварительного захвата оборудования (со стороны атакующих) пока не видно. Эта «зона» для нас по-прежнему остается под запретом.

Что можно добавить к сказанному?

Вернемся к событиям 2010 года. Тогда стало известно о кибероружии в виде червя под названием Stuxnet.

Сначала нападающая сторона сумела подбросить вредоносный код на USB-накопитель иранского рабочего. Он занес код в государственные компьютерные сети. В результате вирус распространился, заразив в общей сложности 15 крупных государственных объектов, в том числе главную цель — иранский ядерный объект в городе Нетензе (Natanz).

После «нажатия кнопки» установленные на предприятии центрифуги вышли из-под контроля и перешли в ускоренное вращение. Процесс продолжался до их разрушения. Согласно обнародованным данным, было выведено из строя более 900 центрифуг, при этом рабочие предприятия могли только беспомощно наблюдать за происходящим.

Уже в 2012 году американское издание The Washington Post опубликовало не только информацию о создателе первого экземпляра «кибероружия», но и объявило о законности данного вида воздействия.

Как оказалось, решение о применении было выдано в рамках действующей Президентской политической директивы (PPD-20). В соответствии с духом того времени она ограничивала использование деструктивного наступательного кибероружия только контролем со стороны первого лица государства (на тот момент, президента Барака Обамы). Это была первая публичная демонстрация того, что в США перешли на наступательную доктрину безопасности.

«Солар» и санкции

Изложенные в этой статье факты позволяют дать оценку попаданию компании «Солар» в санкционные списки.

При отсутствии прямых доказательств в совершении каких-либо деструктивных действий и, наоборот, существовании прямых подтверждений применения наступательной доктрины безопасности со стороны США, похоже, происходит раскачка рынка ИБ. Включение «Солар» в санкционный список выглядит как попытка навязать ложное мнение о компании и опорочить ее бизнес-деятельность.

Но остается вопрос: на кого будут распространяться санкции. Дело в том, что после ребрендинга такой компании, как Solar Security, не существует. Более того, компания с таким названием уже была переименована еще задолго до начала подготовки санкций. Против кого тогда они направлены?

Этот вопрос остается открытым, хотя, думается, речь идет скорей о политическом давлении, чем о практической  стороне. Но придется подождать и посмотреть, как в реальности будут воплощаться санкции. Пока создается впечатление, что ничего особенно не произошло.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На VirusTotal для пробы загрузили UEFI-буткит, заточенный под Linux

В ходе просмотра ноябрьских загрузок на VirusTotal эксперты ESET обнаружили неизвестное UEFI-приложение. Анализ показал, что это буткит, ориентированный на Linux, а точнее, на некоторые версии Ubuntu.

Файл bootkit.efi (30/72 по состоянию на 27 ноября) содержит множество артефактов, указывающих на пробу пера. Свидетельств использования в атаках Bootkitty, как нарек его создатель, не найдено.

Вредонос подписан самопальным сертификатом, из-за этого его запуск в системах с включенным режимом UEFI Secure Boot невозможен без предварительной установки сертификата, контролируемого автором атаки.

Основными задачами Bootkitty являются обеспечение обхода проверок целостности системы (через перехват функций и патчинг GRUB), а также загрузка файлов ELF (каких именно, установить не удалось) с помощью демона init.

 

Тот же пользователь загрузил на VirusTotal неподписанный модуль ядра, который аналитики нарекли BCDropper. Этот компонент отвечает за развертывание ELF-бинарника, который загружает еще один модуль ядра после запуска системы.

В строках кода BCDropper было обнаружено имя BlackCat — так себя именует создатель Bootkitty. Признаков его связи с кибергруппой, стоящей за шифровальщиком ALPHV/BlackCat, не обнаружено.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru