27.01.2022
12:01
0
5906

Киберзащита высшего сорта: сотни госучреждений используют пиратские программы, которые могут содержать вредоносные алгоритмы

Влад Герасименко, Анатолий Бондаренко, Тексти.org.ua

14 января, сразу после масштабной атаки на правительственные сайты, в результате которой часть из них временно прекратила работу, а у части были изменены первые страницы, мир увидели рекомендации СБУ о том, как "устранить уязвимости к кибератакам". Рекомендации были опубликованы на сайте учреждения в виде docx файла, и почти сразу наблюдательные читатели нашли признаки того, что этот файл создан на ломаном, или пиратском программном обеспечении.

"Ломаное", "пиратское" программное обеспечение обычно можно найти на специальных сайтах – чаще всего это битторент-трекеры – и скачать себе на компьютер бесплатно. Однако "пиратские" программы могут включать в себя вредные компоненты, которые были добавлены во время "взлома".

Обычно в «ломаных» программах можно встретить «кейлогеры» (шпионящие программы, следящие за тем, что нажимается на клавиатуре). Или программы-шпионы, которые воруют файлы определенного типа с компьютера пользователя и отправляют на ПК злоумышленнику. Или даже приложения, которые могут получить полный контроль над вашим компьютером.

Собственно, добавление таких вредоносных программ (malware) обычно является главной мотивацией людей, взламывающих коммерческое программное обеспечение и бесплатно выкладывающих его онлайн.

То есть, сотрудники СБУ написали рекомендации по противодействию кибератакам на “ломаном” программном обеспечении, использование которого ставит под угрозу их собственные компьютерные системы. Идея этого материала возникла сразу после этой истории.

Как можно определить, что файлы сделаны в "пиратской" программе

Многие типы файлов (например, изображения, аудио или видео, или упомянутый выше файл docx, известный как "док-файл"), созданный в пакете Office, содержат метаданные. Обычно это невидимые записи о том, при каких условиях, когда и чем был создан этот файл, каков его тип и т.д. Некоторые метаданные добавляются автоматически, некоторые из них можно изменять вручную в самом приложении.

Например, человек, создающий "док" или "эксель"-файл, имеет возможность добавить название компании. Однако большинство никогда этого не делает. Поле может отсутствовать, остаться пустым или там может быть название, которое добавляет сломанный вариант программы (таким образом ее модифицировали хакеры). Таким автографом может быть псевдо "автора" взлома, название хакерского коллектива или другие названия, служащие своеобразной подписью. В файле от СБУ это поле содержало название "SPecialiST RePack" - автограф очень известного автора сломанных "офисных" пакетов, скорее всего, из России. Он, в частности, имеет профиль на российском специализированном сайте rutracker, распространяющем пиратский контент. На 27 января docx-файл со страницы СБУ все еще содержалв поле Company запись “SPecialiST RePack” (убедиться в этом можно, например, если открыть файл в Libre Office, выбрать меню File→Properties→Custom Properties).

Назар Токарь, программист и автор подкастов о технологиях, через гугл-поиск нашел на сайтах нескольких украинских государственных учреждений признаки того, что их документы создаются в ломаных вариантах Office. Это означает, что защита компьютерных систем в этих организациях может содержать дыры, которыми могут воспользоваться злоумышленники, в том числе из России. В список попали кроме СБУ, Кабмин и отдельные министерства, городские советы, НАБУ, Верховная Рада, консульство в Торонто и т.д.

Насколько плоха ситуация с пиратскими программами в украинских госорганах? Журналисты Тексти.org.ua решили посмотреть на это более масштабно. Для этого использовали два сайта, куда госучреждения массово выкладывают свои файлы. После загрузки таких файлов мы определили, какие метаданные они содержат.

Проверка data.gov.ua – портала открытых данных

Очень многие разнообразные госорганы, распорядители открытых данных, обнародуют на этом портале файлы с данными или их описанием. Именно поэтому этот сайт очень удобное место, где можно посмотреть состояние дел с пиратскими программами. Мы загрузили все доступные файлы, их оказалось 276225. Чаще метаданные можно найти в файлах популярных офисных пакетов Microsoft Office. Мы выделили следующие форматы: .doc, .docx, .xls, .xlsx, .rtf, .pdf, .xml. – таких файлов на портале было 203 632.

Около 17% (~35 тысяч) из них имели метаданные тег Company. Среди них 6,6 тыс. имели признаки того, что были созданы на пиратском программном обеспечении:

 

Проверка rada.gov.ua (Верховная Рада Украины)

Мы скачали файлы сопроводительных документов со страниц около 6000 законопроектов, относящихся к IX-му, текущему созыву ВР. Это 37 886 файлов. В 31045 из них – поле Company не заполнено или пусто.

Для остальных результаты следующие:

 

О какой кибербезопасности и защите от нападений российских хакеров может идти речь, если тысячи служащих государственных органов, даже в таких критических учреждениях, как СБУ и МВД, используют на своих компьютерах "ломаное" программное обеспечение, которое может включать в себя что-либо? И это при том, что есть свободные альтернативы (Libre Office), которые не намного уступают коммерческим аналогам.

О КАКОЙ КИБЕРБЕЗОПАСНОСТИ И ЗАЩИТЕ ОТ НАПАДЕНИЙ РОССИЙСКИХ ХАКЕРОВ МОЖЕТ ИДТИ РЕЧЬ?

К слову, ответственность за использование пиратского ПО несут руководители предприятий.

 

Методология

Как мы определяли, что офисный документ создан в пиратской версии программы: с помощью следующих меток Company. Названия этого списка оставляют после себя пиратские сборки офисных программ Microsoft:

 

Данные с подробными результатами проверки двух порталов смотрите в таблицах .

 

Обсуждение