Эпизод 23: Чем опасны арабские хакеры

Ведущий: Для этой истории мы направляемся на Ближний Восток.

МОХАММЕД: Итак, меня зовут Мохаммед Альдуб. По-арабски это пишется م.محمد الدوب.

Ведущий: Да, так где ты сейчас?

МОХАММЕД: В Кувейте, как всегда. Это то место, откуда я родом.

Ведущий: Сейчас Мохаммеду за тридцать, но с подросткового возраста он увлекался компьютерами.

МОХАММЕД: Ну, Кувейт, как правило, представляет собой очень связанное общество, поэтому очень легко попасться на крючок с самого начала. С моей, скажем, возрастной группой, с интернетом, который вошел в наши дома в конце девяностых, рано подсел на технологии, это было – я думаю, это было очень просто. Но потом я действительно поступил в Кувейтский университет, в инженерный колледж и на факультет компьютерной и программной инженерии, так что я получил диплом инженера в этом направлении. Но затем, после выпуска, я действительно занялся кибербезопасностью. Итак, я пришел в кибербезопасность примерно в 2010 году.



Ведущий: Он получил работу в правительстве Кувейта, занимаясь обеспечением безопасности систем, и довольно рано осознал важность Интернета и защиты всего, что в нем есть.

МОХАММЕД: В мои ранние годы, где-то в 2010 и 2011 годах, я на самом деле познакомился с покойным Дэном Камински, и его руководство было действительно удивительным в отношении того, как новый и подающий надежды человек, такой как я, мог бы сделать, чтобы должным образом заняться кибербезопасностью. Я думаю, что с появлением социальных сетей, которые штурмом захватили политическую и общественную сцену Кувейта, для меня было совершенно естественным использовать эту платформу для обсуждения кибербезопасности и повышения осведомленности.

Ведущий: У Мохаммеда много поклонников в Твиттере. Там его зовут Вулнет, и он не говорит мне, что это значит. Сегодня у него 73 000 подписчиков, но чтобы добиться этого, он поделился в Твиттере большим количеством знаний о безопасности.

МОХАММЕД: Я сделал много — я бы сказал, что твит-шторм — это когда я беру определенный образец вредоносного ПО, который только что был свежим, в настоящее время используется для атаки на какую-то организацию в регионе Персидского залива, затем я выходил в эфир в Твиттере, пытаясь проанализировать вредоносное ПО, как это работает, что делает с системами. Так что это было чем-то вроде того, что мы делаем для сообщества, для толпы. Людям это понравится. Люди будут заниматься этим.

Ведущий: После колледжа он смог устроиться на работу в правительство Кувейта. Ему было поручено делать такие вещи, как обеспечение безопасности систем, анализ вредоносных программ и другие работы по кибербезопасности. Он хорошо разбирался в безопасности, масштабировался, и его популярность в Твиттере росла. С этим перед ним начали открываться новые двери.

МОХАММЕД: Затем, в 2018 году, я фактически оставил эту государственную работу, а затем прошел свой первый официальный тренинг по кибербезопасности, который проходил за границей. Это было в Нидерландах, поэтому я провел курс по анализу вредоносного ПО для Android для голландской полиции. Так что это было довольно интересно, потому что это был официальный первый официальный тренинг, который я провел за пределами Кувейта перед аудиторией в Европе.

Ведущий: Ему очень понравилось. Обучать людей новым вещам весело, поэтому он огляделся в поисках дополнительных возможностей для обучения.

МОХАММЕД: На самом деле меня приняли в Black Hat в качестве препода, и для меня это было сбывшейся мечтой. Я никогда не думал — обычно, когда я работал в правительстве, я мечтал посетить Black Hat, понимаете?

Ведущий: Black Hat — это ежегодная конференция по безопасности в Лас-Вегасе, которая проходит за неделю до Defcon, и Black Hat больше ориентирована на профессионалов в области безопасности и людей, которые хотят научиться лучше защищать свои системы. Обучение там, как я слышал, довольно хорошее, поэтому Мохаммед гордился тем, что его выбрали в качестве тренера. В частности, он планировал провести курс по защите конечных точек API. Но был 2019 год, и он получил известие, что станет тренером в начале этого года, например, в феврале или марте. Но Black Hat появится только в августе, так что у него было пять месяцев на подготовку. Именно в эти пять месяцев происходит эта история, история, изменившая его жизнь. Что Мохаммед любит делать, так это изучать новейшие вредоносные программы, и особенно его интересовало вредоносное ПО, которое каким-то образом использовалось в Кувейте, где он жил.

МОХАММЕД: Итак, конечно, находясь в регионе Персидского залива, было много интересных участников угроз, особенно, например, из Ирана, из других стран, из Израиля, других организаций и стран мира. Таким образом, очевидно, что регион Персидского залива был сильно атакован, и обычно это было что-то регулярное, когда мы пытались охотиться за угрозами, пытались искать государственных субъектов, атакующих определенные объекты.

Ведущий: Как государственному служащему, ему иногда присылали вредоносное ПО для анализа, и это было круто. Но поскольку он уволился с работы, ему нужно было найти новое место, чтобы следить за последними вредоносными программами, распространяющимися в Кувейте.

МОХАММЕД: Один из лучших способов поиска таких вещей — использование VirusTotal.

Ведущий: VirusTotal; это увлекательный веб-сайт. Итак, бесплатная услуга, которую они предлагают, заключается в том, что если вы обнаружите какое-либо вредоносное ПО, вы можете загрузить его на их сайт, и он сообщит вам, что это за вредоносное ПО. Это очень полезно для групп безопасности, чтобы получить информацию о любом вредоносном ПО, которое они нашли в своей сети. Я имею в виду, подумай об этом; предположим, что ваш компьютер работает плохо. Вы открываете Диспетчер задач и видите там запущенную службу. Что ж, вы можете взять его, загрузить на VirusTotal, и он сообщит вам, считают ли какие-либо антивирусы это вредоносным, и любую дополнительную информацию об этом вредоносном ПО. Так что да, службы безопасности постоянно загружают вредоносное ПО на этот сайт. Но если у вас премиум-членство, вы получаете бонусную функцию; если кто-то загружает какое-то вредоносное ПО в VirusTotal, и это файл, который он никогда раньше не видел, вы можете получить предупреждение. Таким образом, исследователям безопасности может быть интересно узнать, что может содержать этот новый файл, и они могут загрузить его и проанализировать. Мохаммед любил эту функцию.

МОХАММЕД: Я бы использовал его для фактического поиска атак, нацеленных на Кувейт, образцов вредоносных программ, загружаемых из Кувейта, из других стран региона, потому что они, очевидно, представляют интерес для моей работы.

Ведущий: Как он уже говорил, иногда он брал вредоносное ПО с этого сайта, VirusTotal, и начинал прямую трансляцию, когда изучал его, чтобы посмотреть, что в нем. Поскольку он говорил по-арабски, это также помогло ему лучше понимать угрозы, нацеленные на регион Персидского залива. Таким образом он находил довольно интересные вещи и писал об этом в Твиттере, а вскоре после этого видел, как некоторые крупные компании, занимающиеся безопасностью, публикуют предупреждения об этом. Это то, что я бы назвал исследованием безопасности.

На этом история Мохаммеда только начинается. Продолжение выйдет уже через неделю, не пропусти!