ПОРА ОСТАНАВЛИВАТЬ «КРЁСТНЫХ ОТЦОВ» КИБЕРМАФИИ
Владимир Овчинский, Юрий Жданов
От взаимных обвинений надо переходить к взаимным усилиям
Современные технологии вывели опасность киберпреступности и киберинцидентов на такой уровень, что уже ясно всем – от взаимных обвинений надо переходить к взаимным решениям.
Здесь уже есть серьёзные совместные шаги. Россия и США в октябре 2021 года внесли на рассмотрение Генеральной Ассамблеи ООН совместную резолюцию «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности и поощрение ответственного поведения государств в сфере использования информационно-коммуникационных технологий». Голосование по этому документу в Первом комитете Генассамблеи намечено на ноябрь 2021 года, после чего, в декабре, его вынесут на общее голосование.
Разработка двумя странами совместной резолюции стала возможной благодаря достигнутым в июне договорённостям президентов РФ и США Владимира Путина и Джо Байдена о возобновлении взаимодействия в сфере кибербезопасности.
В резолюции подчеркивается, что все государства заинтересованы в поощрении использования ИКТ в мирных целях, а также в предотвращении конфликтов, возникающих в результате использования ИКТ. В то же время в ней сказано, что ряд государств занимаются наращиванием потенциала в сфере ИКТ для военных целей, а использование ИКТ в будущих конфликтах становится все более вероятным.
Особую обеспокоенность у разработчиков документа вызывают возможные злонамеренные действия с использованием ИКТ, направленные против объектов критически важной инфраструктуры.
Некоторые позитивные сдвиги видны и в противодействии киберпреступности. 31 октября 2021 года на сайте газеты New York Times в статье под заголовком «Соперники на мировой арене, Россия и США в тишине ищут области для сотрудничества» содержится утверждение о том, что Соединённые Штаты за закрытыми дверями ведут переговоры с Россией по этой проблеме. Также сообщается, что недавно США передали российской стороне имена нескольких хакеров, которые, по данным американского разведсообщества, причастны к недавним кибератакам на объекты в США.
Россия ожидает от американцев поддержки и в продвижении российского проекта Конвенции ООН по противодействию использованию информационно – коммуникационных технологий в преступных целях.
От «одиноких волков» к транснациональной кибермафии
Что из себя сегодня представляют киберпреступники?
В исследовании 2019 года, основанном на данных, извлечённых из пресс-релизов Министерства юстиции США (выборка составила 225 киберпреступников из разных стран, по 123 делам, связанных с 414 киберпреступлениями) раскрыт профиль транснационального киберпреступника. Одновременно исследован групповой элемент, в котором киберпреступники участвуют как члены международных сетей организованной преступности.
Средний возраст преступников составил 35 лет. Мужчины составляли 94% преступников (212 из 225). Среднее количество фигурантов киберпреступной деятельности составило 5 человек. Установлено, что более 68% обвиняемых работают в группах, а не самостоятельно. Это важный результат, так как многие воспринимают киберпреступников как «волков-одиночек», занимающихся хакерской деятельностью. На самом деле, киберпреступники с легкостью присоединяются к международным организованным преступным сетям на обширном пространстве кибермира.
В ходе еще одного исследования социологической структуры и организационной практики киберпреступников (изучено 18 групп преступников из Нидерландов, которым были предъявлены уголовные обвинения за вредоносные ПО и фишинговые преступления против банков и компаний, выпускающих кредитные карты) учёные обнаружили: ни в одной из криминальных сетей, участвовавших в этом исследовании, не участвовали одиночки. Вместо этого большинство сетей, которые исследователи категорически определили как команды, состояли из иерархической структуры. Они также длительное время участвовали в своих преступлениях. Основные члены команды отвечали за планирование кибер — атаки, другие, которые обладали определенными знаниями или навыками, использовались для проведения атак. Остальные — для покупки вредоносных программ или похищенных кредитных карт. Денежные мулы также были переданы на аутсорсинг основными членами с целью сокрытия денежного следа между жертвами обратно к основным членам.
Трансформацию киберпреступников в кибермафию отмечает и Управление ООН по наркотикам и преступности. По их данным организованные киберпреступники совершают множество киберпреступлений, включая, помимо прочего, мошенничество, различные атаки вредоносного ПО, кражу интеллектуальной собственности, а также продажу и распространение контрафактной продукции. Они также заключают контракты на оказание услуг другим киберпреступникам для дальнейшего облегчения их преступлений, будь то изготовление поддельных документов, продажа самодельных вредоносных программ, инструментов для DDoS – атак (действий, направленных на нарушение работоспособности инфраструктуры компаний) и услуг ботнетов (компьютерных сетей с программным обеспечением, позволяющим заражать компьютер жертвы атаки), а также инструменты фишинга ( интернет — мошенничество с получением доступа к данным пользователя) и регистраторов ключей.
Например, в конце октября 2021 года в ходе международной полицейской операции, в которой принимала участие Германия и семь других стран, была вскрыта сеть кибервымогателей, которая, предположительно, совершила компьютерные атаки с целью получения выкупа на компании в десятках стран. После двухлетнего расследования были арестованы 12 подозреваемых в Украине и в Швейцарии.
По данным Европола, жертвами вымогателей стали около 1800 компаний в 71 стране. Члены преступной группировки получали доступ к ИТ-системам фирм с помощью так называемых фишинговых электронных писем и другими способами. Затем они при помощи вирусов-вымогателей (ransomware) блокировали фирмам доступ к документации, шифруя его, и требовали выкуп за предоставление ключа для расшифровки.
Как отмечают международные эксперты, современная киберпреступность — это не привычная мафия, а нетрадиционная организованная преступность. И инструменты борьбы с ней (правовые и организационные) должны также быть адекватны новому явлению.
Тенденции развития «русской» кибермафии
Из истории российской киберпреступности
Вначале ей не уделялось особого внимания. Ее замечали лишь в связи с незаконной деятельностью в сфере программного обеспечения. Но в 1994 году Владимир Левин вместе с группой хакеров получил доступ к 10 с лишним миллионам долларов, проникнув за несколько недель в компьютерные системы Citibank. Левин и его коллеги использовали украденные коды, идентификаторы пользователей и пароли, чтобы переводить из банка суммы от нескольких тысяч до нескольких десятков тысяч долларов на счета, принадлежавшие его группировке в США, Финляндии, Голландии, Германии, Израиле, Аргентине и Индонезии.
Лишь в июле 1994 года клиенты Citibank начали сообщать о краже денег с двух счетов, сумма которых составила 400 тысяч долларов. Системе безопасности Citibank удалось выследить в августе 1994 года два перевода. Один был на 26 800 долларов, а второй на 304 тысячи долларов. Сотрудники банка немедленно связались с ФБР, которое начало следить за Левиным, пока он продолжал заходить на банковские счета и снимать все новые суммы. За несколько недель с июня по октябрь 1994 года они отследили в целом 18 входов в систему. Благодаря действиям ФБР, сотрудников Citibank и российских телефонных служб удалось вычислить, откуда Левин осуществлял свои операции. Это было его рабочее место в российском Санкт-Петербурге. В марте 1995 года Левина задержали в лондонском аэропорту Хитроу.
За прошедшие десятилетия многое стало другим. Эксперты отдела расследования компьютерных инцидентов «Лаборатории Касперского» проанализировали, как изменился ландшафт русскоязычной киберпреступности с 2016 по 2021 год.
Специалисты отмечают значительный спад числа атак на пользовательское ПО, в частности браузеры и офисных клиентов. Раньше злоумышленники активно проводили подобные атаки, поскольку в таких программах содержалось большое количество уязвимостей, а многие пользователи не обновляли их своевременно. Через эти бреши происходили массовые заражения вредоносным ПО, крадущим деньги. Жертвами чаще всего становились сотрудники коммерческих и финансовых организаций, обычно бухгалтеры. Но теперь пользовательское ПО значительно усовершенствовано, в него внедрены процессы автоматических обновлений, и злоумышленники переключились на массовые рассылки, в том числе с вредоносными вложениями.
Другое важное изменение заключается в том, что злоумышленники больше не стремятся разрабатывать собственное вредоносное ПО, а используют вместо этого публично доступные программы для тестирования на проникновение и удалённого доступа. Организации могут применять такие инструменты для легитимных целей, поэтому защитное ПО автоматически не определяют их как вредоносные. На это и рассчитывают злоумышленники. Использование инструментов для тестирования на проникновение также позволяет им экономить значительное количество ресурсов на разработку.
Кроме того, эксперты зафиксировали также следующие изменения:
злоумышленники активно используют облачную инфраструктуру вместо того, чтобы создавать и поддерживать свою собственную;
они больше не объединяются в крупные группы: отсутствие необходимости создавать собственные вредоносные инструменты наряду с активным использованием облачной инфраструктуры позволяет им вести вредоносную активность группами меньшего размера, чем раньше;
злоумышленники перешли от атак на финансовые системы и учреждения к атакам программ-вымогателей и атакам, нацеленным на кражу данных. Вдобавок они всё реже «работают» на территории России и СНГ, их цели всё чаще расположены в дальнем зарубежье.
На обучающем семинаре в рамках роуд-шоу «КиберДрайв», организованного в октябре т.г. ИД «Коммерсантъ» совместно с компанией «Ростелеком», экспертами отмечалось, что в 2020 году с кибератаками столкнулось около 40% организаций, при этом лишь 16% из них оказались способны им сопротивляться. В 2020 году впервые с 2017 года был зафиксирован рост числа внутренних инцидентов, а также кибератак, направленных на получение контроля над инфраструктурой. Наряду с этим специалисты «Ростелеком-Солар» фиксируют рост числа атак с использованием вредоносного ПО, а самым популярным способом его доставки по-прежнему является фишинг. Среди относительно новых трендов — атаки через менее защищенного подрядчика.
Эксперты также отметили, что выросла квалификация злоумышленников, усложнился инструментарий, повысился темп использования новых уязвимостей, а также увеличилось время присутствия киберпреступников в инфраструктуре. Удаленная работа по-прежнему остается одним из ключевых факторов уязвимости инфраструктуры организаций.
85% кибератак совершаются российским киберкриминалом, активно использующим доступные уязвимости и вредоносное ПО, а также социальный инжиниринг. 15% представляют собой сложные целевые атаки, совершаемые кибернаемниками и кибергруппировками, преследующими интересы иностранных государств. Такие атаки требуют более высокого уровня подготовки и квалификации. Бюджет одной целевой атаки может составлять более $1,5 млн в год.
45% атак профессиональных группировок реализуется через взлом корпоративных веб-приложений. Среди других популярных векторов атак эксперты называют социальную инженерию. Еще один быстро растущий тренд — атака через подрядчика: число таких атак в 2020 году возросло в два раза.
По оценкам компании «Ростелеком-Солар» количество DDoS-атак на российские компании продолжает расти: за первые три квартала 2021 года этот показатель увеличился в 2,5 раза.
Наибольший рост инцидентов заметен в трёх отраслях: финансовый и госсектор, а также онлайн-торговля. В то же время сокращается количество атак на дата-центры и игровые ресурсы, которые еще год назад были в фокусе внимания злоумышленников.
Вместе с количеством растёт мощность и продолжительность атак. Самая мощная была зафиксирована в мае, и её мощность составила 462 Гбит/с, что на треть превышает пиковое значение, зафиксированное в первых трёх кварталах 2020 года. А самая долгая в отчетный период атака длилась почти 4,5 дня. Годом ранее этот показатель за первые три квартала составил в среднем 3 дня.
Хакеры продолжают использовать масштабные ботнеты для увеличения мощности атак.
В указанный период атаки фрагментированными пакетами стали в два раза чаще использоваться злоумышленниками, чем в 2020 году.
Глобальные тренды
Развитие технологий идёт буквально с космической скоростью. Помимо благих целей, любая технология Четвёртой промышленной революции может быть использована в деструктивных целях.
В 2020 году компания RAND Europe провела анализ тенденций развития будущих технологий для определение тех, которые могут быть использованы для совершения киберпреступлений.
Выводы следующие.
Растущая доступность более мощных, простых в использовании и менее дорогих технологий вероятно будет ещё больше стимулировать киберпреступность широким кругом лиц, заинтересованных в быстром получении финансовой выгоды.
Разработка новых сложных технологических решений и возможностей может позволить «специалистам» в области киберпреступности, организованным группам проводить сложные атаки и действия, приводящие к более высоким доходам от преступной деятельности и, возможно, к тяжким последствиям для отдельных лиц и организаций.
Повышенная скорость и покрытие связи будут способствовать ещё большему снижению влияния географических расстояний на телекоммуникации, что будет использовано киберпреступниками.
Искусственный интеллект (AI) / машинное обучение (ML) могут сделать киберпреступления более эффективными и масштабируемыми. Достижения в области AI/ML усложнят отслеживание и атрибуцию преступных и злонамеренных действий. Это будет способствовать повышению привлекательности киберпреступности, усилению нагрузки на правоохранительные органы.
Автономные устройства и системы могут проникнуть в пространства, которые ранее были недоступны для людей, использоваться для совершения замаскированных преступных действий, разработки новых методов преступной деятельности или проведения крупномасштабных и автоматизированных атак.
Развитие и повсеместное распространение вычислительной техники и технологий хранения данных может облегчить кражу данных, хранение и распространение неконсенсусных записей и незаконных данных.
Развитие инфраструктуры электросвязи может быть использовано для повышения анонимности, скорости преступной деятельности, а также для кражи личных и конфиденциальных данных. Инфраструктура электросвязи также может стать причиной крупномасштабных сбоев.
Растущие объемы данных, собираемых устройствами Интернета вещей (IoT), могут стать уязвимыми для краж, коррупции, вымогательства. Устройства IoT также могут увеличить поверхность атаки для киберпреступлений и внести новые уязвимости в сложные ИТ-системы.
Технологии улучшения конфиденциальности пользовательского интерфейса (ПЭТ) злоумышленники будут использовать для анонимной и тайной незаконной деятельности, что затрудняет обнаружение, мониторинг и расследование преступной деятельности. ПЭТ также могут быть целью злоумышленников для доступа к конфиденциальной или частной информации.
Блокчейном пользовательского интерфейса и технологией распределенного реестра (DLT) можно будет манипулировать в злонамеренных целях, например, для взлома консенсуса. DLT также можно использовать для хранения разрушительного или неприемлемого контента, что затрудняет его удаление.
Разработка и внедрение устройств и продуктов с низкими стандартами безопасности и гарантиями расширят существующий ландшафт уязвимостей, которые могут быть использованы злоумышленниками.
Разработки в области вычислительной техники и технологий хранения данных в сочетании с увеличением количества устройств будет способствовать увеличению количества возможных преступных и злонамеренных действий, включая разработку новых методов преступной деятельности.
Подрыв доверия к технологиям и связанным с ними продуктам и услугам приведёт к увеличению объема и воздействия любых связанных с ними уязвимостей и сбоев. Эти уязвимости также могут иметь каскадные эффекты, которые трудно предсказать или смягчить во все более сложных и нелинейных системах. В этом контексте потенциально латентные случаи преступлений могут привести к гораздо более широким последствиям из-за ранее непредвиденных связей и встроенных взаимозависимостей.
В этих условиях нужны как новые международные конвенциональные документы, так и новые, нестандартные решения в организации работы национальных правоохранительных органов и спецслужб по борьбе с кибермафией, создании принципиально новых систем кибербезопасности для предприятий и граждан.