Новые подключения неуловимых
Кому выгодны преступления русских хакеров
Разоблачение очередной хакерской группировки из России, похитившей сотни миллионов долларов, уже не воспринимается как сенсация. Впрочем, утверждать, что именно русские хакеры — лучшие в мире, преждевременно. Лучшие не попадаются.
Касперский и ФБР
В середине февраля "Лаборатория Касперского" рассказала, что специалистам компании удалось выйти на след одной из самых дерзких хакерских группировок — Carbanak. Список жертв насчитывает более 100 финансовых организаций в разных странах. Минимальная сумма ущерба — $300 млн, максимальная (эксперты "Лаборатории Касперского" исходят из того, что в каждом случае ущерб составлял $2,5-10 млн) — почти $1 млрд.
Вообще, истории о том, что в интернете было совершено очередное "преступление века", редко удостаиваются широкого обсуждения. Хакеров постоянно кто-то разоблачает — это огромная индустрия: объем мирового рынка информационной безопасности эксперты оценивают в $150 млрд.
Но какие именно компании пострадали? Какой ущерб был причинен каждой из них? Кто стоит за очередной громкой атакой? Как только выясняется, что на эти вопросы опять нет ответов, интерес к теме у публики мгновенно пропадает. "Разумеется, цифры всегда приблизительные,— говорит ведущий вирусный аналитик ESET Russia Артем Баранов.— Зафиксировать факт кражи денег с помощью вредоносной программы не так легко, поскольку списания производятся в разные промежутки времени. Сопоставить кражу и конкретное программное обеспечение тоже удается не всегда".
В этот раз конкретики, как всегда, не так чтоб очень много, однако расследование "Лаборатории Касперского" все еще на слуху. Вроде бы уже целая неделя прошла — и вдруг ФБР и Секретная служба США выступают с совместным заявлением: сообщают, что не располагают данными о том, что хакерские программы Carbanak повлияли на работу американских финансовых организаций.
В конце декабря компания Group-IB опубликовала исследование, посвященное деятельности хакерской группы Anunak. С 2013 года ее участники успешно атаковали информационные системы 50 российских банков, общая сумма хищений — более 1 млрд руб. Эксперты Group-IB утверждают, что Anunak и Carbanak — это одни и те же люди. При этом со многими выводами конкурентов они не согласны, в частности с тем, что преступная группа грабила какие бы то ни было банки кроме российских.
"Не готов утверждать, чем руководствовалась "Лаборатория Касперского", делая такое заявление, однако мы точно знаем, что американские, европейские или азиатские банки объектами атак не становились,— говорит руководитель отдела расследования инцидентов информационной безопасности Group-IB Дмитрий Волков.— В отчете нет фактов, которые бы это подтверждали. Зато там говорится, что в некоторых случаях объекты атак определялись по IP-адресам. Это неправильный подход. Во-первых, многие российские компании имеют представительства за рубежом. Во-вторых, злоумышленники тестируют свое программное обеспечение на арендованных серверах, которые могут находиться где угодно".
В "Лаборатории Касперского" признают, что выслеживают тех же преступников, что и Group-IB, но с критикой не соглашаются. "Наш подход отличался с самого начала: мы участвовали в глобальном расследовании, взаимодействовали с международными организациями, национальными и международными правоохранительными органами, несколькими центрами CERT по всему миру — это позволило нам получить уникальные данные",— рассказал "Деньгам" антивирусный эксперт "Лаборатории Касперского" Сергей Ложкин.
Почему расследование Group-IB оказалось менее резонансным? Дело не только в том, что "Лаборатория Касперского" лучше известна за рубежом. Во-первых, речь идет не только о России. "Лаборатория Касперского" говорит об атаках на финансовые организации в 30 странах, среди которых — США, Германия, Франция, Китай и даже Австралия. Во-вторых, компания выбрала для своего анонса идеальный момент.
13 февраля Барак Обама прибыл в Калифорнию, чтобы выступить в Стэндфордском университете на организованной Белым домом конференции, посвященной информационной безопасности. Президент США призвал бизнес активнее делиться с государством информацией о киберугрозах, с которыми он сталкивается. На следующий день в New York Times выходит статья, посвященная деятельности Carbanak, а еще спустя несколько дней уже на конференции Kaspersky Security Analyst Summit в мексиканском Канкуне представители "Лаборатории Касперского" рассказывают о другой хакерской группе, предположительно связанной с американским правительством.
Equation Group действует уже почти 20 лет и занимается в основном шпионажем. Объектами ее атак становились "правительства и дипломатические структуры, военные ведомства, финансовые институты, предприятия телекоммуникационной, аэрокосмической, энергетической, ядерной, нефтегазовой и транспортной отраслей". Больше всего случаев заражения было зафиксировано в Иране, на втором месте — Россия.
О том, что хакеры связаны с американскими спецслужбами, "Лаборатория Касперского" прямо не говорит ("У нас недостаточно фактов, чтобы аргументированно кого-то обвинять в причастности к этой компании"), но подчеркивает, что "Equation Group взаимодействовала с другими кибергруппировками, в частности с организаторами нашумевших компаний Stuxnet и Flame". Хотя неопровержимых доказательств этого и нет, уже общим местом стало мнение, что вирусы Stuxnet и Flame были разработаны спецслужбами США и Израиля для срыва иранского ядерного проекта.
Carbanak и Anunak
С лета 2012 года российские банки ежемесячно отчитываются перед ЦБ о "выявленных инцидентах при осуществлении перевода денежных средств". По словам начальника главного управления безопасности и защиты информации Банка России Дмитрия Фролова, в первой половине 2014 года российские банки выявили 193 тыс. несанкционированных списаний на общую сумму более 950 млн руб.
Впрочем, эксперты рынка, опрошенные "Деньгами", считают, что данные Банка России не отражают реального положения дел: мол, банки часто отправляют регулятору "пустые" отчеты. Согласно исследованию Group-IB, в 2014 году было зафиксировано примерно 35 целенаправленных атак на российские банки. Объем краж через системы интернет-банкинга эксперты компании оценили в $300 млн, других видов мошеннических операций (например, с банковскими картами или электронными деньгами) — в $150 млн.
О том, какие схемы используют злоумышленники, компании, специализирующиеся на расследовании таких преступлений, готовы рассказывать в подробностях. Например, хакеры из Anunak или Carbanak каждую операцию начинали с проникновения в компьютер одного из сотрудников финансовой организации. Заразив его, они со временем получали доступ к внутренней сети банка и в конечном счете получали возможность самостоятельно управлять транзакциями.
Деньги выводятся тремя способами. Хакеры заражают специальным софтом банкоматы, чтобы те, подчиняясь их команде, в нужный момент (когда к банкомату будет направлен специальный человек — "дроп") выдавали наличные. Часть денег выводится на счета преступников через SWIFT. Кроме того, в базы данных, содержащие информацию о счетах, вносятся изменения, позволяющие создавать фальшивые счета с относительно высоким балансом, после чего средства забирали те же "дропы". В описании принципов работы и используемых программ эксперты Group-IB и "Лаборатории Касперского" сходятся, но во всем остальном — не особенно.
Anunak и Carbanak — это, конечно, условные названия. Отсылают они не к каким-то таинственным религиозным культам, а к названиям программ, которые используют злоумышленники. Если бы преступники собирали программный комплекс из софта, представленного на черном рынке, его общая стоимость, по оценке Group-IB, составила бы $200 тыс. Но злоумышленники, по всей видимости, действовали иначе. Именно уникальность комбинации используемого софта, а также наличие в арсенале преступников программ, которые были разработаны специально для них, позволяют экспертам приписывать кражи, совершенные в разное время и у разных организаций, одной и той же группе злоумышленников.
В "Лаборатории Касперского" считают, что речь идет о "международной группировке, в которую входят граждане России, Украины, Китая и некоторых стран Европы". В Group-IB полагают, что костяк сообщества составляют уроженцы бывших советских республик, и даже говорят, сколько их: всего трое — организатор проекта и его ключевые партнеры. Именно они управляют процессом — от заражения до вывода денег. Большая часть группы занимается обналичиванием и отмыванием украденного. В конечном счете, говорит Дмитрий Волков из Group-IB, добычу меньшая и большая части преступной группы обычно делят между собой поровну.
О том, где преступники находятся физически, как именно они общаются между собой и что составляет их быт, ни в "Лаборатории Касперского", ни в Group-IB не знают. "Чтобы организовать успешную атаку, не обязательно находиться в стране, в которой она будет совершена. В большинстве случаев организаторы территориально располагаются в странах, которые либо труднодоступны, либо вообще недосягаемы для правосудия,— рассуждает консультант по безопасности компании Check Point Software Technologies Анатолий Виклов.— Проблема еще и в том, что финансисты в принципе неохотно раскрывают данные об утечках и хищениях, потому что это сильно вредит их репутации и может создать имидж ненадежных финансовых организаций. Некоторые банки просто закрывают эти убытки без каких-либо разбирательств".
Специалисты в области информационной безопасности ищут не столько тех, кто атакует, сколько тех, кого атакуют. В Group-IB рассказывают, что компания исследовала большинство краж, совершенных Anunak или Carbanak в России. Все началось с обращения одного из пострадавших банков, позднее, по мере продвижения расследования, компания получила еще несколько новых клиентов.
Русские атакуют
5 июля 2014 года в международном аэропорту столицы Мальдивской Республики Мале был задержан и немедленно передан в распоряжение американских властей гражданин России Роман Селезнев, сын депутата Госдумы от ЛДПР Валерия Селезнева. В США Селезнева подозревают в причастности к краже и продаже номеров 2 млн банковских карт. Сейчас предполагаемый хакер находится в Сиэтле. Местный суд начнет рассмотрение дела в мае этого года — обвинение выдвинуто по нескольким десяткам пунктов.
Аресты хакеров из России или других частей СССР случаются регулярно, и само собой складывается ощущение, что именно наши соотечественники преобладают среди специалистов по дистанционному ограблению финансовых организаций. На этот счет есть разные мнения.
"Большое количество вредоносных программ действительно родом из России,— замечает ведущий вирусный аналитик ESET Russia Артем Баранов.— Известные банковские вредоносные программы, такие как Zeus, SpyEye, Carberp, были написаны именно нашими соотечественниками. С их помощью разным группам злоумышленников удалось украсть миллиарды долларов".
"Успехи киберпреступников из России — миф. То, что российские киберпреступники в последнее время все чаще попадают в руки правосудия (чаще, правда, не нашего), скорее означает, что их квалификация не так уж высока,— возражает другой эксперт, начальник управления информационной безопасности компании "Техносерв" Павел Ерошкин.— Впрочем, услуги исполнителей из бывшего СССР стоят дешево. Кроме того, у нас не так сильны моральные, административные и уголовные запреты со стороны общества и государства".
Какое количество групп, подобных Anunak или Carbanak, действует одновременно, опять же никто точно не знает. "Группировки появляются и исчезают, некоторые создаются для разовых действий, другие оперируют в течение длительного времени. Назвать точное число мы сейчас не можем",— говорят в "Лаборатории Касперского".
"Когда мы говорим о хакерских группировках, мы можем иметь в виду или небольшие организованные преступные группы, или огромные сообщества, в которых работают не только хакеры,— рассказывает руководитель департамента информационной безопасности компании Softline Вячеслав Железняков.— По разным оценкам, таких групп и сообществ в интернете — от 5 до 10 тыс. Но нужно иметь в виду, что они бывают любого размера — от двух человек до нескольких тысяч".