Страшнее пистолета
«Огонек» — о борьбе с киберпреступностью
Осень — время подводить итоги борьбы с киберпреступностью: о том, как обстоят дела на цифровом фронте, отчитываются Европол и МВФ. Среди самого актуального — вирусы-шифровальщики, опасность интернета вещей и утечки персональных данных
Мир озаботился кибербезопасностью, и это не случайно: цена вопроса — миллиарды долларов. В свежем докладе Международного валютного фонда (МВФ), посвященном финансовой стабильности, отмечается рост последствий и изощренности кибератак на финансовые институты, а также приводятся пугающие оценки, ну, например, экономический ущерб от потенциальной глобальной кибератаки может составить 53 млрд долларов. Цифры взяты не с потолка, только атака вируса NotPetya в июне этого года обошлась миру примерно в 850 млн долларов, а сколько еще будет таких вирусов...
Каковы масштабы киберпреступности? На этот вопрос пытается ответить еще один недавний доклад — Европола. Эксперты организации отмечают: так называемые вирусы-вымогатели — WannaCry, Petya и NotPetya — сегодня затмили все прочие угрозы. WannaCry, для примера, ударил в мае этого года: в Испании от него пострадали компьютеры крупнейшей телекоммуникационной компании, в Великобритании — национальной службы здравоохранения, в России — МВД, хотя там и отрапортовали, что число зараженных ПК не превысило 1 процента. По данным Европола, всего «эпидемия» затронула порядка 300 тысяч «жертв» более чем в 150 странах. Каждый пользователь зараженного компьютера столкнулся с похожим алгоритмом: программа взламывала ПК, шифровала находящиеся там данные, а затем требовала за их открытие выкуп.
— Эпидемия выявила проблему с огромным количеством устаревшего оборудования и программного обеспечения,— уверен Карен Казарян, ведущий аналитик Российской ассоциации электронных коммуникаций (РАЭК).— К тому же налицо халатность со стороны системных администраторов различных компаний и госучреждений. О возможности атаки было известно за два месяца до ее начала, и никто не принял никаких мер. Вскоре после первой волны пошла вторая, она использовала ту же ошибку в программном обеспечении, и снова никто даже не пошевелился. Только сейчас в ЕС собираются повышать штрафы за слабые меры киберзащиты.
Что еще беспокоит Европол? Это, к примеру, утечки данных: только за последние 12 месяцев были зафиксированы утечки, которые привели к раскрытию более 2 млрд учетных записей! Под ударом с некоторых пор и интернет вещей: в конце 2016-го зафиксирована первая массивная атака, проведенная с применением умных гаджетов и запущенная вредоносной программой Mirai. Тогда 150 тысяч взломанных роутеров и камер CCTV объединились в так называемый ботнет, или сеть, зараженную вредоносной программой. Этот ботнет оказался в ответе, в частности, за мощный удар по интернет-инфраструктуре на одном из побережий США.
— Проблема в том, что появляется все больше устройств, подключенных к интернету, но не обладающих адекватной защитой,— говорит Карен Казарян.— Когда такие устройства взламывают и объединяют в ботнеты, начинаются проблемы. Сила DDoS-атак за последний год многократно возросла. И защищаться от них становится все сложнее.
Цель таких атак, как отмечает эксперт,— в банальной экономике: час простоя обходится фирме в миллионы долларов, что может использоваться в конкурентной борьбе, для шантажа, да что там, даже в геополитическом противостоянии. В докладе Европола подтверждают: кибератаки зачастую проводят под конкретные события, например, бьют по флористам в преддверии Дня святого Валентина или по онлайн-букмекерам перед масштабными спортивными событиями. Еще вариант: преступники проводят слабую атаку и требуют выкуп, угрожая, что в следующий раз она будет мощнее, однако это оказывается блефом. Такие атаки «на удачу» стали особенно популярны, все дело в доступности DDoS-инструментария, например, в даркнете (или в анонимных сетях обмена данными). Экономика преступлений проста: 5-минутная атака на какого-нибудь онлайн-ритейлера обходится всего в 5 долларов, а принести может гораздо больше.
Кибератаки зачастую проводят под конкретные поводы, например бьют по онлайн-букмекерам перед масштабными спортивными событиями
Чем жертвы расплачиваются с преступниками? Цифровой криминал подсел на криптовалюты: например, выкуп часто требуют в биткойнах, но и Monero, и Ethereum, и Zcash у киберкриминала тоже в чести. К тому же криптовалюта имеет хождение в даркнете, там, где на анонимных виртуальных рынках преступники закупают различные вредоносные программы. Напомним, что самым известным из таких рынков был AlphaBay, работающий на основе виртуальных доменов сети Tor: еще совсем недавно его посещало 200 тысяч пользователей и 40 тысяч продавцов. На его виртуальных развалах были выложены наркотики, украденные данные, всевозможные хакерские примочки, вредоносные программы... По самым консервативным подсчетам, объем транзакций на рынке с момента его создания в 2014 году составил 1 млрд долларов, однако летом AlphaBay в результате масштабной спецоперации был закрыт.
Самые известные кибератаки
Как отмечают консультанты ПИР-центра, золотой век Tor может быть уже позади: еще несколько лет назад была разгромлена анонимная торговая интернет-площадка Silk Road, или «Шелковый путь», действовавшая на базе этой сети. А буквально несколько недель назад российское МВД накрыло крупнейшую площадку русскоязычного сообщества в Тоr — RAMP.
— Сейчас и МВД, и ФСБ прекрасно осведомлены о том, что такое Tor, как он работает, и если деятельность той или иной площадки достигает какого-то критического масштаба, следует реакция,— говорят эксперты.
Возможна ли окончательная победа над киберпреступностью? Карен Казарян из РАЭК разводит руками: экономика становится цифровой, а значит, ущерб от злоумышленников будет только расти.
— Новые разработки в области квантовой криптографии и вычислений, похоже, скоро окончательно изменят весь ландшафт киберпреступлений, а значит, и средств защиты от них-- говорит эксперт.— Что же касается даркнета, то победить это явление, разумеется, невозможно, но тут уже речь об обыкновенной полицейской работе. Мне кажется, самое важное сейчас — разрушить романтический образ киберпреступников. Их основная масса — самый обыкновенный криминал, сросшийся с наркоторговлей, отмыванием денег и терроризмом. Различия между ними только в одном — одни с пистолетом, а другие — с клавиатурой.
Экспертиза
Опасные умы
Самое непростое в расследовании кибератак — установление авторства, например до сих пор не установлены инициаторы атаки вируса WannaCry. Сама архитектура интернета, основанного на наборе протоколов межсетевой передачи данных, не предполагает надежную идентификацию участников коммуникации. Вместе с тем это не значит, что никого найти нельзя. Лишь за последнее время была идентифицирована трансграничная преступная группировка Carbanak, занимавшаяся хищением денег из банков, и арестованы члены другой, не менее крупной группировки Lurk, создавшей банковского «трояна». По делу Lurk было задержано около полусотни человек, среди них — и разработчики вредоносного программного обеспечения (ПО), и те, кто осуществлял атаки, и так называемые мулы, забиравшие наличные из взломанных банкоматов... Как отмечает в своем недавнем докладе Group-IB (компания, специализирующаяся на расследовании киберпреступлений.— "О"), каждый год в нашей стране открываются дела в отношении двух-трех группировок, десятки человек арестовывают. Общий объем российского рынка компьютерной преступности за второе полугодие 2016-го и первое полугодие 2017-го просел в денежном выражении на 15 процентов. Однако радоваться преждевременно: по сути, это означает лишь то, что сам рынок меняется — приходит новый инструментарий, появляются новые векторы и типы атак. Киберпреступления — это очень динамичная среда, а на смену одним группировкам и методам работы приходят другие.
Все большее развитие получает рынок аренды вредоносного ПО
Про инструментарий стоит сказать отдельно. Еще одна примета последнего времени: участились случаи, когда разработки спецслужб оказываются в руках компьютерной преступности в результате взлома или недобросовестных действий сторонних подрядчиков. Вот одна нашумевшая история. Некогда американское АНБ обнаружило уязвимость в протоколе SMB (отвечающем за удаленный доступ к файлам, принтерам и прочему.— "О"), и это могло остаться тайной. Однако хакерская группировка, называющая себя The Shadow Brokers, взломала архивы АНБ, выложила их в открытый доступ, и те, кто купил эти архивы, обнаружили там описание уязвимости и инструмент для ее эксплуатации. Так появился печально знаменитый вирус-шифровальщик WannaCry...
Стоит сказать и несколько слов о том, кто такие эти киберпреступники. Если речь о разработчике вредоносного кода, то это довольно продвинутый технически специалист, как правило, относительно молодой. Он может быть выходцем из русскоязычного сообщества, тут стереотипы частично верны. Однако парадокс нынешней ситуации в том, что сегодня все большее развитие получает рынок аренды вредоносного ПО. То есть программисты составляют лишь небольшой процент киберпреступников. Остальные — это просто злоумышленники, которые купили ту или иную программу (а их интерфейсы уже почти не отличаются от офисных программ) и используют ее. Не случайно популярный сегодня вариант кибератак — внедрение вредоносного ПО в сеть в автоматическом, заскриптованном режиме, запустил программу — и жди результатов.
Брифинг
Алексей Раевский, генеральный директор компании, занимающейся разработкой защиты информации от утечек
Чтобы противостоять киберпреступности, необходимо сотрудничество между правоохранителями разных стран. Вполне возможно, что для этого потребуются полицейские органы нового типа... Сейчас в киберсфере совершается много преступлений, о которых полицейские даже не догадываются. Например, у человека украли персонаж онлайн-игры, в которого он вложил 100 тысяч рублей. Это — реальная ситуация. Ну и представьте себе этого пострадавшего, который пришел в отделение полиции и написал заявление. Что ему там скажут?
Владимир Овчинский, экс-руководитель Российского Бюро Интерпола
В Евросоюзе уже сложилась сеть группировок, оказывающих услуги на договорной основе, связанные с криптовалютами. Дислоцируются они в Германии, Франции, Италии и Испании. Совершены атаки на 160 порталов, базы данных и наиболее крупные биткойн-кошельки. Отличительная черта этих атак — они проводятся в интересах одних преступных групп против других. 2015-2016 годы стали первыми годами документально зарегистрированных кибервойн внутри преступного мира.
Андрей Крутских, спецпредставитель президента РФ по вопросам международного сотрудничества в области информационной безопасности, посол МИД России по особым поручениям
Кибертерроризм — одно из наиболее страшных явлений. Например, "Исламское государство" (запрещенная в РФ террористическая группировка.— "О") уже влезло в информационное пространство и занимается кибертерроризмом. Плюс колоссальный ущерб планете наносит киберпреступность. Ежегодные объемы ущерба, согласно разным подсчетам, составляют от 500 млрд до 2-3 трлн долларов.