От киберпреступника до шпиона
Количество киберпреступлений в Сибири в 2019 году выросло на четверть в сравнении с предыдущим годом, достигнув 16 тыс. уголовных дел. Большую долю от всех кибератак по-прежнему занимают кражи конфиденциальной информации для перепродажи. Однако в последнее время, отмечают эксперты рынка, растет число правонарушений с целью шпионажа. Это обусловлено ростом ценности информации и развитием цифровизации. Киберпреступность становится глобальной и более опасной, чем традиционная организованная преступность. При этом группы хакеров становятся все быстрее и технологичнее, не ограничены в перемещениях и могут атаковать жертву, находясь в любой точке земного шара.
Фото: Александр Миридонов, Коммерсантъ / купить фото
В прошлом году правоохранители Сибирского федерального округа завели на 4 тыс. больше уголовных дел, совершенных с использованием информационных технологий или в сфере компьютерной информации, чем в 2018-м, когда их было более 12 тыс. Таким образом, доля киберпреступлений в общем количестве зарегистрированных преступлений, предусмотренных ст. 159 УК РФ (мошенничество), в округе достигла 63%, сообщили в МВД России.
Кража и продажа конфиденциальной информации на черном рынке, включая персональные данные пользователей и клиентов организаций и госструктур, сегодня являются основной целью киберпреступников, подтверждает руководитель направления аналитики и спецпроектов специализирующейся на информационной безопасности компании InfoWatch Андрей Арсентьев.
«В 2019 году во всем мире киберпреступники стали активнее использовать фишинговые атаки (вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям), причем не только по электронной почте, но и через другие каналы»,— говорит господин Арсентьев.
В России ежедневно проводится до 1250 успешных фишинговых атак, связанных с открытием неизвестных вложений. В 2018 году таким образом хакерами было похищено более 200 млн руб., сообщили в концерне «Автоматика» госкорпорации «Ростех».
Согласно отчету экспертов специализирующейся на расследовании киберпреступлений компании Group-IB, атаки чаще всего совершаются на банки, страховые компании, телеком, ТЭК и госпредприятия.
Индустриальные предприятия и системы промышленной автоматизации в ближайшем будущем все чаще будут становиться жертвами кибератак. «Предпосылки: растущий интерес киберпреступников к индустриальным организациям и недооценка степени риска самими предприятиями»,— считают эксперты компании «Лаборатория Касперского», специализирующейся на разработке систем защиты от компьютерных вирусов.
В то же время, говорит директор по развитию бизнеса по информационной безопасности МРФ «Сибирь» ПАО «Ростелеком» Денис Поршин, будет наблюдаться всплеск вредоносной активности и в отношении ритейла. «Киберпреступники могут преследовать самые разные цели: прямой вывод денежных средств, повреждение, кража и компрометация критичных данных, кибершпионаж, остановка или прерывание бизнес-процессов компании-жертвы, включение ее серверов в бот-сеть для совершения дальнейших атак и т. п. Поиск путей монетизации говорит о том, что в состав группировок входят не только технические исполнители, но и аналитики»,— считает господин Поршин.
Прежде чем начать атаку, злоумышленники проводят оценку ROI (коэффициент окупаемости), чтобы понять, насколько целесообразна та или иная атака. «Например, казалось бы, финансовая индустрия — целевая для киберпреступников, но банки вкладывают значительные средства в безопасность, и для успешной атаки потребуется много времени и ресурсов. Поэтому иногда вместо того, чтобы тратить деньги и время на атаку, которая скорее всего не будет успешной, киберпреступники ориентируются на отрасли, которые традиционно мало инвестируют в безопасность и обновление оборудования и программного обеспечения. Это здравоохранение, образование и гостиничный бизнес. Их легче взломать, они могут с большей вероятностью заплатить выкуп за продолжение работы, и у них точно есть конфиденциальная информация о клиентах, пациентах»,— полагает эксперт по информационной безопасности компании Avast Луис Корронс.
Денис Поршин при этом отмечает, что инструментарий киберпреступников совершенствуется. Злоумышленники проникают в инфраструктуру при помощи как социальной инженерии (метод несанкционированного доступа к информации или системам хранения информации без использования технических средств), так и вредоносного ПО (программного обеспечения).
Кроме этого, хакеры сегодня стали чаще, атаковав инфраструктуру, незаметно находиться в ней, чтобы детально исследовать и получить как можно более глубокий доступ к информационным и технологическим системам.
Долгое время до 98% всех киберпреступлений, по оценкам Group-IB, были связаны с кражей денег. Однако в последние годы эксперты отмечают стремительное увеличение преступлений, совершенных с целью шпионажа, саботажа и диверсии. Например, для причинения ущерба репутации компании, частичной или полной остановки ее деятельности.
«Самая главная угроза, с которой мир столкнется в ближайшее время,— кибертерроризм. Если большую часть своей истории компьютерная преступность в основном была финансово мотивирована, то есть старалась разными способами зарабатывать деньги, то приблизительно с 2014 года все чаще о себе стали заявлять группы, чьей целью является кибершпионаж и кибертерроризм»,— комментируют эксперты Group-IB.
Зайти через сотрудника
Главные виновники утечек — это по-прежнему рядовые сотрудники. В России их действия (умышленные и случайные) в 2019 году привели к 72% случаев распространения информации от общего количества, в Сибирском федеральном округе — почти к 80%. В глобальном масштабе около 50% утечек за 2019 год произошло по вине хакеров, сообщили в ГК InfoWatch.
«Исследуя утечки на основе публичных сообщений, аналитики нашей группы компаний пришли к выводу, что в 2018 году виновниками 9,5% из них в России и 8,8% в Сибири были хакеры. По предварительным данным нашего экспертно-аналитического центра, в 2019 году доля хакеров среди виновников утечек по всей России составила 18,5%, а в Сибири — 12,5%»,— сообщил Андрей Арсентьев.
Согласно данным Group-IB, русскоговорящая преступность длительное время создавала почти 80% сложных технологических схем в мире, а все новое ВПО (вредоносное программное обеспечение), шаблоны и сценарии целенаправленных атак тестировались именно на российских банках. Сейчас пять групп представляют реальную угрозу финансовому сектору: Cobalt, Silence, MoneyTaker — Россия, Lazarus — Северная Корея, SilentCards — новая группа из Кении.
В причастности к одной из этих групп правоохранители подозревают 25-летнего задержанного администратора бот-сетей из Новокузнецка, который заразил несколько тысяч компьютеров российских и зарубежных пользователей c помощью трояна Pony Formgrabber, предназначенного для кражи учетных записей. Расследование в 2019 году провели сотрудники МВД при участии экспертов Group-IB. Задержанный оказался «наемником» и предлагал киберкриминальным группам услуги по модели cybercrime-as-a-service: на арендованных серверах разворачивал, тестировал и обслуживал административные панели троянов, а также сам похищал учетные записи (логины и пароли, сохраненные в почтовых клиентах и браузерах) для продажи на подпольных форумах.
Используя троян Pony Formgrabber, преступная группа Toplel атаковала клиентов российских банков в 2014–2015 годах и в 2017 году.
За настройку одной административной панели для управления вредоносными программами, по словам задержанного, он получал в среднем 1–5 тыс. руб., деньги ему переводили в криптовалюте. Хакер специализировался на троянах класса RAT (remote access toolkit), которые позволяли получить полный доступ к зараженному компьютеру. «На жаргоне киберпреступников заразить машину трояном RAT называлось „бросить крысу“»,— пояснили эксперты Group-IB.
«Когда я настраивал такие серверы, я понимал, что они могут использоваться для несанкционированного доступа к компьютерам других людей для копирования персональных данных»,— признался задержанный. Кому хакер продавал эту информацию, он не знает: «Люди, которые откликались на мои объявления на хакерских форумах, имели только псевдонимы». Эксперты Group-IB не исключают, что украденные данные, которые задержанный продавал на форумах, киберпреступники могли использовать для рассылки спама, заражения вредоносными программами, различного рода мошеннических действий или кражи денег.
Задержанному предъявлено обвинение по ч. 1 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ), он полностью признал вину. Ведется следствие.
Незрелая подготовка
Зрелость компаний в области кибербезопасности растет, но, к сожалению, недостаточно быстро. Это касается и компаний России в целом, и Сибири в частности. «Основные причины этого состоят в том, что бизнес часто не умеет просчитывать риски от кибератак и потому не отдает себе отчет в необходимости киберзащиты. Из этого следует, что и бюджеты на информационную безопасность выделяются в недостаточном объеме»,— говорит Денис Поршин.
В то же время стопроцентной защиты от кибератак не существует, уверены эксперты рынка IT. И добавляют, что это возможно только в случае полного отказа от обработки информации с использованием компьютеров. «Не бывает абсолютно защищенной системы. Где-то есть технические уязвимости, где-то бреши в киберобороне связаны с недостаточной компетенцией сотрудников, а где-то действуют вредители»,— отмечает директор по инфобезопасности IT-холдинга TalentTech Иван Дмитриев.
Главное заблуждение состоит в уверенности, что о кибербезопасности можно подумать когда-нибудь потом, отмечают эксперты. «Угрозы реальны, и защищаться от них важно уже на первоначальном этапе работы организации»,— подчеркивает руководитель группы по кибербезопасности компании Softline в Сибири Иван Озеров.
Сегодня мир идет в сторону интернета вещей (loT), и если умный чайник вряд ли доставит много проблем, то перехват управления цифровой электрической подстанцией, системой водоснабжения города или потоком транспорта может принести ощутимый ущерб. «Проблемой является и человеческий фактор, а точнее низкая осведомленность о базовых правилах информационной безопасности, таких как использование сложных паролей хотя бы на некоторых критичных системах, игнорирование вложений от неизвестных отправителей»,— уверен эксперт концерна «Автоматика» госкорпорации «Ростех» Олег Коносов.
Так, МРСК Сибири (энергохолдинг «Россети Сибирь») с 28 февраля на 1 марта 2019 года подверглась мощным DDoS-атакам на оборудование перед XXIX Всемирной зимней Универсиадой в Красноярске. Количество одновременно атакующих узлов держалось на уровне 18 тыс. в течение суток. Атаки были остановлены при помощи специального сервиса для защиты от DDoS и атак на web-приложения. Кто стоял за этими действиями, в компании не говорят, отметив лишь, что адресное пространство на 90% ресурсов, с которых происходили атаки, принадлежит Китаю. «Однако это вовсе не значит, что данные IP-адреса не эксплуатировались из любой другой страны»,— отметили в энергохолдинге.
После этого инцидента компания усилила киберзащиту, доработав комплексную систему информационной безопасности. Стоимость одной такой атаки эксперты оценили в $3–5 в зависимости от продолжительности и интенсивности.
По данным исследования компании «Лаборатория Касперского», средний ущерб от успешной кибератаки в России для компаний среднего и малого бизнеса составляет 4,3 млн руб., для крупного бизнеса — 14,3 млн руб.
Количество кибератак растет, а вот раскрываемость таких преступлений пока не демонстрирует позитивную динамику. Как подсчитали в прокуратуре Томской области, доля раскрываемости мошенничеств, совершенных при помощи информационных технологий, не превышает 12%. «Так, в 2017 году в регионе их раскрыто 12%, в 2018 году — 11,4%, в 2019 году — 10,8%»,— сообщил заместитель прокурора Томской области, старший советник юстиции Александр Ткаченко.
Чтобы защититься от киберпреступников, бизнесу и государственным структурам нужно применять системный подход, отмечают игроки рынка IT. Выстраивать эшелонированную и адаптивную систему защиты информации, постоянно развивать и совершенствовать ее. «Очень важно также развивать сотрудников: понимание кибербезопасности — один из ключевых навыков в 2020 году для каждого, кто работает с компьютером, и многие работодатели обучают этому свою команду. Главное — не отставать от киберпреступности более чем на шаг»,— говорит директор по инфобезопасности IT-холдинга TalentTech Иван Дмитриев.
Киберпреступники совершенствуются, становятся быстрее и технологичнее, они не ограничены в перемещениях, могут атаковать из любой точки земного шара. Количество их атак растет, в том числе на небольшие предприятия. Вместе с тем увеличивается и количество жалоб пользователей госуслуг и клиентов различных структур и бизнеса на утечку в сеть конфиденциальных данных. Так, по данным Роскомнадзора, в 2019 году от жителей Сибирского федерального округа поступило более 4,5 тыс. обращений, в том числе 4 тыс. по вопросу защиты их данных. В аналогичном периоде 2018-го — 3,5 тыс. Прирост составил 983 обращения (28%).
При этом из всего объема рассмотренных обращений информация о нарушениях подтвердилась лишь в 5% случаев (за аналогичный период 2018 года — в 7%), сообщили в ведомстве. Ответственные за хранение конфиденциальной информации понимают важность работы по ее защите, уделяя все больше внимания этому вопросу.