Кибердиверсии настоящего и будущего

Фото А.Толстухиной

Эксперты «Group-IB» в краткосрочной перспективе прогнозируют увеличение количества кибератак на банки, криптоиндустрию и критические объекты инфраструктуры. Под удар могут попасть система «SWIFT», криптобиржи и энергетические компании.

В Москве состоялась ежегодная международная конференция по кибербезопасности «CyberCrimeCon–2017», организованная компанией по предотвращению и расследованию киберпреступлений «Group-IB».

В мероприятии приняли участие авторитетные эксперты по киберугрозам, представители банков, промышленных и высокотехнологичных компаний, а также сотрудники правоохранительных органов.

В качестве основных спикеров на конференции выступили: Нобору Накатани, исполнительный директор Научно-исследовательского центра по выявлению и предупреждению киберугроз и расследованию киберпреступлений «INTERPOL IGCI»; Дмитрий Волков, сооснователь «Group-IB», глава департамента «Threat Intelligence», член консультативного совета «Europol EC3» по интернет-безопасности, а также бывшей член открытой межгосударственной экспертной группы ООН; Илья Сачков генеральный директор и основатель «Group-IB», член экспертного совета комитета Госдумы по информационной политике, информационным технологиям и связи, член экспертных комитетов МИД России, Совета Европы и ОБСЕ в области киберпреступности.

Минимум риска, максимум прибыли

В ходе конференции представители «Group-IB» презентовали ежегодный отчет о преступлениях в сфере высоких технологий «Hi-Tech Crime Trends 2017», в котором указывается, что наиболее вероятными целями хакеров в следующем году будут банки, критические объекты инфраструктуры и криптобиржи.

По словам Ильи Сачкова, генерального директора «Group-IB», сегодня почти 99 % всех киберпреступлений в мире связаны с хищением финансовых средств, так как хакеры стремятся к максимальной монетизации и минимальному риску. Так же эксперт отметил, что основныетехнические разработки кибероружия рождаются при подготовке финансовых преступлений, куда вкладывается большая часть ресурсов. Впоследствии разработки могут использоваться в кибервойнах и компьютерными террористами. 

Согласно отчету «Hi-Tech Crime Trends 2017», за текущий год в результате хищений в интернет-банкинге у юридических лиц с использованием вредоносных программ было украдено почти $10,4 млн, а в ходе целевых атак на банки — более $27 млн. Физические лица в неменьшей степени страдают от кибератак. Хакеры сумели автоматизировать фишинг[1] под банки и платежные системы. Такой вид интернет-мошенничества теперь происходит без непосредственного участия киберпреступника в каждой краже. Ежедневно жертвами финансового фишинга в России становятся более 900 клиентов банков. В среднем 10–15% посетителей фишинговых сайтов попадаются на уловку преступников и вводят свои данные, подвергая тем самым свои банковские счета угрозе.

Пожалуй, к наиболее опасной кибердиверсии можно отнести торги на биржах от имени банка с целью влияния на курсы валют.  Это может привести к запуску лавинообразных операций, совершаемых торговыми роботами после резких колебаний валютных курсов. Так, в феврале 2015 года впервые в мире троянская программа Corkow (Metel) получила контроль над терминалом для торгов на различных биржевых рынках и выставила заявок на сумму в несколько сотен миллионов долларов. За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля[2].

Атакам хакеров начала подвергаться и система международных межбанковских переводов «SWIFT». В феврале 2016 года через доступ к данной системе злоумышленники попытались похитить из Центрального банка Бангладеш $951 млн. Однако из-за ошибки в платежном документе им удалось украсть только $81 млн. 

Вместе с тем эксперты отмечают, что главной опасностью для банков станет не воровство денег, а разрушение их ИТ-инфраструктуры. В начале 2017 года  в ходе атаки на один из банков группировка «Cobalt» получила контроль над всей его информационной сетью. После совершения хищения хакеры запустили модифицированную версию шифровальщика «Petya» («PetrWrap») на всех компьютерах в сети, чтобы скрыть следы преступления. Впоследствии часть данных удалось восстановить, однако большая часть компьютеров вышла из строя, что не только сильно усложнило расследование инцидента, но и затруднило работу самого банка.

Хакеры атакуют не только банковскую систему, но и криптоиндустрию (ICO, кошельки, биржи, фонды), где аккумулируется все больше денег. Атаки на такие компании с точки зрения технической реализации не сложнее атак на банки, в то время как уровень безопасности в блокчейн-компаниях гораздо ниже. Суммарный ущерб от целевых хакерских атак на криптоиндустрию составил более $168 млн, а доход от атак на криптобиржи варьируется от $1,5 (Bitcurex) до $72 млн (Bitfinex), в то время как в результате успешной атаки на банк преступники в среднем зарабатывают около $1,5 млн.

Хакеры научились работать с логикой жизненно важной инфраструктуры

Киберпреступники научились не только успешно атаковать финансовые институты, но и объекты критической инфраструктуры. «За последний год мы убедились, что уровень компетенции хакеров вырос, они научились работать с логикой жизненно важной инфраструктуры, и теперь можно прогнозировать новые крупные инциденты», – отметил Дмитрий Волков, сооснователь «Group-IB». В докладе «Hi-Tech Crime Trends 2017» отмечается, что хакерская группа «BlackEnergy» продолжает атаки на финансовые и энергетические компании. Оказавшиеся в ее распоряжении инструменты позволяют удаленно управлять терминалами Remote terminal unit (RTU), которые отвечают за физическое размыкание/замыкание энергосети. А летом 2017 года были зафиксированы тестовые атаки на энергетические компании Великобритании и Ирландии. По мнению экспертов, атаками на промышленные объекты занимаются в большинстве своем прогосударственные хакеры, основной целью которых является шпионаж и тестирование нового кибероружия.

Игра с кибероружием чревата катастрофой

По словам Ильи Сачкова, кибероружие, в случае его утечки, имеет свойство максимально быстрого копирования и распространения. «Если какое-то государство начинает играться с кибероружием, то это очень плохо может кончиться для самого государства, особенно в случае его попадания в руки террористов», - считает генеральный директор «Group-IB». Так же эксперт отметил, что в настоящий момент на площадке ООН серьезно рассматривается вопрос введения моратория на разработку кибероружия. «Подписание подобного моратория должно произойти, так как в противном случае человечество столкнется с настоящей катастрофой», – полагает Илья Сачков.

Существует распространенное мнение о том, что террористы достаточно неквалифицированны в информационных технологиях и их возможности для совершения серьезных кибератак достаточно невысоки. Однако эксперты «Group-IB» c этим не согласны и предупреждают, что противника никогда нельзя недооценивать. «Если сами террористы не большие технические специалисты, то это еще не отменяет тот факт, что им доступно цифровое оружие, которое можно найти на хакерском рынке. Благодаря автоматизации, инструкциям и удобным интерфейсам никто не мешает недостаточно образованному террористу использовать инструмент, который разработан для классической компьютерной преступности. Кроме того, есть террористические группировки, которые отличаются технологической продвинутостью», – сообщил И. Сачков.

Дмитрий Волков к этому добавил, что на недавней конференции Интерпола по кибербезопасности в Сингапуре представители французских правоохранительных органов рассказали о том, что уровень технического оснащения представителей радикальных течений очень высокий. Террористы создают социальные сети, мобильные приложения, записывают очень качественные видео и эффективно распространяют информацию экстремистского толка, обходя средства контентной фильтрации, которая применяется на государственном уровне. «Это серьезный противник. Сейчас у террористов стоят задачи не атаковать критически важную инфраструктуру, но вовлечь в их радикальные группировки как можно больше людей», – отметил Д. Волков.   

Интерпол в борьбе с киберпреступностью

Может ли Интерпол успешно бороться с международной киберпреступностью в условиях геополитического соперничества великих держав?Об этом рассказалНобору Накатани, исполнительный директор Научно-исследовательского центра по выявлению и предупреждению киберугроз и расследованию киберпреступлений «INTERPOL IGCI». Эксперт отметил, что представители правоохранительных органов могут успешно сотрудничать даже в политически чувствительной среде. Так, в декабре 2015 года Интерполом и компанией «Microsoft»  был успешно уничтожен опасный ботнет. В эту операцию было вовлечено очень много стран – Индия, США, Нидерланды, Польша, Турция, Россия и др. Через две недели после этого инцидента были проведены совместные операции правоохранительных органов. «Политика – это одна сторона медали, а трансграничное сотрудничество – другая. Мы стараемся не смешивать эти две вещи», – сообщил Нобору Накатани.

Борьба с причинами, а не следствием

Как перейти от борьбы с последствиями киберпреступлений к борьбе с конкретным противником?Эксперты сходятся во мнении, что с киберпреступностью нужно бороться на всех уровнях – локальном, национальном и международном. Однако главенствующую роль они отводят образованию. «Высокая прибыль и низкий риск – главный стимул для киберпреступников. Поэтому люди, которые обладают достаточными техническими навыками, подвержены искушению поступать неправильно. Здесь важно улучшить качество сотрудников образовательных учреждений, которые работают с молодым поколением», – считает Н. Накатани.

Так же, по мнению эксперта, необходимо повысить планку для входа в киберпространство, так как сегодня она находится на достаточно низком уровне. Для этого надо применить все усилия и увеличить вероятность наказания за преступление. В свою очередь Дмитрий Волков считает, что применение новейших систем безопасности могут снизить экономический эффект от кибератак, что неизбежно приведет к уменьшению хакерской активности.

Читайте другие материалы журнала «Международная жизнь» на нашем канале Яндекс.Дзен.

Подписывайтесь на наш Telegram – канал: https://t.me/interaffairs