Благодаря пандемии коронавируса и массовому переходу на дистанционную работу киберпреступления вышли на новый уровень. По прогнозам «СберБанка», к концу 2020 года убытки российской экономики от них составят около 3,5 трлн рублей. В 2021 году сумма может удвоиться. На этом фоне особенно важной и полезной становится профессия киберкриминалиста.

О буднях специалистов на фестивале науки и техники Университета Иннополис «Просто» рассказывала тренер по компьютерной криминалистике компании Group-IB Светлана Островская. Enter поговорил с ней и выяснил, есть ли смысл заклеивать вебку и стоит ли полагаться на антивирус.

— Кто такие киберкриминалисты и чем они занимаются?

— С каждым годом количество цифровых преступлений растет. Энтузиасты занимаются мошенничеством на низком уровне, организованные группировки и проправительственные хакеры — масштабными атаками в разных сферах. А так как у нас очень много тех, кто атакует, должны быть и те, кто нас защищает и расследует преступления: компьютерные криминалисты или киберкриминалисты.

Как и Шерлок Холмс, киберкриминалисты ищут доказательства и делают выводы. Данные из определенного набора источников анализируются, интерпретируются специалистом и могут использоваться либо в суде, либо в коммерческих и внутренних исследованиях компаний, и добавляться в базы Threat Intelligence (сводки данных по киберугрозам, — прим. Enter).

— Расследованиями занимаются частные компании?

— И государственные организации — тот же самый отдел «К» по расследованию киберпреступлений. Вопрос только в квалификации.

— Недавно в МВД заявили о создании киберполиции. Зачем?

— Основная проблема в том, что количество киберпреступлений особенно сильно растет в условиях пандемии и удаленки. Соответственно, на борьбу нужно больше ресурсов. Насколько появление киберполиции повлияет на продуктивность борьбы, будет понятно после начала ее деятельности. Ключевую роль тут играет не только количество людей, но и качество их подготовки.

— По сведениям Генпрокуратуры, самые распространенные киберпреступления в России связаны с доступом к личным данным и электронным кошелькам. Почему так происходит?

— Киберпреступления бывают разными, каждый год тренды обновляются. До 2020 более-менее были распространены атаки на энергетику и телекоммуникационный сектор — этим больше заняты спецслужбы и проправительственные группировки разных стран. Многие группы занимались атаками на банки и финансовые организации. Это организованные группировки, которые полностью проходили путь от проникновения в банковскую сеть до получения доступа к изолированным сегментам, где располагается, например, система управления карточным процессингом (технология «доставки» денег от покупателя до продавца, — прим. Enter).

В самом 2020 году атаки распределились по всем секторам. Было огромное количество шифровальщиков (вирусов, шифрующих данные, — прим. Enter), ажиотаж начался с весны. С их помощью можно заработать не меньше, чем в случае успешной атаки на банк, а техническое исполнение — значительно проще. Набирают обороты Big Game Hunting — атаки на крупные компании с целью получения значительного выкупа. К этим атакам присоединяются новые группировки, появляются коллаборации представителей киберкриминального мира. Первые громкие случаи массового заражения произошли в 2017 году. После все поутихло, хотя были мелкие случаи. Пользователи загружали что-то с торрентов и им «прилетало», но с обычных людей выкуп небольшой. Во время пандемии взломщики начали активнее получать доступ к организациям. Тут началось самое интересное, потому что все переключились на этот тип атак — даже группы, которые имели технологии и успешный опыт в финансовых атаках без шифрования.

— Получается, наши данные никто не способен защитить?

— Все зависит от нас самих. В банках и компаниях не так легко получить доступ к данным, но даже там все сводится к человеческому фактору. Основных векторов получения доступа в сеть в этом году два — фишинг (рассылка писем с вредоносной ссылкой или вложением, после открытия которых пользователю загружается ПО, предоставляющее доступ к компьютеру жертвы, — прим. Светланы) и брутфорс-атаки (метод взлома учетных записей путем подбора паролей к ним, — прим. Enter). Так как с пандемией многие перешли на дистанционную работу, стало больше возможности брутфорсить. Люди очень любят пароли, которые легко запомнить — это плохо.

— Как обезопасить себя от вирусов и брута?

— В обществе сложилась привычка чистить зубы и умываться по утрам, но цифровая гигиена у нас почему-то на очень низком уровне. Она заключается в том, чтобы не посещать подозрительные ресурсы, обращать внимание на защищенность соединения, смотреть на домен в адресной строке браузера. Вместо простых паролей, записанных в текстовом файле на рабочем столе или на стикере на экране, использовать менеджеры паролей, которые помогут генерировать и хранить сложные комбинации из разных символов с верхним/нижним регистром, цифрами и знаками.

Важно устанавливать на телефон обновления приложений и следить за предоставляемыми разрешениями. На Android очень популярно разрабатывать трояны, использующие accessibility-сервис. Он помогает управлять телефоном людям с инвалидностью или тем, кто временно не в состоянии в полной мере взаимодействовать с устройством, и может делать огромное количество операций. Даже разблокировать устройство и совершать действия с выключенным экраном — пользователь не поймет, что происходит. Казалось бы, у Google официальный Play Market, и если мы устанавливаем что-то оттуда, то все должно быть хорошо. Но на деле исследователи периодически находят на платформе что-то вредоносное и нелегитимное.

Так что, хоть это и не обеспечит стопроцентной безопасности, нужно всегда устанавливать приложения только из официальных источников, проверять разработчиков, рейтинг и комментарии. На компьютерах достаточно таких же базовых действий — обновлять браузер, не использовать сторонние плагины и так далее.

— Нужно ли заклеивать вебку?

— Да! Сейчас во многих браузерах запрос на доступ к камере высвечивается отдельным уведомлением. Но помним про человеческий фактор: люди очень любят ходить по разным сайтам и устанавливать программы, которые зачастую могут оказаться вредоносными. Ничто не мешает пользователям случайно установить с игрой вредонос, который сможет подключаться к вебке и позволять атакующему наблюдать за ними.

— При том все больше личной информации собирают голосовые помощники и онлайн-сервисы. Как быть с этим?

— Во всем есть плюсы и минусы. С одной стороны, сбор информации позволяет поставщикам услуг лучше работать — предлагать товары или контент по возрасту и интересам. С другой стороны, не хочется, чтобы за тобой следили. Но существуют альтернативы, которыми можно пользоваться.

Если очень хочется анонимности, воспользуйтесь браузерами и поисковиками, которые не хранят информацию — например, DuckDuckGo. Режим анонимности можно включить в том же самом Chrome.

— Разработчики операционных систем последних поколений, в особенности iOS и Android, утверждают, что их взлом практически невозможен. Тогда каким образом в сеть регулярно сливаются фото и другие данные?

— Защищенность операционных систем больше про эксплуатацию уязвимостей, а сливы в сеть часто связаны с социальной инженерией или слабыми настройками безопасности пользователей соцсетей и различных сервисов. Информация выманивается либо через общение, либо через взлом аккаунтов, либо пользователя обманом заставляют что-то установить. Действует человеческий фактор, разработчики тут ни при чем.

— Окей, от мелких преступлений можно обезопаситься самому. Но почему про некоторые крупные кейсы — например, про «Гидру» — знают все, но никто не может с ними разобраться?

— «Гидра» — просто маркетплейс, и кстати, подконтрольный. Соответствующие органы могут зарегистрироваться там и ловить продавцов. Пользователям стоило бы задуматься: никогда не знаешь, с кем контактируешь — с реальным торговцем/покупателем или с дядечкой в погонах. То, что такие проекты не закрываются, а находятся под контролем, несет определенную пользу.Выявить всех участников и единоразово арестовать не всегда легко. Найдут одного — останутся еще люди. Американский маркетплейс Silk Road полностью контролировал один человек. Его нашли, предъявили доказательства и арестовали. Но даже при том, что один сайт закрылся, последователи тут же открыли другие.

— Возможно ли вычислить киберпреступников поименно?

— Расследования и атрибуция — дело совсем не простое, но у нас имеются для этого специальные технологии. Например, Threat Intelligence and Attribution прошла проверку «большой четверки» (четыре крупнейших в мире сети компаний, предоставляющих аудиторские и консалтинговые услуги, — прим. Enter) на соответствие рекомендациям в сфере кибербезопасности. Cистема позволяет применять данные о тактиках, техниках, инструментах и активности атакующих для исследования и атрибуции кибератак, а также охоты за угрозами. Она была применена в нашей совместной операции с Европолом и полицией Италии, Венгрии и Великобритании Carding Action 2020, направленной на борьбу с подпольным рынком продаж данных скомпрометированных банковских карт. Благодаря анализу данных, собранных из кардшопов, закрытых форумов, ботнетов и JS-снифферов, TI&A удалось предотвратить потенциальные убытки на сумму около 40 млн евро.

Раньше мы говорили о том, что у группировок свои наборы инструментов, определенные техники и тактики, а теперь все становится все более размыто. Инструменты и техники переходят из группы в группу, и сложно сказать, кто кого атаковал, но еще возможно. Есть аналитики, которые пытаются связать факты, как минимум, с определенной страной. Если задействовать большие ресурсы, можно дойти и до конкретных людей. Иногда атакующие выдают себя постом в соцсети или через общение с родственниками. Владельца Silk Road вычислили, потому что его реальный адрес засветился в посте на форуме о биткойнах.

— Вам или вашим коллегам приходилось вычислять опасных киберпреступников?

— Не могу рассказать много, но недавно у нас вышел официальный отчет по трендам — туда вошли атаки проправительственных и других группировок, атаки на ядерный, телекоммуникационный и энергетический сектор. В том числе информация о задержанных мошенниках. В общем, расследования продвигаются, реальных людей вычисляем, часто доходит до ареста.

Например, недавно мы провели операцию Falcon совместно с Интерполом и полицией Нигерии. В ходе операции была ликвидирована группа, которой удалось скомпрометировать около 500 тысяч государственных и частных компаний из 150 стран. Наши эксперты установили личности киберпреступников, за ними следили около года, связывая разрозненные события, атаки и инструменты воедино. В результате в Лагосе было проведено задержание троих участников группы.

— С чем связано появление крупных хакерских сетей без постоянного членства, вроде Anonymous? Как люди участвуют в их акциях и зачем?

— Это же не организованная преступность с целью взломов и хищений. Людей беспокоит какая-то идея или проблема, и они пытаются привлечь к ней внимание. Так же в реальном мире проходят митинги и протесты — только в интернете люди не выходят на площадь, а DDoS’ят (совершают DDoS-атаки, — прим. Enter) или делают deface (заменяют главную страницу сайта на другую, зачастую с блокировкой остальных страниц — прим. Enter). Например, каждый год Anonymous проводит атаки в память о жертвах Холокоста. Сеть публикует список целей и люди, которые хотят поддержать идею, добровольно пробуют ломать или ронять различные сервисы. Информация об успехах так же попадает в сеть. Здесь нет коммуникации напрямую, только через открытые источники.

— Как остаются в безопасности люди, которые призывают в открытых источниках «взломать Пентагон»?

— Призывы взломать Пентагон часто могут оказаться шуткой. Русских хакеров не первый год обвиняют во вмешательстве в выборы Президента США. В 2020 прошли новые, и незадолго до них люди начали шутить на форумах по инерции: «Как будем взламывать выборную систему? Давайте через портал госуслуг! А нам заплатят?». Есть грань между юмором и серьезными призывами. Последние могут плохо закончиться, но шутников в России все равно сильно больше.

— Насколько, по-вашему, верен тезис о хакинге как новом источнике власти, который в своей книге предлагает Туровский?

— По сути, мы к тому и приходим. У многих государств появляются кибервойска, технологии развиваются и позволяют делать много всего. Идет та же информационная война в киберпространстве, получение доступа к секретным данным и разработкам. И власти будет больше у тех, у кого хватит сил и возможностей владеть информацией. В 2020 году некоторые государства уже признают свершившиеся против них кибератаки. Хотя много и ложных обвинений. Достоверные источники говорят, что определенные группировки относятся к определенным странам. Они есть и у России, и у Китая, и у Кореи.

Об атаках всегда сообщают страны-жертвы, и случаев становится все больше. В прошлом году была атака на гидроэлектростанцию в Венесуэле, целые штаты больше суток оставались без электроэнергии. Идут атаки на критически важные инфраструктуры, на ядерную промышленность — борьба, в основном, происходит у Ирана с Израилем и Индией.

— Кто сегодня с большей вероятностью побеждает в войне анонимных хакеров и служб безопасности крупнейших стран?

— Очень сложный вопрос. Спецслужбы, по сути, тоже занимаются атаками. Проправительственные группировки лидируют по технологиям — у них больше инструментов и реализованы удачные атаки, методы которых еще неизвестны.

Интересно, когда в сети появляются сливы про группировки. Например, в прошлом году был хороший про Oilrig (иранское объединение хакеров, — прим. Enter). Человек под ником Lab Dookhtegan представился бывшим участником группировки и начал скидывать информацию про инструменты и атаки. Непонятно, было ли это предательство изнутри или взлом снаружи. Так называемый «обратный взлом» вызывает много вопросов с этической точки зрения, но на данный момент только спецслужбы и проправительственные группировки имеют право безнаказанно (в нашей стране) взламывать других хакеров.

— Все чаще приходится слышать о новых национальных сертификатах безопасности в разных странах — буквально в начале декабря киберучения проходили в соседнем Казахстане. Насколько вероятно, что в цифровом пространстве все-таки проведут границы?

— Казахстан предпринимает не первую попытку. Национальный сертификат пытались вводить еще около года назад: попросили граждан использовать его для посещения разных ресурсов. Такой сертификат дает государству полный доступ к трафику пользователей. Его ввод можно прикрыть заботой о безопасности, мол, «мы так отслеживаем мошенников, плохих людей». Но важно понимать, что шифрование придумали не просто так. И не просто так Google и Mozilla выступили против и заблокировали национальный сертификат Казахстана.

Дело в том, что получение доступа к трафику третьей стороной нарушает некоторый договор о доверии. Она может не только читать информацию, но и расшифровывать ее, а данные — подменять. Здесь все немного сложнее, чем забота о безопасности. А проведение «границ» и ограничение ресурсов все равно, по сути, особо ничего не дает: в Китае заблокировали сервисы Google, и китайцы познакомились с VPN.

— Существует ли вероятность, что киберпреступления смогут раскрывать машины, или это слишком сложная задача, чтобы ее делал не человек?

— На данный момент такое сложно представить. Казалось бы, что может быть проще поиска и анализа доказательств? Есть определенные источники артефактов, сами артефакты и программы, которые автоматически помогают систематизировать информацию с дисков и вытаскивать нужное. Но без аналитика пока ничего не работает. Автоматизированные средства часто не справляются, и некоторые данные приходится перепроверять вручную. Когда-нибудь, через много-много лет, возможно, появится базовое решение, но пока без людей раскрытие киберпреступлений не представляется возможным.

Изображения: Саша Спи