Хакеры не действуют в одиночку

Правила взлома

В последние месяцы сообщения новостных лент больше напоминают сюжет футуристического блокбастера о начале глобальной кибервойны. Вирусы один за другим атакуют компьютеры крупных компаний, госучреждений и ведомств. И речь идет вовсе не о добродетельных хакерах, желающих указать на пробелы в системе информационной безопасности. Киберпреступники шифруют и уничтожают огромные массивы ценных данных. Как это происходит и кто стоит за масштабными атаками?

фОТО shutterstock.com

Майскую атаку вируса WannaCry эксперты признали крупнейшим компьютерным вымогательством за всю историю. От действий виртуальных взломщиков пострадало несколько сотен тысяч компьютеров в 150 странах — в том числе машины мобильного оператора Telefonica, британской государственной системы здравоохранения, железнодорожной компании Deutsche Bahn, завода Renault. Вредоносная программа шифровала данные, а за ключ неизвестные злоумышленники требовали выкуп.

Не успел мир оправиться от этой атаки, как объявилась новая: в конце июня вирус Petya заблокировал работу нескольких сотен, а то и тысяч компаний: больше всех пострадала Украина, о случаях заражения известно в Великобритании, Дании, Индии, США и других странах. Проблема не обошла стороной и нас. Явление, к счастью, не массовое, хотя это и неудивительно. Заведующий кафедрой защиты информации БГУИР Тимофей Борботько объясняет — целью киберпреступников были украинские компании:

— В Украине есть система электронного документооборота М.Е.Doc, которой пользуется ряд компаний. Последнее заражение произошло за счет того, что злоумышленникам удалось скомпрометировать ее сервер — с него рассылались данные для обновления программного обеспечения, в который был встроен вирус.

После того как “вредонос” попал на компьютер, он сканирует сеть в поисках уязвимой машины. Вполне вероятно, что зараженные белорусские фирмы имели соединения с украинскими компаниями. К примеру, среди пострадавших — сеть лабораторной диагностики, чьи офисы есть в 5 странах, в том числе в Украине. Из-за хакерских атак некоторые пациенты не смогли вовремя получить результаты анализов. И смогут ли? Тимофей Борботько говорит:

— Вирус был известен еще в прошлом году — тогда он был представлен в классическом виде: шифровал данные и просил выкуп. Нынешняя программа использует часть кода прошлогодней. Но после анализа образцов выяснилось, что в ней нет идентификаторов, которые присутствуют в стандартных шифровальщиках и могут позволить дешифровать данные. В случае с Petya, если резервного копирования не было, перспективы печальны: данные не вернешь.

Напрашивается вывод: тот, кто в прошлом году занимался вымогательством, теперь преследует новые цели. Однако на деле все не так просто. Хакерство давно перестало быть уделом одиночек, и единичные компьютерные гении, способные за несколько минут погрузить виртуальный мир в хаос, — не больше чем фантазии голливудских режиссеров. Впрочем, реальность выглядит не менее пугающе. Компьютерный взлом и вирусописательство стали прибыльным бизнесом, где у каждого — своя роль.

Простой пример — программы-шифровальщики, которые под видом правоохранительных органов требовали у пользователей оплатить штраф за посещение сомнительных сайтов. По просторам байнета подобный “вредонос” ходит уже несколько лет, и только за прошлый год борцы с киберпреступлениями задержали 5 преступных групп. Отчего это не остановило распространение блокатора? Начальник управления по раскрытию преступлений в сфере высоких технологий МВД Вадим Устинович объясняет:

— В теневом сегменте интернета есть сайты, где идет торговля скриптами вредоносных программ. Злоумышленник покупает его, дорабатывает под себя и пускает в ход.

А это значит, что создавать программу с нуля нет необходимости. По данным компании Group-IB, на нелегальном виртуальном рынке стоимость готового шифровальщика — 5—10 тысяч долларов. Созданием такой сетевой “заразы” зачастую занимаются группы хакеров. Вадим Устинович рассказывает:

— Встречаются и одиночки, но в основном совершать такие преступления в одиночку очень трудно. Нужно иметь “единомышленников”. В интернете много ресурсов, которые позволяют это сделать. Люди объединяются в группы и, как правило, территориальный принцип здесь не играет роли — все общение, все операции происходят в сети.

Группы разработки зловредных кодов можно сравнить с теми, что работают над проектами в легальных ИТ-фирмах. Анализируя нынешний вирус Petya, в компании Acronis говорят, что для его создания опытному руководителю понадобилось бы три месяца и команда из двух старших системных разработчиков, специалиста по информационной безопасности, эксперта по разработке и поддержке серверной инфраструктуры и тестировщика.

Вирус готов, дальше — дело маркетинга. Взять, к примеру, прошлогодний вариант Petya — его создала группа хакеров Janus Cybercrime Solutions. Вместе с “младшим братом” Mischa его продавали на черном рынке: распространитель получает от 25 до 85% дохода, авторы — все остальное. Причем разработчики предоставляют, помимо самой программы, еще и всю инфраструктуру вплоть до метода денежных переводов. Специалисты компании Avast говорят, что этот ход позволяет “разносчикам” “киберзаразы” привлекать неквалифицированных клиентов, проще говоря, тех, кто в ИT-технологиях мало смыслит.

Эти самые “клиенты” чаще всего и попадают в поле зрения правоохранительных органов.  У них тоже есть четкое деление ролей, говорит Вадим Устинович:

— К примеру, в кардинге очень развит механизм использования дропов — людей, которые обналичивают денежные средства, работая по найму за комиссионные или даже за зарплату. Сейчас в суде рассматривается дело в отношении троих наших граждан, которые занимались хищениями с использованием ранее украденных реквизитов банковских карт. Среди них был и “дроповод” — тот, кто вербовал людей на роль обнальщика.

Бизнес на вирусах  процветает, а последствия компьютерного взлома становятся все более угрожающими. Киберполиция Украины на днях сделала громкое заявление: целью нынешней атаки Petya было не вымогательство, а дестабилизация ситуации в стране. Прежде чем уничтожить данные, запускалась программа, способная передавать некоторую информацию с зараженной машины на сервер злоумышленников. Шифрование было лишь прикрытием.

Вычислить хакеров стараются всеми возможными путями: от выяснения технических нюансов и особенностей кода до лингвистического анализа текстов, сопровождающих “вредоносы”. Однако по мере того как в опасных атаках задействуется все большее количество людей, раскручивать цепочку таких преступлений и выходить на конечного заказчика становится все сложнее.

Мир стремительно меняется, и сегодня каждый, кто пользуется гаджетами с выходом в интернет, является потенциальной жертвой компьютерных взломщиков. Стопроцентной защиты обеспечить нельзя, но  избежать “случайного” нападения при желании возможно. Однако это понимают не все. Тимофей Борботько говорит:

— Нередко вовремя не выполняется обновление программного обеспечения — это касается как личных компьютеров, так и тех, что принадлежат юрлицам. Корень проблемы в том, что уровень информационной безопасности населения невысок и это дает простор для действий хакеров.
Технологии распространения вирусов совершенствуются. Если раньше речь шла о скачивании одного файла, то сегодня на компьютер пользователя сначала проникает безобидная на вид программа-загрузчик. Она впоследствии и скачивает “заразу”, причем это действие по сути инициирует сам пользователь. Загрузчик может содержаться в стандартных офисных документах — вордовских, экселевских и прочих — в виде макросов. По версии журнала “Хакер”, это одно из топовых направлений в механизмах современных атак.
ТЕНДЕНЦИИ ПРОШЛЫХ ЛЕТ

2014 год. Воровство личных данных. Ущерб от киберкраж личных данных составил более 150 миллиардов долларов. Один из громких случаев — кража около 1,2 млрд уникальных связок “логин/пароль” от адресов электронной почты.

2015 год. Атаки на смартфоны. К примеру, в третьем квартале риску были подвергнуты 94,1% гаджетов на Android. Только за этот период в ключевом компоненте операционной системы были найдены пять уязвимостей. Благодаря одной из них кибермошенники смогли осуществить рассылку MMС-сообщений, содержавших вредоносный код.

2016 год. Банки под прицелом. Лишь в отношении российских банков хакеры покушались на воровство 5 млрд рублей (около 85 млн долларов), причем два из них (около 34 млн долларов) им удалось украсть. Крупная атака была и на одно из наших финучреждений — точная сумма ущерба не озвучивалась, однако известно, что деньги преступники выводили через сеть банкоматов.

gavrusheva@sb.by
Полная перепечатка текста и фотографий запрещена. Частичное цитирование разрешено при наличии гиперссылки.
Заметили ошибку? Пожалуйста, выделите её и нажмите Ctrl+Enter