Кибердиверсии и атаки на криптоиндустрию. Group-IB – о новых угрозах безопасности
ПЛАС: Как в России обстоит ситуация с киберпреступностью в финансовой сфере? Наблюдается ли снижение активности хакеров в отношении российских банков и их клиентов?
И. Сачков: В октябре прошлого года, выпуская наш отчет «HI-Tech Crime Trends 2017», мы фиксировали некоторое снижение ущерба от целевых (или, иначе, целенаправленных) атак на российские банки, а также от хищений у юрлиц – клиентов банков. Но я бы пока не стал спешить с выводами о «великом снижении киберпреступности». В конце 2017 года мы зафиксировали целый ряд кибератак на банки. Самая активная и агрессивная хакерская группировка – Cobalt – весь 2017 год 2–3 раза в месяц стабильно атаковала финансовые организации в России и за рубежом. Даже несмотря на арест в Испании в марте 2018 года лидера Cobalt, его оставшиеся на свободе сообщники продолжают атаковать финансовые учреждения по всему миру.
В целом же события 2017 года четко продемонстрировали новые виды кибер-угроз, векторы атак и хакерские инструмен-ты, с которыми уже столкнулась или в ближайшее время столкнется кредитно-финансовая сфера. Все преступные группы, атаковавшие российские банки, постепенно переключили свое внимание на другие страны и регионы: США, Европа, Латинская Америка, Азия и Ближний Восток.
В 2014 году было известно только о двух хакерских группах, проводивших целевые атаки на банки, в 2015 году их было уже три, в 2016 году – четыре, а в 2017 году – шесть. По нашим оценкам, ущерб от кибер-атак на финансовую сферу России и СНГ за два года (H2 2015 – H1 2017) составил примерно 118 млн долл. США.
Из чего складывается эта сумма:
- Хищения средств в интернет-банкинге у юридических лиц с использованием вредоносных программ – 27 млн долл. США (падение за год – 35%).
- Хищения средств в интернет-банкинге у физических лиц с использованием вредоносных программ – 375 тыс. долл. США (рост за год – 144%).
- Целевые атаки на банки – 70 млн долл. США.
- Хищения у физических лиц с помощью Andoird-троянов – 20 млн долл. США.
ПЛАС: Ваша оценка сегодняшней ситуации с фишингом в России? Изменились ли показатели удачных попыток кражи денежных средств с помощью фишинга, которые могли бы говорить о повышении компьютерной и финансовой грамотности у населения? Какие меры, на ваш взгляд, необходимы для повышения такой грамотности среди россиян?
И. Сачков: Фишинг по-прежнему остается для злоумышленников актуальным способом атаки. Это достаточно простое в реализации преступление, которое может быть направлено на массового пользователя, поэтому оно пользуется популярностью у разных групп компьютерных преступников.
Еще одной причиной «живучести» фишинга является его доступность. В darknet пачками продаются фишинг-киты – программы-конструкторы для создания сайтов и генерации различного рода фишинговых схем. С их помощью злоумышленник выбирает необходимый домен, хостинг, дизайн фишингового сайта, задает определенные параметры, изменяет форму ввода данных и запускает поддельный сайт в действие. Фишинг-киты способны подделывать дизайн до двухсот различных брендов, среди которых банки, известные мессенджеры и другие сервисы. Таким образом, эти инструменты позволяют даже преступникам без серьезного уровня подготовки, в том числе в области безналичных средств платежа, вводить в заблуждение интернет-пользователей и похищать их финансовые средства.
Кроме того, существует достаточно опасный класс вредоносных программ, которые перенаправляют пользователя на фишинговый сайт, меняя локальный файл хоста либо локальную маршрутизацию. В этом случае заметить подмену крайне сложно даже продвинутому пользователю. Если пользователь ранее заходил, например, на сайт того или иного известного банка, то визуально он не заметит никаких различий с привычным ресурсом, будучи переадресованным на фишинговый сайт, – если только не обратит внимание на изменившийся IP-адрес, что по понятным причинам маловероятно.
Существует множество вариантов распространения такого вредоносного ПО: через зараженный сайт, приложение, электронную почту. В 2017 году преступники взламывали популярные ресурсы для бухгалтеров и руководителей, СМИ и транспортных компаний и уже с них перенаправляли посетителей на зараженные ресурсы. Кроме того, с 2017 года у преступников стал популярен взлом Wi-Fi роутеров. Взломанный роутер подменяет маршрутизацию, и при попытке захода на настоящий сайт пользователь оказывается на фишинговом ресурсе.
Ежедневно жертвами финансового фишинга в России становятся более 900 клиентов различных банков, что в три раза превышает ежедневное количество пострадавших от вредоносных программ. В России, по нашим оценкам, действует 15 групп, занимающихся фишингом под финансовые учреждения. Около 10–15% посетителей финансовых фишинговых сайтов сами вводят свои данные. Суммы ущерба всегда небольшие (в десятки раз меньше, чем от банковских троянов), но количество жертв, которых они заманивают на свои сайты, ежедневно исчисляется тысячами. За год мошенникам с помощью фишинга удалось похитить 236,6 млн рублей. Эти цифры показывают по-прежнему низкое качество образования и осведомленности пользователей об интернет-рисках. Зачастую они задумываются о безопасности в интернете только после того, как стали жертвами преступников.
ПЛАС: В своем выступлении на Cyber Security Forum вы уделили отдельное внимание атакам на карточный процессинг. Как вы оцениваете ситуацию в России с данным видом атак?
И. Сачков: Карточный процессинг, проще говоря, процесс обработки информации, используемой при совершении платежных операций по картам, стал основной целью киберпреступников в 2017 году. Преимущества, из-за которых эта схема стала популярной, в том, что она позволяет сравнительно легко и безопасно похищать крупные суммы и практически моментально обналичивать украденные деньги в другой стране. Сначала этот метод был испытан в России, а затем многократно повторен в странах СНГ и США всеми крупными преступными группами.
Схема очень простая. После проникновения и получения контроля над ИТ-сетью банка атакующие проверяли, есть ли возможность подключаться к системе управления карточным процессингом. Система карточного процессинга защищена не так хорошо, как SWIFT, поэтому атакующие легко и незаметно убирали или увеличивали лимиты на снятие наличных для открытых банковских карт, которые уже получили так называемые мулы – преступники, специализирующиеся на операциях обналичивания похищенных денег. Получив карты, они уезжали в другую страну и после поступления соответствующего сигнала снимали наличные в одном банкомате, потом переходили к другому, и т. д. Средний ущерб от одной такой атаки составлял порядка полмиллиона долл. США. Снимая со счетов скомпрометированных карт деньги в странах, отличных от страны банка-эмитента карты, хакеры выигрывали время, поскольку служба безопасности банка не могла оперативно связаться с полицией, получить записи с камер видеонаблюдения и задержать преступников, находящихся в другом государстве. В этом случае не требуется сложная схема обналичивания и отмыва украденных средств – преступники сразу снимали «чистый кэш».
Для обеспечения своей безопасности банкам необходимо изучить все доступные актуальные отчеты о деятельности преступных группировок, которые успешно совершают такие атаки, провести аудит разграничения прав доступа внутри банка, использовать системы киберразведки (Threat Intelligence). В основном попадание атакующего зловреда в банк происходит через отправку сообщений по электронной почте с зараженного компьютера того или иного сотрудника, при этом письма не детектируются классическими средствами сетевой безопасности и классическими антивирусными средствами.
ПЛАС: Атаки на АРМ КБР, автоматизированные рабочие места клиентов Банка России и SWIFT – какое развитие получил этот тренд, можно ли говорить о некотором улучшении ситуации, и если да, то за счет чего?
И. Сачков: Эта ситуация практически взята под контроль благодаря действиям Банка России и использованию новых технологий. Но разовые инциденты, конечно же, по-прежнему имеют место. Общий ущерб от целевых атак на банки во втором полугодии 2016-го – первом полугодии 2017 года составил 27 млн долл. США, он включает потери от атак на карточный процессинг и на АРМ КБР. В конце 2017 года группа Cobalt впервые в истории российской финансовой отрасли провела успешную целевую атаку на отечественный банк с использованием SWIFT. Атаки на SWIFT в 2017 году также фиксировались в банках Тайваня, Эквадора, Непала, аналогичные инциденты продолжились и в начале 2018 года. В настоящее время наиболее уязвимы именно мелкие банки, поскольку крупные кредитные организации обратили внимание на эту проблему и приняли повышенные меры безопасности.
ПЛАС: В 2017 году был зафиксирован рост числа атак на пользователей Android-устройств. Каковы прогнозы на 2018-й? Стоит ли опасаться роста кибератак держателям iOS-устройств?
И. Сачков: Рост атак на пользователей Android-устройств по-прежнему прогнозируется высокий. У Android самая большая доля смартфонов на рынке – 80%. При этом они имеются абсолютно у всех слоев населения. Также у ОС Android достаточно уязвимая архитектура, которая допускает попадание в смартфон вредоносных программ.
Со смартфонами на базе iOS ситуация получше, но это чаще связано с тем, что у данной ОС не так много пользователей, и преступникам пока просто невыгодно ее взламывать. Ситуация может коренным образом поменяться, если число пользователей iOS-устройств превысит количество пользователей смартфонов на Android. Банки в свою очередь уделяют на этом фоне повышенное внимание при разработке мобильных приложений для Android. Они часто проводят аудиты, встраивают в мобильные телефоны средства контроля, которые позволяют вовремя определить, что устройство заражено. Также кредитные организации взаимодействуют в этом направлении с мобильными операторами, которые при использовании соответствующих технологий могут быстро выявлять факт того, что безопасность конкретных абонентов находится под угрозой. Речь идет об автоматизированном поиске признаков заражения в трафике и иных признаков компрометации устройства абонента.
ПЛАС: Как, на ваш взгляд, изменилось за последние годы само преступное сообщество – в плане профессионализма, организации труда, возможности привлечения дорогостоящих специалистов и значительно возросшего в целом финансового ресурса?
И. Сачков: Все выглядит как классическая пирамида. Ее верхушку составляет так называемая преступная интеллектуальная элита. Количество ее представителей заметно не меняется год от года, общая доля в составе преступной группы в среднем составляет 5%. Далее следуют хакеры среднего и слабого уровня подготовки. Их число увеличилось благодаря фишинг-китам, утечкам исходных кодов, а также в результате по-прежнему не слишком жесткой реакции на киберпреступления в обществе, включая уголовное законодательство.
Стоит отметить, что преступное сообщество в целом растет. И причины этого кроются в социологии. Популяция людей увеличивается, и вместе с ней – число преступников. Однако, согласно исследованию психолога из Гарвардского университета Стивена Пинкера (Steven Pinker), мы живем в самое безопасное время за историю человечества: у современного человека гораздо меньше рисков погибнуть на войне, умереть от голода или стать жертвой уличных преступников, чем было у его предков. Но при этом злодеев меньше не становится – просто преступность уходит в интернет. Зло-умышленникам гораздо проще и выгоднее похитить денежные средства через Сеть, чем, например, ограбить человека на улице.
Group-IB в свое время занималась расследованием деятельности преступной группы, которая специализировалась на краже денег с помощью вирусов-шифровальщиков. Показательно, что раньше ее участники занимались кражей автомобильных номеров и на собственном опыте поняли, что гораздо безопаснее заражать компьютеры по всему миру, находясь, предположим, в Китае, чем ходить по дворам Москвы и каждый раз рисковать, откручивая номера у машин.
На рост хакерского сообщества также влияет популярность криптоиндустрии. Сейчас идет бурный рост этой сферы, в нее инвестируют значительные средства. Но с учетом того, что криптовалюты не регулируются и должным образом не защищаются, их владельцы находятся в опасности, потому что порой не понимают даже, как правильно хранить ключ от криптокошелька, как пользоваться криптобиржей и т. п. И многие злоумышленники этим пользуются.
ПЛАС: Как вы считаете, исходя в том числе из только что сказанного, – какие тренды в сфере кибер-угроз наиболее заметно проявят себя в 2018 году?
И. Сачков: В 2017 году появился тренд, которому, на мой взгляд, не уделили должного внимания, хотя он очень важный, – это кибердиверсия. И в 2018 году таких атак станет значительно больше. Кибердиверсия – атака, которая решает сразу несколько задач. При этом основной ее целью по-прежнему остается хищение денежных средств. Однако при кибердиверсии после хищения средств в банке разрушается вся сетевая инфраструктура – либо самого банка, либо компьютерная сеть его конкретного клиента – юридического лица, в зависимости от того, кто был целью атаки. Это делается для того, чтобы уничтожить следы преступления и увеличить период времени, необходимый для выявления факта хищения денежных средств. Ярким примером кибердиверсии является использование самораспространяющихся вирусов-шифровальщиков, необходимых для заметания следов после успешного хищения денег. Вирус-шифровальщик массово шифрует серверы и компьютеры. В первую очередь банк начинает восстанавливать инфраструктуру, потому что он потерял возможность проводить операции клиентов, и каждая минута увеличивает его репутационные риски. И только после восстановления данных кредитная организация может наконец понять, что у нее похитили деньги. Однако в результате действий шифровальщика многие цифровые доказательства преступления будут бесполезны, поскольку их нельзя восстановить. В итоге банк или компания остаются и без денег, и без возможности доказать, что их похитили.
Также будет расти количество атак на криптоиндустрию – увеличивается капитализация рынка цифровых валют. Уже сейчас существует огромное количество типов атак: хищение криптовалюты с биржи, с аккаунта биржи, взлом облачных криптокошельков, проведение поддельных ICO, воровство денег в момент проведения настоящих ICO и многие другие.
И наконец, что еще здесь крайне важно, – факт, что российское государство на законодательном уровне пока не готово защищать своих граждан от кражи криптовалюты. В результате преступники чувствуют себя безнаказанными, и количество таких атак будет только расти.