Пора перестать быть жертвами и становиться охотниками за киберпреступниками. Именно с таким посылом обратился основатель Group-IB Илья Сачков к гостям международной конференции CyberCrimeCon 2018. Как отметил генеральный директор компании, специализирующейся на предотвращении кибератак, оборонительный метод уже себя исчерпал и чтобы борьба с хакерами стала более успешной, необходимо переходить в нападение.
Однако прежде чем сменять тактику, крайне важно не только взаимодействовать друг с другом, но и знать как можно больше информации о главных врагах: их биографии, мотивации, как они обучались хакерскому ремеслу. Как отметил Сачков, информационную безопасность нельзя воспринимать в отрыве от людей, занимающихся компьютерными преступлениями.
«И это знание, которое, к сожалению, почему-то многие не считают важным. Этому не учат в университетах. Очень мало обмена информацией между государствами и частными компаниями. А сейчас из-за политической обстановки люди вообще перестают друг другу доверять», — заметил основатель Group-IB.
Известные киберпреступные группировки вроде MoneyTaker, Cobalt и Lazarus используют разные технологии, тактики и инструменты и стремятся к разным целям. Зная эту информацию, пользователь, компании и кто-нибудь другой сможет без особого труда идентифицировать атакующего и определить стратегию противостояния. По словам Сачкова, эти маленькие детали — ключ к понимаю ситуации, когда простым удалением проблема может не решиться.
Следите за развитием событий в нашем Телеграм-канале
«То, что мы пытаемся донести — новый подход, который с этого года, как мы считаем, будет единственно верным. Обороняться — это здорово, но нужно за этими людьми охотиться. С помощью технологий, правоохранительных органов, правильного обмена информацией. Потому что парадигма, что 20 лет мы обороняемся, она не совсем правильная. Каждому из нас нужно стать threat hunter-ом. Это новая профессия, новая наука, новый подход к технологиям», — заявил Сачков.
Из-за перспективы этого направления, а также из-за того, что действительно важную информацию далеко не всегда доносят до будущих специалистов в профильных учебных заведениях, Group-IB заявила о новой инициативе, в рамках которой компания готова обучать или предоставлять необходимые программы обучения любому вузу мира, а также делать это на корпоративном и государственном уровнях.
Шпион, выйди вон!
От планов на будущее эксперты перешли к текущей обстановке в киберпреступном мире. Теперь деньги для хакеров имеют не такое важное значение, как это было раньше. Руководствуясь принципом «Кто владеет информацией, тот владеет всем миром», их интерес сместился в сторону саботажа и шпионажа. Так называемые проправительственные хакеры работают над «инструментами», которые позволяют присутствовать в сетях объектов критической инфраструктуры в течение длительного времени. Список целей включат в себя компании энергетического, ядерного, коммерческого, водного, авиационного и других секторов. В топ-3 стран происхождения самых активных проправительственных хакерских групп входят Китай, Северная Корея и Иран.
При этом шпионаж, чьим новым направлением Group-IB называет взлом домашних и персональных устройств должностных лиц государств, остаётся ключевым направлением деятельности групп. А последние, в свою очередь, спонсируются рядом стран, в числе которых Северная Корея, Китай, США, Россия и Иран. Специалистам удалось выявить около 40 активных групп. Некоторые из них образовались несколько лет назад, но по ряду причин замечены не были. У части групп в графе «страна» стоит прочерк, так как установить их страновую принадлежность пока не удалось.
Отдельным пунктом Group-IB выделяет, что уникальный ландшафт APT-угроз постоянно меняется. Это нельзя назвать положительным моментом. Хакеры используют далеко не уникальные инструменты, а широко распространённые, в том числе для тестов на проникновение. Из-за этого затрудняется работа исследователей. По словам экспертов, отсутствие данных об обнаруженных атаках в отдельной стране или секторе экономике не свидетельствует о том, что их нет. Скорее всего, на данный момент о них просто ничего не известно.
Враги финансового сектора
Финансовые организации остаются одними из главных целей киберпреступников. Самыми опасными хакерскими группировками для банков во всём мире Group-IB назвала MoneyTaker, Lazarus и Cobalt. В 2018 году удалось раскрыть новичка — Silence. Примечательно, что из четырёх групп три — русскоговорящие (не путать со страновой принадлежностью). Все они могут взломать банк, добраться до изолированных финансовых систем и вывести деньги.
Теперь немного статистики. Среднее число атакованных банков в России составляет 1-2, а средний ущерб от операций киберпреступников — 132 млн рублей. При этом количество целенаправленных атак на банки с целью хищения через SWIFT (система, в которой банки по всему миру передают информацию и совершают платежи) за отчётный период увеличилось в три раза. Среднее время для обналичивания денег из банкомата дропами или мулами (члены хакерской группы, забирающие наличные из взломанного терминала) составляет всего около восьми минут.
Клиентам банков всё ещё приходится несладко, ведь хакеры продолжают охотиться на их банковские карты. Как отметили специалисты, недостаточное распространение систем поведенческого анализа при проведении транзакций приводит не только к прямому ущербу, но и к росту бизнеса кард-шопов. Ежемесячно в мире для продажи загружаются около 686 тысяч текстовых данных скомпрометированных банковских карт и 1,1 млн дампов. Общий объём рынка кардинга за анализируемый период составил $663 млн.
Никуда не делся и любимый хакерами веб-фишинг, которым стало интересоваться куда больше киберпреступников. Причём и в мире в целом, и в России в частности. Так, специалисты выявили рост как среди групп, создающих фишинговые сайты под российские бренды (с 15 до 26), так и среди ежедневных успешных фишинговых атак (с 950 до 1274). За 2018 год хакеры смогли похитить 251 млн рублей, что на 6% больше, чем в 2017 году.
Предпочтения фишеров на международном рынке, согласно отчёту Group-IB, за минувший год успели поменяться. Большая часть опасных ресурсов была нацелена на получение данных об облачных хранилищах пользователей. За ними следуют финансовые и онлайновые сервисы. 80% фишинговых сайтов приходится на США. На втором месте расположилась Франция, а замыкает тройку лидеров Германия.
С банковскими троянами в России дела обстоят куда лучше. Снижение угроз со стороны PC-вредоносов с 2012 года всё ещё продолжается. При этом физические лица окончательно пропали из списка целей киберпреступников, а ущерб для юридических лиц по итогам отчётного периода сократился ещё на 12% и составил 547,8 млн рублей. Остановился в российском регионе и рост рынка Android-троянов. По данным специалистов, снизилось не только количество проводимых ежедневных хищений с помощью Android-троянов в России, но и средний размер хищений с 11 до 7 тысяч рублей. К сожалению, подобный прогресс не коснулся остального мира, где рынок троянов продолжает развиваться. За анализируемый период эксперты выявили шесть новых троянов для ПК, а также обнаружили выложенные или проданные исходные коды ещё пяти.
Будущая угроза
И если борьба с известными киберугрозами представляет собой налаженный механизм, то вот с новыми технологиями взлома специалистам по безопасности справиться гораздо сложнее. Начало 2018 года ознаменовало собой знакомство с side-channel-атаками и уязвимостями микропроцессоров разных вендоров, которые невозможно быстро и эффективно закрыть при помощи программных обновлений. К тому же о них становится известно благодаря утечкам. Их сложно обнаружить и не менее сложно устранить, считает сооснователь Group-IB Дмитрий Волков.
«Сегодня производители продуктов для кибербезопасности предлагают достаточно эффективные способы борьбы с вредоносными программами, проникающими в компьютерные системы, однако никакая антивирусная программа не поможет, когда проблема находится на уровне прошивки, на уровне оборудования. Если устройство скомпрометировано таким образом, то переустановка операционной системы или даже выброс жёсткого диска не решит проблему. Не важно, где вы находитесь, как только вы подключите устройство к Интернету, преступник будет иметь над ним полный контроль», — отметил Волков.
С возросшим числом угроз, которые используются в реальных целенаправленных атаках, усилилась и исследовательская деятельность, посвящённая поиску уязвимостей в BIOS/UEFI. Но несмотря на то, что и исследования, и разработка реальных эксплойтов — достаточно трудоёмкие и дорогие процессы, эксперты предполагают, что в будущем всё может измениться. А это, несомненно, повлечёт несколько иной подход к кибербезопасности.