Эльман Бейбутов. Как хакеры стали эффективными менеджерами

Способы проведения хакерских атак и схемы их монетизации за последние несколько лет сильно изменились: хакеры-одиночки никуда не делись, но ключевой тренд в этой среде сейчас — краудсорсинг, а современный киберпреступник — это эффективный менеджер. Это человек, который определяет схему атаки, нанимает исполнителей, выбирает подходящие решения от различных поставщиков и сервис-провайдеров киберподполья. Он тратит деньги с умом и платит только тем, кто заслуживает доверия и имеет подтверждённые компетенции.

Переломным моментом стало появление первой организованной преступной группы, которая вышла на невиданные до этого уровни финансовых хищений, — группировки Carbanak. За несколько лет работы по всему миру её члены вывели порядка $1 млн из более чем 100 банков. Схема взлома, предложенная Carbanak, воспроизводилась в различных вариациях другими группировками.

Сегодня известны десятки хакерских групп, действовавших в разные годы (некоторые активны до сих пор). Их чаще всего называют именами троянов или модулей управления вирусами, которые они используют: Fibbit, Carberp, Anunak, Corkow, Buhtrap, Lurk и другие.

Структура теневого рынка киберуслуг

Рынок товаров и услуг, обслуживающий интересы хакеров на каждом этапе атаки, уже вполне сложился. Достаточно зайти через Tor-браузер на новостной агрегатор, такой как deepdotweb.com, чтобы попасть на самые популярные форумы Даркнета — теневой части интернета (где есть немало русскоязычных площадок). После простой системы регистрации любой может получить доступ к разделам, где предлагаются товары и услуги — от популярных вроде продажи данных краденых банковских карт и организации DDoS-атаки до найма высококвалифицированных профессиональных blackhat-хакеров.

Масштабы индустрии впечатляют.

В Даркнете активно продаются готовые бизнес-досье на компании с их банковскими реквизитами, именами и контактными данными учредителей, генерального директора и бухгалтера. Полное досье стоит порядка 40 000 — 60 000 руб., справки по шаблону с информацией из общедоступных источников — от 500 руб. Для первичного знакомства с потенциальной жертвой этого достаточно: быстро и недорого злоумышленник может узнать информацию, скажем, сразу о 100 компаниях.

Распространены услуги траферов — хакеров, специализирующихся на создании бот-сетей, массовом распространении троянов и средств удалённого администрирования. Совсем недавно самым раскрученным из таких решений был набор Black Hole Exploit Kit, который сдавали в аренду за $500 в месяц. И хотя его разработчика Дмитрия Федотова отправили в колонию в 2016 году, похожих сервисов существует достаточно для того, чтобы трояны продолжали массовое распространение в интернете.

Разрабатываются и активно поддерживаются утилиты для эксплуатации уязвимостей пользовательских операционных систем и загрузки на них любого вредоносного ПО. Всего за $10 000 — 15 000 в месяц злоумышленник может получить эксплойт для уязвимости нулевого дня. В стоимость включено сопровождение эксплойта в круглосуточном режиме семь дней в неделю.

В Даркнете можно найти фрилансеров, готовых взяться за масштабные задачи: от социальной инженерии и поднятия фейковых почтовых и веб-серверов до разработки скриптов для реализации атаки непосредственно в инфраструктурах организаций. За безопасностью сделок по купле-продаже услуг следят гаранты — практически все участники киберподполья пользуются их услугами. Репутацию гарантов можно проверить, почитав отзывы других покупателей. Для тех, кто уже монетизировал атаку или собирается оплатить работу подпольщиков, предлагаются сервисы по конвертации электронных денег между различными платёжными системами и криптовалютой.

Как устроены современные кибератаки

Самих злоумышленников можно условно разделить на три группы. Первые массово потрошат карточки физических лиц. Для этого могут использоваться трояны под Android или отправка и перехват SMS с командами на перевод всех денег с карты, привязанной к телефонному номеру, на подконтрольные злоумышленникам счета. Вторые специализируются на юридических лицах. Они хорошо изучили работу бухгалтерских программ в части формирования платёжных поручений и умело подменяют реквизиты перед тем, как платёжки будут загружены в интернет-банк на исполнение. Третьи вышли на взлом инфраструктуры банков, платёжных систем или процессинговых центров (схема работы мало чем отличается от взлома юридических лиц) и выводят за одну атаку значительные суммы денег.

Процесс организации и проведения кибератаки состоит из нескольких этапов. Первый и основной: инициатору (или небольшой инициативной группе) необходимо придумать, как именно они буду похищать деньги, — разработать схему, не используемую другими киберпреступниками и не известную ни специалистам по информационной безопасности, ни правоохранительным органам. Например, те же Carberp специализировались на подмене реквизитов в рейсах платёжных поручений для АРМ КБР, отправляемых банками в ЦБ России. Группа Fibbit делает примерно то же самое, но на уровне «юридическое лицо — банк». Ещё свежи в памяти атаки «АТМ-реверс», когда с одной карточки можно было опустошить банкомат или обновить его прошивки и заставить по команде выдать все деньги.

Следующий этап — изучение схемы. Инициатор создаёт собственную команду для анализа приложений, форматов данных в системе управления базами данных организаций-жертв, их протоколов взаимодействия, структуры XML-файлов и тому подобного. Часто такую информацию можно найти в открытом доступе (например, она может содержаться в требованиях к подключению и работе бизнес-партнёров компании-жертвы). В очень редких случаях приходится прибегать к услугам инсайдеров или устраиваться на работу в ИТ-команду намеченной организации для глубокой разведки и поиска технологических уязвимостей.

Для реализации схемы кибератаки её инициатору не обязательно иметь в «штате» всех специалистов. Тем более что самостоятельное проведение всей операции займёт кучу времени. Проще воспользоваться профессиональными сервисами. Разработчики вирусов помогут встроить свой продукт в Word-документ в виде макроса, траферы — распространить вредоносную программу по инфраструктурам разных компаний, грамотные социальщики разошлют письма с вложением по фокус-группе. Получив доступ к рабочей станции или серверу организации-жертвы и залив на него средства удалённого администрирования (LiteManager, Ammy Admin, TeamViewer и тому подобные), инициативная группа переходит к ключевой фазе — собственно кибератаке.

Для вывода похищенных денег обычно заранее приобретаются услуги кардселлеров и дроперов (зачастую их оказывает один и тот же поставщик). Кардселлеры обеспечивают выпуск банковских карт уровня Gold для вывода через них краденых денег. Их рассылают по дроперам (во главе которых стоят сервис-менеджеры) в различные уголки России. Когда для вывода денег всё готово, инициативная группа в считаные часы проводит атаку, а спустя некоторое время дроперы видят пополнение баланса и тут же снимают наличные. Конечно, вместе с услугами кардселлеров вся сеть дроперов может обойтись злоумышленнику в 50% украденного, но такова плата за риски, которые они берут на себя. Когда мы слышим о задержаниях мошенников, обналичивающих переведённые незаконным способом деньги, речь часто идёт именно о дроперах.

Как защититься

Как противостоять такому уровню организации атак? Нужно принимать соответствующие контрмеры: повышать осведомлённость пользователей, запрещать запускать макросы, помещать в карантин зашифрованные пароли с исполняемыми файлами, регулярно проводить заказные тесты на проникновение, чтобы держать в тонусе коллектив. На этапах проникновения в сеть и разведки в инфраструктуре нужен мониторинг инцидентов и детектирование атаки на ранних стадиях по наличию индикаторов компрометации (IoC) на сетевом и хостовом уровнях.

Руководитель службы информационной безопасности должен быть подготовлен не хуже, чем те, кто расположен по ту сторону баррикад. Необходимо держать штат собственных специалистов под операционные задачи, нанимать профессионалов со стороны для разовых мероприятий (реверс-инжиниринга, технического аудита сети и бизнес-процессов) и организовывать работу сервис-провайдеров для оперативного и эффективного выполнения аналитических ёмких задач, таких как мониторинг и реагирование на инциденты, контроль защищённости, feed-агрегация информации об угрозах от различных лабораторий и центров реагирования на компьютерные инциденты.