Кибердетектив Сачков: «Жертвой ИГИЛ может стать любая компания»
Как действуют хакеры-террористыБоевики ИГИЛ (запрещённая в России террористическая организация) часто пользуются новыми технологиями: активно общаются в социальных сетях и мессенджерах, занимаются пропагандой в интернете и вербуют новых бойцов. Кроме того, в рядах ИГИЛ есть хакеры, которые атакуют врагов халифата — например, недавно боевики разместили угрозы на стартовой странице Wi-Fi московского метро. Владелец крупнейшего в России кибердетективного агентства Group-IB Илья Сачков рассказал «Секрету», как его компания борется с ИГИЛ в интернете, какие методы применяют террористы и как от них защититься.
Боевики ИГИЛ (запрещённая в России террористическая организация) часто пользуются новыми технологиями: активно общаются в социальных сетях и мессенджерах, занимаются пропагандой в интернете и вербуют новых бойцов. Кроме того, в рядах ИГИЛ есть хакеры, которые атакуют врагов халифата — например, недавно боевики разместили угрозы на стартовой странице Wi-Fi московского метро. Владелец крупнейшего в России кибердетективного агентства Group-IB Илья Сачков рассказал «Секрету», как его компания борется с ИГИЛ в интернете, какие методы применяют террористы и как от них защититься.
Мы защищаем наших клиентов от действий кибертеррористов, большая часть из которых сейчас связана с ИГИЛ. Наши клиенты — банки, коммерческие компании, министерства или, например, объекты критической инфраструктуры (водоканалы, энергостанции и так далее). Они понимают, что из-за компьютерного преступления, особенного вызванного агрессивной деятельностью фанатиков, компания может потерять деньги или приостановить свою работу.
В мире направление, которым занимается Group-IB, называется cyber intelligence. Оно позволяет на этапе подготовки к расследованию преступления узнать, какими методами пользуется злоумышленник. На русский язык cyber intelligence переводят как киберразведка, что многих людей пугает и вводит в заблуждение. На самом деле всё просто — мы занимаемся кибераналитикой. Лидеры в этом направлении — израильтяне, англичане, американцы, ну и, к счастью, мы.
Как работают хакеры ИГИЛ
Обычно кибердружины ИГИЛ находят неизвестную уязвимость и взламывают максимальное количество сайтов компаний, которые ей подвержены, абсолютно без разбора. Единственное условие — они должны быть из тех стран, которых они считают потенциальными врагами.
Действия ИГИЛ отличаются от деятельности обычных хакеров. В последние несколько лет компьютерная преступность в основном была связана с кражей денег или информации, которую можно конвертировать в деньги. На этом строились стратегии защиты многих компаний, государств, ведомств.
Но ИГИЛ поменял правила игры. У них нет цели воровать деньги или информацию. Они хотят вызвать панику, нарушить работу инфраструктуры, пропагандировать свои идеи и губить людей. Это совершенно другой вектор атаки.
Фотография: SeongJoon Cho/Bloomberg via Getty Images
В этом году мы провели исследование и выяснили, что с лета 2014 года по середину 2015 года хакеры ИГИЛ взломали сайты примерно 600 российских компаний и организаций. Среди пострадавших были школы, маленькая фирма, которая продаёт биопродукты через интернет, салон сотовой связи, автосервис и банк. Большинство считает, что сайт их компании не могут использовать, чтобы размещать призывы к халифату или главенству какой-то веры в стране. Но жертвой ИГИЛа может стать любая компания.
Самый популярный тип атаки хакеров ИГИЛ — взлом сайта, так называемый defacement. Также популярны DDoS-атаки и распространение деструктивных вирусов. Среди них есть опытные специалисты, у которы хватит квалификации, чтобы изменить настройки промышленных систем, но чаще всего ИГИЛ использует простые методы. 90% киберпреступников ИГИЛ — это начинающие хакеры. Они только учатся и используют простые инструменты. Если бы компании, которые взламывали, знали об этих методах, они легко могли бы себя защитить. Иногда для этого нужно просто поставить обновление.
Как бороться с кибертеррористами
Наша задача — предугадать заранее деятельность кибертеррористов. Мы пишем алгоритмы, которые отслеживают деятельность различных групп, связанных с кибертеррористами. Так мы можем понять, какими инструментами они пользуются, к каким атакам готовятся, какие секторы экономики их интересуют. Кроме того, мы анализируем уровень подготовленности каждой группы.
Наша команда состоит из аналитиков, которые стараются понять, какими инструментами обладают кибертеррористы, исследуя совершённые атаки. Вторая часть людей — это специалисты, которые могут определять почерк группы, исходя из результатов криминалистических исследований, либо аналитики проведённых атак в интернете. Ещё у нас есть разработчики, которые используют данные, полученные от аналитиков и сотрудников отдела расследований, пишут поисковые системы или системы проверки систем безопасности, чтобы выявлять действия, характерные для преступных группировок. Также в Group-IB работают люди, которые отслеживают нашу поисковую систему и в случае обнаружения индикативных признаков сообщают нашим заказчикам.
Важно понимать, что мы не спецслужбы и не правоохранительные органы. Их деятельность направлена на поиск террористов, идентификацию их личности и преследование их в соответствии с законом. Мы должны защитить наших клиентов от готовящихся атак в режиме реального времени. При этом мы делимся с МВД и ФСБ информацией, которая позволит этих людей преследовать по закону, особенно если они оказались в юрисдикции тех стран, которые борются с ИГИЛ.
Как нельзя бороться с ИГИЛ
Хакеры из группировки «Анонимус», которые объявили, что они борются с террористами, на самом деле не помогают нам, а наоборот, только провоцируют радикалов. «Анонимус» идентифицировали некоторых боевиков ИГИЛ и выложили данные в интернет. Размещение персональной информации онлайн без дальнейшего юридического сопровождения не имеет никакого смысла, а если человек увидел своё имя, то он, естественно, пытается стереть следы своей деятельности. Удаление аккаунтов не прекращает деятельность группы, потому что зарегистрировать новый аккаунт в твиттере очень легко. Заявления «Анонимус» — просто пиаракция, которая ни к чему не приводит, кроме усложнения расследований спецслужб.
Отключение Telegram тоже не может спасти от террористов. В этом случае я полностью согласен с Павлом Дуровым, который в ответ на инициативу депутатов запретить сервис предложил запретить слова. Мы не должны в XXI веке бороться с технологиями. Кроме Telegram существует ещё 500 различных мессенджеров, позволяющих обмениваться зашифрованными сообщениями. Пользы от технологий значительно больше, чем вреда. Я уверен, что, если мы говорим о профессиональных террористах, большую часть информации они всё равно передают через личные встречи или одноразовые шифры.
Самый эффективный способ борьбы с угрозой — это её идентификация и преследование злоумышленников по закону. Если мы будем делать вид, что удаление аккаунтов в соцсетях заставит террористов прекратить свою деятельность, мы себя обманываем. Заниматься проблемой должны сотрудники спецслужб.
Текст подготовила Анна Савина
Фотография на обложке: Ed Giles / Getty Images