В конце 2019 года эксперты в области информационной безопасности из Group-IB объявили «конец эры стабильности киберпространства». По их мнению, выжить сейчас в сети — дело крайне тяжелое. Бесконечные межгосударственные войны в виртуальном мире, происки хитрых независимых хакеров-анархистов, мечтающих захватить все ради шутки или выгоды, мелкий и крупный шпионаж и великие ограбления, — все это происходит каждый день фактически без перерывов и грозит лишить все человечество привычной жизни. Редактор «Ленты.ру» разобралась, каких проблем нам стоит опасаться и почему множество молодых киберпреступников подняли головы именно сейчас.
Социальный лифт
В 2019 году, забросив вирусные программы и фишинговые атаки, преступники принялись использовать для заработка приемы социальной инженерии. Связываясь с жертвой, злоумышленники вводят ее в заблуждение и выманивают банковские реквизиты и пароли. Нередко они даже напрямую просят сделать денежный перевод. Инструментов у них немало: известны случаи обмана через СМС-сообщения, соцсети, телефонные вызовы. Дополнительной новой тенденцией стала установка механизма удаленного управления: грабители уговаривают загрузить на телефон определенную программу и запустить ее, и через нее полностью захватывают мобильное устройство.
Типичное мошенничество такого рода выглядит следующим образом: жертве звонит преступник, представляющийся сотрудником банка. По его словам, деньги пользователя в опасности: его личный кабинет только что попытались взломать, со счета выводились средства. Служба безопасности готова спасти ситуацию при небольшом содействии самого клиента банка: к примеру, ему следует установить программу удаленного управления. После этого мошенник сам получает доступ к приложениям и выводит деньги со счета. Как правило, преступники звонят с «номеров банков», используя особые программы для изменения телефона, а также сообщают жертве некоторую персональную информацию, чтобы втереться в доверие, — такие данные можно легко купить в сети.
Эксперты уверены, что этот популярный вид мошенничества в ближайшем будущем останется наиболее распространенным. По их словам, это связано с тем, что такой заработок стал наиболее выгодным для преступников — минимальные затраты при максимальном «доходе». При этом подозрительную активность в системах готовы отслеживать только крупные банки, что развязывает руки злоумышленникам.
Фактор заражения
Уходящий год продемонстрировал, что банковские вирусы отживают свой золотой век: за последние полтора года семь троянов для компьютеров вышли из употребления, а русскоязычные хакеры не создали новых. Старые бот-сети также больше не расширяются. Среди угроз в этой области остались группировка RTM, которая похищает деньги через такие вирусы, и объединение Grim Spider, которое использует в «работе» модифицированный троян Trickbot (после тщательного исследования сети они заражают ее шифровальщиком Ryuk и требуют большой выкуп).
Вирусы для гаджетов на Android также со временем выходят из строя: так, за 2019 год 15 программ стали невостребованными. Но при этом появилось несколько новых: если раньше хакеры чаще использовали поддельные окна для ввода банковских данных и перехватывали подтверждающие СМС-сообщения, то теперь у них появилось иное оружие. Опасный троян способен красть средства через банковские приложения, незаметно проникая в них на зараженном устройстве. После этого деньги жертвы автоматически переправляются на счета преступников. Впервые активность такого вируса была зафиксирована весной текущего года, однако, к счастью, атака не стала массовой. Помимо этого, на рынке появились вирусы, крадущие push-уведомления с кодами от банков. Отмечается, что несколько очень «продвинутых» вирусов сейчас сдаются в аренду — за обладание доступом злоумышленники должны заплатить от 800 до двух тысяч долларов.
Специалисты в области кибербезопасности заявляют, что главными угрозами в будущем для банковских клиентов останутся фишинговые рассылки — не только по почте, но и через СМС, а также мошенничество с «дистанционной помощью» — когда злоумышленники либо выманивают под благовидным предлогом данные карт, либо просят оплату за некие «дополнительные» услуги, которые они якобы оказали жертве (удаленная очистка устройства от вирусов, проверки безопасности и другое).
Еще одна «перспективная» преступная область — JavaScript-снифферы, которые захватывают данные банковских карт прямо в окнах оплаты различных онлайн-магазинов. Преступникам достаточно заразить такой сайт, чтобы необходимые данные сами пришли к ним в руки. Именно за счет таких снифферов, перехватывающих трафик, рынок кардинга вырос почти вдвое. Продажа карт (то есть связки номера, срока действия и кода CVV или же целого дампа) — одно из наиболее распространенных преступлений хакеров. За текстовые данные можно выручить до 14 долларов, за дамп — 22.
Русские за границей
Наиболее активными в преступном мире остаются крупные хакерские группировки. Всего их пять, и три из них, по данным экспертов, русскоязычные — это Silence, Cobalt и MoneyTaker. Еще одна — известное объединение Lazarus, которое нередко связывают с правительством КНДР. Новым важным игроком стала кенийская группа SilentCards. Наибольший интерес у этих объединений вызывают иностранные банки, так как большинство их атак нацелены на банальное обогащение: преступники из Silence атаковали финансовые организации через банкоматы и карточный процессинг, а Lazarus дважды успешно совершили атаку на банки через систему SWIFT и заработали таким образом 16 миллионов долларов.
Предполагается, что русскоязычные группировки в ближайшее время продолжат свои атаки за рубежом. В случае успешных краж они будут выводить приобретенные средства через заражение банкоматов вирусами и атаки на карточный процессинг. Чтобы скрыть следы своего присутствия в системе, скорее всего будут выводить из строя всю инфраструктуру банка. Lazarus, вероятно, продолжит работать со SWIFT и ATM Switch, потому что уже имеет положительный опыт подобных атак. Что касается объединения SilentCards — то пока сфера их интересов ограничивается африканскими банками. Возможно, они «расширят» свою деятельность шифровальными программами.
В 2019 году также появилась новая группировка, которую назвали RedCurl. Преступников из этого объединения интересует не только нажива, но и ценная информация — к примеру, они нередко крадут документы у крупных компаний. Отмечается, что эти хакеры неплохо подкованы — они используют в работе самодельную вредоносную программу, которую достаточно сложно отследить — она передает данные на сервер по легитимным каналам.
Большая война
В мире, пережившем эпидемию вирусов-шифровальщиков, многочисленные атаки и проблемы со «встроенными» уязвимостями, наступила новая эра — эпоха открытой кибервойны. Киберпреступники уже давно не в андеграунде: сейчас в сети активно работает 38 проправительственных хакерских группировок, и за последний год появилось семь новых. При этом публично об их активности фактически никто не говорит: хакеры из развитых стран отлично скрываются и не оставляют следов.
Кибератаки стали частью большой политики: законы не запрещают применять реальное оружие в качестве ответа на виртуальное нападение, и эта ситуация кажется действительно опасной. Так, в мае 2019 года израильская армия нанесла авиаудар по штабу палестинской группировки ХАМАС в секторе Газа. Именно там, по их данным, находились хакеры, которые планировали взлом важных государственных систем. Эта ситуация стала исключительной, но многие эксперты тогда заявили, что данный инцидент полностью меняет принципы ведения войн. Некоторые главы государств не исключают кибератаки на военные системы противников, — то есть открыто предполагают военную операцию на территориях других стран.
В июне США провели атаку на иранские ракетные системы — это стало ответом на сбитый стражами Исламской революции (элитное военно-политическое формирование в Иране) беспилотник. Предполагается, что системы Ирана уже были уязвимы, и в нужный момент американцы просто воспользовались скомпрометированной системой, — так как очевидно, что на такую сложную кибероперацию требуется не одна неделя и даже не месяц.
Бытует мнение, что важные структуры большинства стран уже давно уязвимы, так как были тайно взломаны. Однако до «нужной» ситуации никто об этом не узнает, — брешь в системе может стать главным оружием в противостоянии с другим государством. Также широко известен случай тотального отключения электроэнергии в Венесуэле, который, по данным местного правительства, произошел в результате кибератаки на системы гидроэлектростанции «Гури». Работа ГЭС была остановлена в ответ на взлом. 22 штата из 23 оставались без электричества в течение нескольких дней. Это еще один случай, когда кибератаки стали поводом для обсуждения на высшем уровне.
В последние полтора года различные киберпреступники провели атаки фактически на все уровни инфраструктуры. Особое внимание они уделили интернет-сфере: атаки на DNS-сервера, а также на регистраторов доменных имен, на локальные системы блокировки и фильтрации трафика, манипуляция маршрутами сети. Эксперты из Group-IB утверждают, что стабильная работа интернета в некоторых странах окажется в серьезной опасности.
Будет хуже
Внедрение высоких технологий откроет для хакеров новые возможности. Отмечается, что новые угрозы, к примеру, может вызвать ввод в эксплуатацию сетей 5G: особенности архитектуры этого проекта способны создавать новые типы атак. Сейчас наиболее уязвимой частью телекоммуникационной отрасли считаются роутеры. Преступники могут атаковать различные объекты, используя инфраструктуру самого оператора.
Сложная технология, стандарт которой планируется ввести к 2021 году, уже сейчас считается достаточно уязвимой: исследователи в последнее время опубликовали несколько работ на эту тему — выяснилось, что атакующие могут перехватить телефонные звонки жертвы, отследить ее или даже проводить специфические атаки на устройство.
Повсеместное использование 5G, во-первых, увеличит шансы на успех различных DDoS-атак или распространения опасного программного обеспечения. Мощность DDoS-нападений и их частота многократно возрастут, а вирусы будут разлетаться по миру масштабнее и быстрее. Во-вторых, проблемы с защитой сетей станут полем борьбы для конкурентов: чтобы производитель платформ стал успешен, ему достаточно провести атаку на конкурента или же просто обнаружить в его продукте уязвимость.
Появляющиеся каждый день новые угрозы действительно пугают своими масштабами. Хакеры становятся страшнее и сильнее, государства усиливаются новыми киберотрядами, а обычные пользователи на каждом шагу пытаются избежать новых атак на свои данные и кошельки. «Конец эры стабильности киберпространства», вероятно, отразится на каждом пользователе и потребует от него большой осторожности и осведомленности о происходящем в сети.