Заказчиками хакерских атак все чаще выступают государства
Компьютерные напасти парализуют работу многих компаний, порой охватывают целые страны. В СМИ называют это эпидемиями. На деле под общим названием скрывается множество вредоносных программ.
Самые распространенные типы: вирусы, черви, трояны, боты, бэкдоры, шифровальщики, программы-шпионы и рекламное ПО. Одни способны лишь слегка нервировать пользователя, другие крадут конфиденциальную информацию, деньги, уничтожают данные, повреждают или разрушают системы и оборудование.
Семь непрошеных гостей
Компьютерный вирус – разновидность вредоносного ПО, которое способно размножаться, создавая копии самого себя, а также внедряться в коды других программ, в разделы системной памяти, загрузочные секторы. Обычные симптомы – нарушение функционирования программ, блокировка доступа пользователей, уничтоженные файлы, нерабочее состояние различных компонентов компьютеров.
“За ExPetr и Bad Rabbit стоит одна и та же кибергруппировка, она готовила "Плохого кролика" к атаке как минимум с июля”
Черви по функционалу похожи на вирусы, но в отличие от них являются автономными, не требуют программы-хозяина или помощи человека, чтобы размножаться. Это весьма опасный класс вредоносного ПО, поскольку для их распространения и заражения новых компьютеров необязателен запуск пользователем файлов-носителей. Червь имеет возможность распространять свои копии по локальной сети, по электронной почте и т. п.
Троян назван в честь небезызвестного коня. Сразу понятно, что это ПО вводит пользователя в заблуждение. Кажется, что запускаешь легальное приложение или видеофайл, а на самом деле активируется вредоносная программа. Очень часто на компьютеры доверчивых граждан трояны попадают из Интернета или электронной почты.
Бот – сокращение от робот. Это автоматизированный процесс, взаимодействующий с различными сетевыми службами. Боты часто берут на себя операции, которые могли бы выполняться человеком, например искать новые сайты или рассказывать анекдоты в мессенджере. Могут использоваться как в благих, так и в плохих целях. Пример вредоносных действий – когда сеть ботов (ботнет) распространяет вирусы и заражает компьютеры. Таким образом злоумышленник получает возможность использовать в своих целях множество машин.
Еще одна разновидность вредоносных программ – эксплойты. Они нацелены на взлом конкретной уязвимости. Эксплойты тоже не всегда используются во вред. Иногда их применяют, чтобы продемонстрировать наличие уязвимости.
Бэкдор в переводе с английского – задняя дверь или черный ход. Это недокументированный путь доступа к системе, позволяющий злоумышленнику проникнуть в операционку и получить управление над компьютером. Как правило, злоумышленники используют бэкдоры для более удобного и постоянного доступа к взломанной системе. Через этот черный ход закачивается новое вредоносное ПО, вирусы и черви.
Программы-шифровальщики или вымогатели – вредоносное ПО, которое вносит несанкционированные изменения в пользовательские данные или блокирует нормальную работу компьютера. За расшифровку и разблокировку злоумышленники обычно требуют выкуп.
Кролик – это не только мясо
Помимо использования вредоносного ПО, есть и другие способы нарушить работоспособность компьютеров и сетей. Сегодня наиболее популярны DoS- и DDoS-атаки, позволяющие довести до отказа почти любую систему, не оставляя при этом улик. Аббревиатуры DoS и DDoS раскрываются как Denial of Service, то есть отказ в обслуживании, и Distributed Denial of Service – распределенная атака типа "отказ в обслуживании". Последняя выполняется с большого числа компьютеров. Цель – создать условия (например множественными запросами к сайту или серверу), когда пользователи не могут получить доступ к этим ресурсам. Результаты такой атаки – простой предприятия, а значит, экономические и репутационные потери.
Самые заметные кибератаки последних месяцев были вызваны вирусами-шифровальщиками WannaCry, ExPetr и Bad Rabbit. Эти три волны затронули десятки тысяч пользователей. Больше всего инцидентов с вирусом ExPetr было зафиксировано в России и на Украине, случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и других странах. Под удар вымогателя Bad Rabbit попали компании России, Украины, Турции и Германии. Зловред распространялся через зараженные сайты российских СМИ. Все признаки указывают на то, что это была целенаправленная атака на корпоративные сети. Предположительно от этого шифровальщика пострадали несколько российских медиа. О хакерской атаке, возможно, связанной с тем же Bad Rabbit, сообщает аэропорт Одессы. За расшифровку файлов злоумышленники требуют 0,05 биткойна, что по современному курсу эквивалентно примерно 283 долларам или 15 700 рублям.
Проанализировав ситуацию, эксперты Лаборатории Касперского пришли к выводу, что за ExPetr и Bad Rabbit стоит одна и та же кибергруппировка и она готовила "Плохого кролика" к атаке как минимум с июля этого года.
У злоумышленников особый интерес к финансовой сфере. К примеру, банки чаще других учреждений сталкиваются с DDoS-атаками. Известны результаты исследования киберугроз, влияющих на работу этого сектора. В 2016 году подобные инциденты зафиксированы в каждом четвертом банке. Для финансовых организаций в целом этот показатель составил 22 процента. Более половины (52 процента) пострадавших столкнулись с недоступностью или ухудшением качества работы публичных веб-сервисов на продолжительное время – от нескольких часов до нескольких дней. И как минимум в 43 процентах случаев DDoS-атака использовалась как маскировка при проведении других вредоносных операций. Целью подобных атак чаще всего становятся банковские сайты – они были затронуты в половине зафиксированных случаев. Однако это не единственное уязвимое место. Почти такое же количество респондентов (48 процентов) подверглись DDoS-атакам на интернет-банкинг и онлайн-сервисы. В банковском секторе репутация критически важна, и она неразрывно связана с безопасностью. Если онлайн-сервисы становятся недоступны, это подрывает доверие клиентов.
На финансовые организации России и некоторых других стран продолжается целевая атака, получившая за свою незаметность и скрытность название Silence ("Тишина"). Первая волна была зафиксирована еще в июле. Злоумышленники пользуются известной, но по-прежнему очень эффективной техникой. Источник заражения – фишинговые письма с вредоносными вложениями. Фишинг (от английского fishing – рыбная ловля, выуживание) – вид интернет-мошенничества, цель которого – получение доступа к конфиденциальным данным пользователей: логинам и паролям. Для этого осуществляется массовая рассылка электронных писем от имени популярных компаний или банков. Послания содержат вредоносные вложения, которые запускают целую цепочку событий. Открыв такое письмо, пользователь заражает компьютер троянскими программами, которые собирают нужную информацию и отправляют ее мошенникам.
Пока без жертв
Кто стоит за созданием и распространение вредоносных программ, какие цели преследуют эти люди? По мнению Юрия Наместникова, руководителя российского исследовательского центра Лаборатории Касперского, сейчас рост киберпреступности не столь значителен, каким он был в 2007–2010 годах. В тот период количество создаваемых вредоносных программ росло по экспоненте, в сотни и тысячи раз превышая показатели предыдущих лет. В последнее время кривая роста вышла на "плато", уже три года цифры стабильны. Однако наблюдается несколько интересных процессов, которые в сумме и дают ощущение большего размаха действий хакеров.
Значительно увеличилось количество атак, где заказчиком выступает государство. Сегодня многие страны имеют специальные группы хакеров для проведения шпионских киберопераций. Любой инцидент, связанный с деятельностью подобных групп, получает значительное освещение в СМИ, а то и выходит на уровень дипломатических обсуждений.
Традиционная киберпреступность, отмечает Наместников, также эволюционирует в двух направлениях: проводятся очень сложные атаки против крупных компаний (многочисленные взломы баз данных) и финансовых институтов (хищения денег непосредственно из банков, а не у их клиентов), сохраняется активность с целью вымогательства (программы-шифровальщики, DDoS-атаки). Для последнего не требуется наличия специальных знаний, это по силам даже малоквалифицированным преступникам. Но хакеры-одиночки сегодня стали редкостью, за крупными атаками почти всегда стоят хорошо организованные криминальные структуры.
"Сейчас киберпреступность распределена, она устроена на уровне сервисов и свободного общения. Есть деньги – можно заказать все, – полагает Вячеслав Медведев, ведущий аналитик отдела развития компании "Доктор Веб". – Международный уровень организации киберпреступности обеспечивается легко, так как члены одной группы могут жить в самых разных странах (в том числе недружественных), серверы арендуются в третьих странах, а заказы принимаются из четвертых".
Андрей Янкин, заместитель директора Центра информационной безопасности компании "Инфосистемы Джет", считает, что хакеры-одиночки остались, но погоду делает киберкриминал – теневая экономика, связанная с торговлей вредоносным ПО и смежных сервисов. С ними в контакте работают подставные лица, готовые уводить деньги, есть подпольные колл-центры, которые звонят потенциальным жертвам от имени банков, создана цепочка разработки вредоносного ПО: одни ищут уязвимости, другие пишут программы, третьи ими торгуют, четвертые занимаются поддержкой, пятые воруют деньги, шестые обеспечивают их вывод, обналичку и отмывание. При этом участники цепочки не знают друг друга, а значит, всю шайку накрыть сложно.
Интересный, но и самый спорный вопрос, каковы доходы киберпреступников. Их, по оценкам специалистов Сбербанка, в прошлом году насчитывалось в мире порядка 40 миллионов. Число совершенных ими преступлений составило почти 600 миллионов. "Финансовый ущерб подсчитать невозможно, потому что трудно установить хотя бы точное количество жертв, – поясняет Юрий Наместников. – Но сколько они "заработали" на атаках WannaCry и ExPetr, в принципе известно. Злоумышленники использовали ограниченное количество "кошельков". В силу открытости bitcoin-экосистемы любой желающий может увидеть суммы, переведенные в качестве выкупа. В случае c WannaCry это порядка 150 тысяч долларов, c ExPetr – 25 тысяч. Суммы скромные, особенно если сравнивать с теми, которые получают киберпреступники, осуществляющие целевые атаки на банки. Там счет идет на десятки миллионов долларов (за одну атаку). Это лишний раз доказывает, что основная задача WannaCry, ExPetr и Bad Rabbit не зарабатывание денег, а остановка бизнес-процессов компаний".
"Если говорить о статистике, то, по данным Центробанка, в 2016 году со счетов банков в РФ было выведено более двух миллиардов рублей, юридические лица потеряли около того, физические – чуть более миллиарда, – свидетельствует Андрей Янкин. – И это только вершина айсберга. ЦБ отчитывается об инцидентах, о которых становится известно. Но банки и юридические лица часто просто молчат, чтобы не оказаться в центре скандала".
Огромный ущерб еще полбеды. Вячеслав Медведев подчеркивает, что до сих пор атаки, к счастью, обходились без человеческих жертв. Но что нас ждет в будущем? Атаки на больницы и критически важные системы – это тренд времени, равно как и на встроенные и "умные" устройства.
Как обезопасить себя от действий киберпреступников? Каким правилам следовать, какие средства защиты использовать? Общие рекомендации, по словам Андрея Янкина, просты. Надо как минимум не пренебрегать базовыми принципами: регулярно обновлять ПО, использовать межсетевые экраны, антивирусы, минимизировать и разграничивать права пользователей. "Правило 80/20 здесь хорошо работает. 20 процентов мер позволяет отсечь 80 процентов угроз", – утверждает эксперт.
"Ландшафт угроз и атаки становятся все более сложными. Особую тревогу вызывает то, что преступники все чаще выбирают мишенью объекты критической инфраструктуры, в частности нефтеперерабатывающие заводы и газопроводы. Мы видим акцент на целевые атаки. Современные средства защиты направлены на предотвращение заражения, и если оно произошло, неспособны обнаруживать его в динамике. В целом движение идет в сторону специализированной комплексной защиты, включающей технологии искусственного интеллекта и машинного обучения. Именно это направление будет активно развиваться в ближайшее время", – подытоживает Юрий Наместников.
Вирус против атома
Различные виды шпионажа (экономический, промышленный, военный, политический и т. д.), целевые атаки на предприятия, транспорт, системы управления технологическими процессами и критически важные элементы инфраструктуры (диверсии, если называть вещи своими именами) – сфера интересов уже не столько киберпреступников, цель которых – деньги, сколько государств. Парадокс нашей цивилизации заключается в том, что достижения науки и новейшие технологии сразу же начинают применяться отнюдь не в благих целях. ИТ не исключение. Набрав силу, они превратились в опаснейшее оружие – относительно недорогое, скрытное, но очень разрушительное. Как-то само собой получилось, что ракетно-ядерная эпоха уже вчерашний день. Настала эра кибернетических операций, диверсий и даже войн.
Это не фигура речи. Во всех развитых государствах уже несколько лет официально существуют кибервойска. Особенно преуспели в строительстве нового вида вооруженных сил США, Китай, Великобритания, Южная Корея, Германия, Франция и Израиль. Численность киберподразделений в разных странах составляет от нескольких сот до десятков тысяч человек. Объем финансирования исчисляется сотнями миллионов долларов, а наиболее продвинутые и богатые государства тратят миллиарды. И Россия, по мнению экспертов, находится здесь на передовых рубежах. В рейтинге кибервойск нам отводят пятое место.
По понятным причинам сводки с полей кибервойн не становятся достоянием гласности. Но иногда информацию скрыть невозможно. Самый яркий пример – атака на иранские ядерные объекты с помощью Stuxnet. Этот компьютерный червь поразил 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе, а также сорвал сроки запуска АЭС в Бушере. По оценкам специалистов, иранская ядерная программа была отброшена назад на два года. Эксперты утверждают, что Stuxnet по эффективности оказался сравним с полноценной военной операцией, но без человеческих жертв.
Код вируса состоит более чем из 15 тысяч строк, его сложность беспрецедентна, и это говорит о том, что создание Stuxnet – дело рук большого коллектива разработчиков. Содержать такую команду могут только развитые и богатые страны. Чтобы разработать и довести до "боевого" состояния подобный продукт, команда из 6–10 программистов должна трудиться 6–9 месяцев. Стоимость проекта оценивается в три миллиона долларов.
После инцидента западные СМИ писали, что Stuxnet – совместная разработка США и Израиля, вирус предварительно испытывался в ядерном центре в Димоне. Виновным в заражении иранских объектов назначили сотрудника компании Siemens, который якобы вставил в рабочую станцию инфицированную флэшку. Но есть и другая информация: агентов было несколько и каждый внедрил в иранскую систему лишь часть кода, а затем червь собрал себя воедино и сделал свою работу.
Эти неприятности случились в Иране в далеком 2010-м. Как знать, на что способны кибервойска в наши дни.
Справка "Военно-промышленного курьера"
В рейтинге Международного союза электросвязи (МСЭ) по индексу кибербезопасности Россия заняла десятое место, на один пункт опередив такие технологически развитые страны, как Япония и Норвегия. В первую тройку вошли Сингапур, США и Малайзия.
По данным МСЭ, Россия опережает и других мировых лидеров в сфере информационно-коммуникационных технологий. Так, Великобритания согласно рейтингу заняла 12-е место, Южная Корея – 13-е, Финляндия – 16-е, Германия – 24-е, Италия – 31-е. Всего в исследовании приняли участие 193 страны.
Информационная безопасность – частью подготовленной Министерством связи и массовых коммуникаций программы "Цифровая экономика Российской Федерации" (принята распоряжением правительства РФ №1632-р от 28 июля 2017 года).
Мониторинг
По данным распределенной антивирусной сети Kaspersky Security Network (KSN), решения Лаборатории Касперского за первые шесть месяцев 2017 года отразили 822 094 340 атак (более 4,5 миллиона в день), которые проводились с интернет-ресурсов, размещенных в 191 стране. Зафиксировано 112 216 558 миллионов уникальных интернет-адресов, на которых происходило срабатывание веб-антивируса. Попытки запуска вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам отражены на машинах 512 675 пользователей. Атаки шифровальщиков – на 487 474 компьютерах. Файловым антивирусом Лаборатории Касперского зафиксирован почти 361 триллион вредоносных и потенциально нежелательных объектов. Продуктами для защиты мобильных устройств было обнаружено 2 652 753 вредоносных установочных пакета, 61 014 мобильных банковских троянцев и т. п.
Константин Геращенко
Опубликовано в газете Военно-промышленный курьер в выпуске № 43 (707) за 8 ноября 2017 года