Пользователи интернет-банков могут больше не беспокоиться за проведение финансовых операций с использованием компьютеров: атаки на физических лиц ушли в прошлое. Согласно статистике, которую компания Group IB представила на Cyber Crime Con (конференции по киберпреступности) в Москве 9 октября, такой вид мошенничества сократился на 100%, то есть полностью исчез с российского поля киберпреступности. Group IB — международная компания, специализирующаяся на киберзащите. Согласно ее данным, снизилось также число атак с целью хищения финансовых средств на пользователей андроид-устройств (на 77%), количество грабежей через корпоративные компьютеры (на 12%) и число таргетированных атак на банки при помощи компьютеров (на 20%). Однако на этом фоне выросли масштабы преступности другого рода.
Уязвимое место
Данные Group IB подтверждают и специалисты из «Лаборатории Касперского»: «Действительно, троянов на ПК, ворующих доступ к онлайн банкингу для физических лиц, сейчас нет. Иногда встречаются атаки на владельцев электронных кошельков и пользователей онлайн крипто-бирж. Преступники в нашем регионе в основном атакуют юридических лиц, либо пользователей мобильных приложений. Например, в этом году несколько раз атаковали крупные новостные ресурсы с целью заражения как раз бухгалтерских компьютеров».
Помимо уязвимостей в мобильных банках, хакеры по-прежнему воруют деньги через систему межбанковских переводов SWIFT и с банковских карт (кардинг). Наиболее активными и опасными для банков во всем мире являются группировки Cobalt, MoneyTaker, северокорейская группа Lazarus. В 2018 году была раскрыта новая хакерская группа — Silence. Злоумышленники из этих групп способны взломать банк, добраться до изолированных финансовых систем и вывести деньги. Cobalt по-прежнему остается одной из самых активных и агрессивных группировок, стабильно 2-3 раза в месяц атакуя финансовые организации в России и за рубежом.
В среднем каждый месяц в России киберпреступники успешно атакуют 1-2 банка; средний ущерб от атаки — 132 млн рублей ($2 млн). Таким образом, за прошедший год (со второго квартала 2017 года) по статистике Group IB через электронные системы банков было похищено 1,3 млрд рублей.
Три группы из этих четырех русскоговорящие. Это, однако, не означает, что группы работают из России. Хакеры могут нарочно оставлять цифровой след: например, в кодах вредоносных ПО, которым они заражают системы жертв, могут встречаться русские слова, написанные транслитерацией.
Новое поле для деятельности киберпреступников появилось с развитием криптоиндустрии и фишинговых атак: около 56% всех средств, украденных с ICO, были похищены с помощью фишинговых атак. В 2017 и 2018 годах возрос интерес хакеров к атакам с целью взлома криптобирж (скорее всего, в большинстве случаев за этими преступлениями стояла группа Lazarus) и криптоджекинга (скрытого майнинга). Ущерб от взлома 14 криптовалютных бирж составил более $882 млн, а от атаки «51%», когда под контроль берется 51% мощностей для майнинга с целью захвата управления криптовалютой, — $18 млн.
Кстати, ущерб от фишинговых атак в фиатном мире сложно оценить: только по официальным данным в России злоумышленникам удалось похитить 251 млн рублей. При этом фишинговые сайты маскируются не только под веб-страницы банковских сервисов, но и интернет-магазинов. Например, совсем недавно, с релизом iPhone XS и iPhone XS Max, аналитики оценили ущерб от фишинговых сайтов для покупателей в $500 000.
Пограничная ответственность
Зачастую многие киберпреступления, вне зависимости от того, проводятся они с целью промышленного или политического шпионажа или нет, могут быть организованы с территории одной страны, нарушать законы другой и при этом финансироваться третьей.
Основное направление таких угроз постепенно сдвигается от финансовой сферы к проправительственным внедрениям в сети объектов критической инфраструктуры энергетического, ядерного, коммерческого, водного, авиационного и других секторов с целью обеспечения долговременного присутствия, саботажа и шпионажа за компаниями. В этом случае законодательства отдельных государств могут противоречить друг другу, что сильно затрудняет расследование киберпреступлений. «Пока мир не окажется на грани катастрофы или пока такая катастрофа на самом деле не произойдет, государства будут и дальше тормозить процесс принятия единого соответствующего законодательства», — считает генеральный директор и основатель компании Group-IB Илья Сачков.
Ландшафт таких APT-угроз (англ. Advanced Persistent Threat — «развитая устойчивая угроза», целевая кибератака), характерный для каждого региона, постоянно меняется, что затрудняет обнаружение группировок и идентификацию их происхождения. Самыми активными остаются хакеры из Северной Кореи, Пакистана, Китая, США, России, Ирана и Украины.
Ярким примером таких атак на сегодняшний день остается вмешательство хакеров из России в предвыборную гонку США в 2016 году, когда WikiLeaks опубликовал письма Хилари Клинтон. В расследовании, опубликованном в New York Times, говорится, что ко взлому были причастны две российские хакерские группы, которые, вероятно, поддерживаются Кремлем: CozyBear (известная так же, как «APT 29» или Dukes) и GRU FancyBear (они же «APT 28» или Pawn Storm). И хотя сам Джулиан Ассанж отрицал причастность хакеров к процессу получения доступа к частной переписке, доказательств непричастности предоставлено не было.
В феврале 2018 года участник хакерской группы Lurk Константин Козловский признался на заседании Мосгорсуда в атаках на Демократическую партию США и Всемирное антидопинговое агентство (ВАДА), а также в причастности к российским хакерским группировкам CozyBear и GRU FancyBear, которые сегодня остаются одними из наиболее активных в интернет-пространстве.
В расследование таких преступлений, которые задействуют интересы сразу нескольких стран, может вмешаться Интерпол. По словам технического директора, руководителя Threat Intelligence и сооснователя Group-IB Дмитрия Волкова, у Group-IB не возникало прецедентов, когда интересы отдельных клиентов пересекались бы с интересами Интерпола. Однако с введением законов вроде GDPR уворачиваться от действия закона компаниям, обеспечивающим информационную безопасность, в том числе гарантирующим безопасность хранения данных клиентов, будет все труднее.
Новые горизонты
Формат киберпреступлений трансформируется год от года. Первоначально с внедрением компьютерной техники и интернет-технологий появились вредоносные программы и вирусы-вымогатели. Постепенно с развитием хакерских методов шпионажа они трансформировались во взломы почтовых ящиков, затем основная угроза перешла в даркнет и криптовалютную индустрию, а сейчас хакеры постепенно захватывают интернет вещей. При этом конечной целью хакеров так или иначе все равно остаются деньги: даже если у вас украли не деньги, а информацию, хакеры или непосредственные заказчики все равно попытаются ее продать.
Согласно статистике Positive Technologies, хакеры стали реже использовать вредоносное ПО для проведения атак (49% вместо 63%), но, по данным Group IB, чаще стали находить и использовать «бреши» в аппаратном обеспечении, так как такого рода уязвимости невозможно быстро и эффективно закрыть при помощи программных обновлений. Также участились атаки на Wi-Fi-сети и частные роутеры: проникнув в такую сеть и взломав одно устройство, можно получить доступ и ко всем остальным.
С этим же связана и опасность атак на IoT: через сеть можно получить доступ к информации, паролям и данным или же просто перенаправить все вычислительные мощности на криптоджекинг и увеличивать свои криптовалютные активы.
Пока уровень активности кибератак по отдельным направлениям снижается, по другим он продолжает расти. Казалось бы, компаниям, занимающимся кибербезопасностью, выгодно, чтобы киберугроза сохранялась — в противном случае они сами останутся без работы. Но факт остается фактом — в большинстве случаев они лишь догоняют хакеров, работая с уже случившимися атаками и занимаясь поиском уязвимостей, которые позволили злоумышленникам проникнуть в систему. И если о киберугрозах или атаках не говорят, это не значит, что их нет. Это значит, что безопасники их еще не заметили.