Нельзя недооценивать противника
Как в России сегодня складывается ситуация с киберпреступностью? Как не стать жертвой высокотехнологичного криминала, который быстро вытесняет традиционный. На эти и другие вопросы журналу IT Manager ответил руководитель направления исследования угроз компании Group IB Дмитрий Волков во время конференции CyberCrimeCon 2017.
Сейчас много говорят о «русских хакерах», которые даже стали фактором международной политики. Насколько они реально опасны? Относятся ли эти угрозы к российским компаниям?
Правильнее говорить о русскоязычном киберпреступном сообществе, которое не ограничено масштабами одной только России. Оно охватывает весь бывший СССР. Крупные русскоязычные сообщества находятся также в Германии, Израиле, США. Не стоит забывать и о том, что многие группировки из других стран маскируются под русскоязычных, например, вставляя комментарии на кириллице в свой код. Так, например, действовала небезызвестная Lazarus.
Как правило, киберкриминальные группировки не совершают преступлений против компаний из той страны, где находятся. Вместе с тем, многие приемы своей деятельности российские киберпреступники отрабатывают в России. И уже потом используют их против зарубежных компаний и, особенно банков. А вот в России активность заметно снижается.
Преимущественно, для краж денежных средств используются троянские программы. При этом более активно растет сегмент мобильных зловредов для платформы Android. Очень широко применяются также всевозможные фишинговые схемы, в том числе и рассчитанные на использование мобильного банкинга.
Каков основной мотив киберпреступников?
Как и для обычных преступников, для киберкриминала их деятельность – специфическая форма заработка. Однако в последнее время активизировались группировки, часто называемыми киберармиями, которые прямо или косвенно связаны с правительственными структурами ряда стран. Они добывали разного рода информацию. И для этого они также проникали внутрь различных крупных транснациональных банков и прочих финансовых институтов. Известно, что там сосредоточены весьма ценные данные, позволяющие сделать выводы о связях различных правительств, компаний и прочих структур между собой.
Но со временем некоторые группировки, получив доступ к системе SWIFT и другим ее аналогам, которые служат для межбанковских переводов, начали заниматься кражами. Причем очень крупными. Вспомним, например, атаку группировки Lazarus на центральный банк Бангладеш, в ходе которой злоумышленники попытались украсть без малого миллиард долларов. Хотя сейчас они сменили приоритет и снова занялись шпионажем, оставив попытки краж.
А сейчас мы видим, как сугубо криминальные группировки пытаются маскироваться под киберармии. Так они пытаются использовать в своих целях шумиху вокруг политически мотивированных кибератак, которая не утихает уже несколько месяцев.
Есть ли отрасли, которые могут считать себя совершенно не представляющими интерес для киберпреступников?
Возьмем самый простой пример проявления киберпреступности: шифровальщик-вымогатель. Он может попасть как в очень серьезную компанию, учреждение, организацию и сделать там свое черное дело, а может и в единственный компьютер какой-нибудь совсем мелкой фирмочки или индивидуального предпринимателя и проделать ровно то же самое. Скорее всего, это происходит случайно или в результате чьей-то недоработки.
Многое зависит от того, является ли предприятие объектом критически важной инфраструктуры или нет. Если да, то вероятность стать объектом целевой атаки будет существенно выше. Если нет, это, однако, не снимает вероятность того, что их ИТ-инфраструктура станет случайной жертвой. Тем более, что есть группы злоумышленников, которые продолжают «бить по площадям».
Размер при этом не имеет значения. От проявлений киберпреступности страдают все. Но при этом карта угроз, как принято в нашей компании, или, как больше устоялось среди российских ИБ-специалистов модель угроз будет отличаться. Мелкий бизнес чаще сталкивается с проявлениями вымогательства, шантажа, утечек критически важных данных, например, информации о клиентах, краж денег со счетов с использованием каналов дистанционного банковского обслуживания (ДБО). С более крупным бизнесом все намного сложнее, и тут ситуация может отличаться даже у, казалось бы, очень похожих предприятий. В итоге выработать какие-то типовые сценарии защиты нельзя.
Надо ли платить злоумышленникам? Известны ли вам случаи того, что авторы тех же троянцев-шифровальщиков восстанавливали данные?
Авторы программ-вымогателей, которые заинтересованы в том, чтобы им платили выкуп, всегда восстанавливают зашифрованные данные. Иначе их бизнес окажется под угрозой.
Многие специалисты говорят, что платить нельзя. Тем самым, мол, мы провоцируем преступников на продолжение их деятельности. Но, с другой стороны, можно было рассчитывать на резервные копии. Появлялись утилиты, которые позволяли расшифровать файлы, пусть и с некоторой задержкой. Но преступники начали использовать очень стойкие алгоритмы, и без ключа, который находится в руках у злоумышленника, восстановить информацию в разумные сроки невозможно. Так что теперь даже правоохранительные органы некоторых стран уже рекомендуют платить выкуп. Иначе можно потерять данные, что часто означает и потерять бизнес.
Если речь идет о шантаже, то тут все зависит от обстоятельств. Тут однозначного ответа дать нельзя. Нужно тщательно просчитывать последствия возможной утечки информации или вторжения в инфраструктуру. Если последствия окажутся серьезными, то лучше заплатить. Если же угрозы не слишком значимы, то нет.
В последнее время много говорят о кибертерроризме. Но пока специалисты оценивают возможности известных террористических группировок весьма скептически. Так ли это? Когда эти угрозы могут стать реальностью?
Никогда нельзя недооценивать противника. К тому же терроризм очень многогранен, и, сосредоточившись на одном направлении, можно прозевать другое. Тут наиболее показателен пример с Брейвиком. Норвежские спецслужбы перестали следить за ультраправыми боевиками и не обратили на него внимания, хотя он проявлял довольно высокую активность.
Кроме того, сейчас те же исламистские сетевые киберструктуры, связанные с крупнейшими сетями, названия которых у всех на слуху, проявляют большую активность в сторону пропаганды и привлечения новых сторонников, и через киберпространство в том числе. У них есть свои закрытые социальные сети и собственные инструменты обхода блокировок по контенту, которые используются в разных странах. Наши французские коллеги на одном из совещаний рассказывали о том, как работает исламистское киберподполье. И это отнюдь не недоучки, способностей которых хватает максимум на DDoS атаки или дефейсы неугодных им сайтов. При этом таких группировок несколько. Только с запрещенной в России и не только у нас ИГИЛ связано не менее 16 хакерских сообществ.
Каково, по результатам вашей практики, время от начала атаки до ее выявления?
Зависит от целей злоумышленников. Если речь идет о краже, будь то денежные средства или данные, то преступники проникают ровно на то время, какое им необходимо для этой операции. Ни больше, ни меньше. Но есть нюансы. Если речь идет о физическом лице, то преступники обычно действуют очень быстро и крадут все, что смогут. Когда речь идет о юридическом лице, то они ждут периода, когда больше всего денег на счетах. Обычно это время выдачи заработной платы.
Но когда речь идет о целенаправленных атаках, особенно связанных с кампаниями кибершпионажа, то есть примеры того, что они длились многие месяцы и даже годы. В среднем же от начала вторжения до его обнаружения, по нашей практике, проходит более 200 дней. Причем обнаружение атак происходит, как правило, случайно.
Какие системы нужно внедрять?
На эту тему действительно много спекуляций. Вспомним, как некоторое время назад было много пугалок на тему борьбы с внутренними злоумышленниками. Да, проблема защиты от инсайдеров действительно существует, но ее масштаб не настолько велик.
Но технические средства использовать, безусловно, нужно. Тут нужно задействовать методы управления рисками. Если затраты на внедрение той же DLP системы будут превышать возможный ущерб, то, естественно, игра свеч не стоит. С другой стороны, сложное и дорогое внедрение системы фрод-мониторинга может окупиться за счет одного выявленного инцидента.
Что делать, когда появилось подозрение на то, что произошел какой-либо инцидент, связанный с проявлением киберпреступности?
Обращаться к специалистам. Часто приходится сталкиваться с тем, что компании пытаются самостоятельно разрешить ситуацию, и при этом допускают массу ошибок. В итоге они снова становятся жертвами злоумышленников. Мы сталкивались с тем, что дважды грабили один и тот же банк. Или у предприятия несколько раз похищали критичную информацию.
Опубликовано 23.10.2017