Хакеров все меньше интересуют банковские счета граждан и их личные компьютеры. Теперь их главная цель — финансовая разведка, шпионаж и диверсии против целых предприятий и экономик, а главные спонсоры и заказчики — правительства.
Кибероружие, киберармии и все прочие атрибуты войны с приставкой «кибер» – понятия уже из вполне реальной сегодняшней жизни. Хакеры, работающие на разные государства, научились влиять вроде как виртуальными цифровыми программами на абсолютно реальные физические процессы. И их цель – не банальный грабеж, а сбор разведданных, диверсии против отдельных предприятий и экономик в целом. Эти тревожные факты констатировали участники состоявшейся на прошлой неделе в Москве CyberCrimeCon‑2017 – ежегодной крупнейшей конференции в Восточной Европе по теме эволюции технологий киберразведки, организованной специализирующейся на борьбе с киберугрозами российской компанией Group-IB (GIB), одним из мировых лидеров в этой сфере.
Российские власти также оказались в тренде – одновременно с CyberCrimeCon‑2017 президент Путин провел в своей резиденции в Сочи совещание «по поводу использования цифровых технологий в финансовой сфере». Там также было высказано беспокойство последними трендами в сфере компьютерных технологий. Но выводы в итоге там сделали совсем другие. Главной опасностью российское руководство признало не бесконтрольное распространение преступных технологий и использование их в международных конфликтах, а бесконтрольное развитие самих цифровых технологий, в первую очередь в виде криптовалют. Именно с ними пока решено бороться в нашей стране.
«Использование криптовалют несет и серьезные риски» – возможность отмывания преступных капиталов, уход от налогов и финансирование терроризма, распространение мошеннических схем, констатировал Владимир Путин. «Криптовалюты выпускаются неограниченным кругом анонимных субъектов, – посетовал он. – Таким образом, покупатели криптовалют могут быть вовлечены в противоправную деятельность». Договорились в итоге, как сообщил министр финансов Антон Силуанов, «осуществлять регулирование процесса эмиссии криптовалют, майнинга, процесса обращения – государство должно взять это все под контроль». Как это сделать, чиновники пока думают. Но эксперты по кибербезопасности, выступавшие на CyberCrimeCon‑2017, еще не зная об итогах совещания у президента, вынесли им свой вердикт, признав, что ни запретить, ни пытаться контролировать это невозможно в принципе – так же, как пытаться запретить или контролировать погоду.
Как запретить погоду
Исполнительный директор одного из подразделений Интерпола – Interpol Global Complex for Innovation (IGCI), Нобору Накатани, выступая на CyberCrimeCon, также высказал беспокойство ситуацией вокруг криптовалют, но ничего запрещать, правда, не стал призывать: «Претензии и сомнения высказываются и в отношении криптовалют, особенно в плане возможного их применения для отмывания денег. Одни страны их признают, другие – нет, но очевидно, что некие международные стандарты в этой сфере должны быть разработаны. В данной ситуации может помочь только сотрудничество между странами и государственно-частное партнерство».
По данным годового отчета Hi-Tech Crime Trends 2017, представленного на конференции экспертами GIB, суммарный ущерб от целевых хакерских атак на криптоиндустрию составил более $168 млн, а доход от атак на криптобиржи варьируется от $1,5 млн (Bitcurex) до $72 млн (Bitfinex). В июле этого года в Греции был задержан и экстрадирован в США 38‑летний россиянин (его имя не разглашалось), которого обвиняют в отмывании $4 млрд с помощью транзакций с биткойнами. По данным СМИ, речь идет о компьютерных взломах, наркобизнесе, краже персональных данных и налоговых нарушениях, которые конвертировались в криптовалюты.
Криптовалюты – это огромный вызов для тех, и кто их разрабатывает, и кто занимается информационной безопасностью, отметил руководитель отдела расследований и сервиса киберразведки Threat Intelligence GIB Дмитрий Волков. «В последнее время киберпреступники находили уязвимость в исходных кодах, атаковались крупнейшие международные биржи криптовалют, – сказал он. – Практически каждый месяц происходит какой-нибудь серьезный инцидент». Самая интересная схема фишинга (мошеннических копий сайтов), по словам эксперта, связана с ICO (Initial coin offering – форма привлечения инвестиций в виде продажи инвесторам фиксированного количества новых единиц криптовалют, полученных разовой или ускоренной эмиссией). «При запуске этой формы инвестиции всегда есть сайт, на котором описывается, как в ней участвовать, – рассказал Дмитрий Волков. – Атакующие создают копию этого сайта, на котором просят переводить деньги на определенные электронные кошельки либо просят ввести информацию о секретных ключах». Эксперты GIB по активности всего одной преступной группировки установили, что только за месяц ее участники заработали на подобных атаках $1,5 млн. «Ни одна из групп, занимающаяся хищениями с помощью банковских троянов, подобного рода эффективностью похвастаться не может», – сказал Волков.
По прогнозам GIB, в ближайшее время число целенаправленных атак на криптовалюты увеличится. Правда, есть в этом и хорошая новость для банков: преступники временно переключат внимание с их клиентов на криптовалюты. «В обычных валютах такие схемы, как финансовые пирамиды, управление активами, бинарные опционы (цифровой опцион, который в зависимости от выполнения оговоренного условия либо обеспечивает фиксированный размер дохода, либо не приносит ничего. – «Профиль»), уже не работают, так как общество осведомлено о них, – объяснил Волков. – Для финансовых учреждений, пропускающих через себя эти схемы, предусмотрены очень серьезные санкции, и никто уже не хочет с этим связываться». В криптовалютах все эти старые схемы начинают возрождаться.
Только вот запретами толку не добиться. «Пока наши государства думают о том, легализовать или нет криптовалюту, вся индустрия компьютерной преступности давным-давно ее использует, – говорит гендиректор, основатель Group-IB Илья Сачков. – И это никак не зависит от легализации». Пытаться запретить в отдельно взятой стране криптовалюту – все равно что пытаться запретить погоду, отметил он. «Многим политикам кажется, что это забавно: будем регулировать то, что нельзя регулировать. А забавного в этой ситуации ничего нет. Нужно сделать так, чтобы на украденные у людей, бизнеса, государства легальные деньги не могли строиться криминальные империи». Интернет, электричество – те вещи, которые невозможно регулировать с того самого момента, как они вошли в нашу жизнь, говорит основатель GIB. И если в 2010 году еще можно было говорить о каком-то регулировании криптовалют, то сейчас, когда их использует огромное количество легальных индустрий, это уже невозможно.
Канада, Япония, Нидерланды и Сингапур, приводил пример Илья Сачков, признали виртуальные валюты и получают с них налоги. «Когда в Китае запретили ICO, все ICO-проекты перешли в Японию, люди, которые хотели вложить деньги в такие проекты, вложились в японскую экономику, – рассказывал он. – В России уже четыре года ходят разговоры, что вокруг ICO нужно какое-то законодательство. Но перестает ли от этого существовать криптовалюта? Нет, она существует, и количество ее пользователей увеличивается, существуют майнинг и биржи. Но государство от этого никакого дохода не получает».
Кроме того, именно криптовалюта, в отличие от традиционных бумажных денег, совершенно прозрачна: всегда можно понять, сколько средств было и будет выпущено, откуда пришли деньги, не были ли они украдены или использованы в качестве взятки. Нет оснований, по мнению Сачкова, беспокоиться о том, что криптовалюта не имеет реального обеспечения и это всего лишь пузыри: «С точки зрения теории валюты золото – это наша договоренность о том, что оно является драгоценным металлом. То есть, по большому счету, золото на самом деле не стоит ничего. Просто в какой-то момент золота стало больше, чем ракушек. С точки зрения блокчейна ценностью является точно такая же договоренность между людьми о том, что мы считаем криптовалюту ограниченным ресурсом, который мы можем использовать в обменных операциях».
Каждые полторы минуты…
…происходит 5 физических ограблений в Европе и 25 – в США. В этот же период происходит около 10 тыс. компьютерных преступлений, 28 человек становятся жертвами кражи персональных данных, появляется 10 новых видов вредоносных программ. Такие данные привел Илья Сачков, подчеркивая стремительную эволюцию криминала. «Мы оказались в ситуации, когда наша психология абсолютно не готова к восприятию такой ситуации, – говорит Сачков. – Если сейчас мне придет сообщение в мессенджер с угрозой убийства и я тут же обращусь в полицию, получу ли я помощь так же быстро и эффективно, как если бы на меня напали на улице? Нет, не получу, и этого не произойдет в любой стране мира. Получается, что большая часть бюджетных денег на мою безопасность тратится в никуда». В технологическом плане мир легальный отстает от преступного на 15 лет – все, что многие компании внедряют в этом году, уже было изобретено криминалом еще тогда. «Преступники использовали алгоритмы шифрования еще в 90‑х годах, – рассказывает Сачков. – Я видел первые зашифрованные каналы с вредоносным кодом в 2006 году. Массово это стало использоваться в 2011 году. И мы очень обрадовались, что в 2016 году WhatsApp включил шифрование». Эксперт отметил, что криминал уже использует машинное обучение (класс методов искусственного интеллекта, характерной чертой которых является не прямое решение задачи, а обучение в процессе применения решений множества сходных задач), и современные атаки крупных, хорошо защищенных организаций – «это инженерное чудо».
Криминал смещается из физического мира в киберпространство, согласился Нобору Накатани, и деньги, нажива – по-прежнему основная цель преступных атак. Он отметил, что совокупный ущерб от кибервымогательства в прошлом году составил $1 млрд – в 40 раз больше, чем в 2015 году. Примерами криминального «инженерного чуда» эксперты назвали атаку с помощью вируса-шифровальщика на муниципальную железную дорогу Сан-Франциско в прошлом году. Зараженными оказались более двух тысяч платежных систем, почтовая система и системы по расписанию движения. Несколько дней муниципальный транспорт Сан-Франциско работал бесплатно. В декабре прошлого года была совершена попытка хищения $31 млн из ЦБ РФ (и хотя там это ранее опровергали, на CyberCrimeCon об этом говорил представитель Интерпола). Увеличилось и число кибератак на финансовые организации и компании. «Более миллиона человек пострадало в результате кибератак на «Интернет вещей» (Internet of Things, IoT), – констатировал Накатани. – И если законодатели ничего не предпримут в ближайшее время, Internet of Things превратится в Internet of Danger (интернет угроз), тогда как должен стать Internet of Trust (интернетом доверия)». В этом году впервые стали взламывать «умные автомобили».
Дмитрий Волков в этой связи отметил, что наша страна, как и все постсоветское пространство, стала своеобразной тестовой площадкой, на которой преступники пробуют новые технологии. В частности, главным трендом прошлого года были целевые атаки на банки, но в этом году этот показатель снизился на 35% – освоив постсоветское пространство, хакеры переключаются на Латинскую Америку и Ближний Восток. Стабильно, по словам Волкова, у нас растет только количество инцидентов, связанных с троянами для мобильной платформы Android.
На пороге кибервойны
Но самым тревожным трендом стал выход на арену прогосударственных, правительственных группировок, киберармий. К этому, с сожалением констатируют эксперты, привела усиливающаяся агрессивная риторика между странами. Эти новые игроки перенимают опыт и технологии у «финансово мотивированных хакеров», а те, в свою очередь, используют ноу-хау проправительственных группировок. Правда, пока взаимные обвинения стран (в основном России, Китая, США) в кибератаках по большей части находятся в области политических заявлений – подтвержденных технически данных этому нет, а любой анализ требует времени. Более-менее достоверные данные есть только по группировке Lazarus, которую эксперты связывают с правительством Северной Кореи. Примечательно, что Lazarus старались замаскироваться под «русских хакеров», используя в программных кодах русские слова.
Чаще всего прогосударственные группировки также атакуют финансовые институты. Но цель у них другая, объясняет Дмитрий Волков, в первую очередь сбор разведданных – как двигаются средства, какие структуры спонсируются, какие фонды, кто стоит за определенными банками и компаниями, как получить доступ к тем из них, с кем центробанки взаимодействуют на регулярной основе. Успешные атаки были совершены в этом году в польских банках, банках Латинской Америки, одном из банков Юго-Восточной Азии. Преступники, говорит Волков, получают доступ к системам SWIFT, но денежные средства они не трогают. «Используемый ими инструмент позволяет отслеживать транзакции, записывать их. Но попыток хищения не было, и это говорит о том, что приоритет именно в проведении шпионажа», – пояснил эксперт.
Однако все возрастающая агрессия породила и новую цель таких группировок – проведение диверсий против финансовой стабильности. Дмитрий Волков подробно рассказал, как именно это происходит. Так, в феврале этого года группировка Cobalt получила доступ в один из небольших российских банков, права администратора на всех компьютерах, рабочих станциях, сервисах и запустила программу – модифицированную версию нашумевшего шифровальщика-трояна Petya. Серверы стали недоступны для сотрудников банка, сам банк приостановил деятельность и вынужден был срочно предпринимать контрмеры. «Эта атака не получила огласки, – рассказывает Волков. – Спустя месяц уже государственно спонсированная группа, известная как Black Energy, взломала одного из разработчиков системы интернет-банкинга на Украине. Используя их сеть в качестве начального инвертора, они получили доступ в несколько украинских банков. И там они сделали все то же самое, что и группа Cobalt. Атака была точечной, пострадало несколько банков, но, опять же, это прошло незамеченным».
Спустя еще два месяца мир узнал об угрозе под названием WannaCry – массовой кибератаке, совершенной группировкой Lazarus. Еще через месяц появился вирус NotPetya. «Эта программа очень похожа на шифровальщика Petya, и за ней стоит группа Black Energy, – говорит Волков. – Они точно так же получили доступ уже к другой компании, которая является разработчиком программного обеспечения для финансовой отрасли, и, используя серверы обновления, вирус распространили по нескольким компаниям, запустив массовую атаку. Это привело к большим потерям в финансовом секторе».
У прогосударственных хакеров, отмечает Дмитрий Волков, сценариев может быть гораздо больше, и они гораздо интереснее обычных. Например, они могут применять более изощренные техники, совершать высокорискованные финансовые операции в крупных банках, на биржевых торгах, чтобы влиять на курс валют. «Подобные успешные атаки мы видели в начале 2015 года в России, – рассказывает эксперт GIB. – Тогда атака длилась всего 14 минут, и курс валют в это время варьировался от 55 до 65 рублей за доллар, что является достаточно мощным эффектом. Всего одна такая атака на небольшой банк запустила цепную реакцию, и многие брокеры и банки, использующие автоматическую систему торгов, начали совершать транзакции автоматически». В будущем подобные атаки более чем возможны, прогнозирует Волков, и пагубное влияние может быть оказано не только на курс валют, но и на экономику в целом.
Но не только финансовым сектором увлекаются диверсанты. Тестовым полигоном для кибероружия стал энергетический сектор. Все началось еще в 2014 году. Тогда более 2 тысяч сетей энергетических компаний были заражены с помощью вредоносного трояна Havex. Эта программа не влияла на физические процессы и не могла, например, отключить электричество в каком-то доме или районе, но она собирала данные о том, какое оборудование используется в каждой энергетической компании. «Это был разведывательный этап, злоумышленники хотели понять специфику разных стран, регионов, компаний», – рассказал Волков. В том же году стало известно о новой версии вредоносной программы Black Energy, которая применялась в системах управления SCADA, – появилась возможность нарушить систему управления энергетической компании, взломать процедуру мониторинга и процедуры автоматического реагирования. Но и тогда ничего критичного с точки зрения процессов не происходило. Так было до 2015 года, когда на Украине произошел блэкаут. «Атакам более обновленной версии Black Energy подверглись три энергетические компании, и атакующие научились влиять именно на физические процессы, вызывать определенные последствия – физическую перегрузку энергосетей», – говорит Волков. Энергосистемы удалось тогда восстановить в течение дня. А в декабре 2016 года произошла первая, незаметная, тестовая атака на маленькую энергетическую компанию, длившаяся всего 75 минут. «Там использовалась программа Idustroyer, и эта атака включила в себя весь трехлетний опыт тестов, исследований и реализаций, – описал ее Дмитрий Волков. – Этот вирус способен собирать всю необходимую информацию об оборудовании, выводить из строя системы. Но самое важное, что был получен модуль, который имеет возможность общаться «на родном языке» с системами, которые отвечают за замыкание и размыкание энергосетей. Манипуляция этими устройствами позволяет автоматизировать этапы атак».
В итоге прогосударственные группировки довели кибероружие до уровня, когда можно влиять на физические процессы. «Тестирование в энергетическом секторе пройдено, – резюмировал Дмитрий Волков. – Мы ожидаем, что следующей станет система водоснабжения, транспортного сообщения и опасное производство». Эксперты GIB уверены, что опытом, полученным одними прогосударственными группировками, захотят воспользоваться другие, у них появятся последователи. И тогда сформируется рынок, на который будут экспортироваться уже существующие вредоносные программы. И в этом главное отличие кибероружия от традиционного. «Нельзя просто так скопировать автомат Калашникова, но если появляется кибероружие, то миллионы людей во всем мире за одну секунду могут получить доступ к нему», – привел простую аналогию Илья Сачков.
Задача правоохранительных органов теперь, считает Нобору Накатани, – «предсказывать непредсказуемое». «Технологически догнать киберпреступность очень сложно, поэтому правоохранители должны сами стать научными фантастами, так как все, что мы сегодня еще не можем себе представить, завтра будет использовать криминал», – говорит представитель Интерпола. Когда-то и кибератаки на энергостанции были сюжетами фильмов-катастроф, а теперь они осуществляются в реальном мире. «К 2023 году в Европе планируют перейти на «умные поезда», и это уже не научная фантастика, это реальность, – приводит примеры будущих объектов атак Накатани. – Вовсю развивается искусственный интеллект и роботизация. Роботы-пчелы, кибер-убийцы из британского сериала «Черное зеркало» тоже уже вполне реальны. Научная фантастика становится научным фактом».
Одним из действенных методов борьбы с киберпреступностью стало государственно-частное партнерство. И на CyberCrimeCon, например, было заключено соглашение о сотрудничестве между Интерполом и GIB. Но этого мало. «Посмотрите, что в Москве было с простейшими Petya и WannaCry, какие заводы и компании с серьезными службами безопасности «легли» на несколько недель, – говорит Илья Сачков. – И сейчас мы живем в ситуации, когда, платя налоги, столкнувшись с элементарным шифровальщиком, вы не получите помощи ни от кого, кроме как за деньги от частных компаний». Сложно представить, что при увеличивающейся активности прогосударственных группировок сами их «благодетели» станут ратовать за борьбу с ними. Однако эксперты надеются, что верх возьмет элементарный здравый смысл, ведь любое кибероружие, однажды запущенное какой-то из стран, неизбежно попадет на теневой рынок Darknet и в итоге обернется против самой этой страны. Да и случись действительно кибервойна, за ней неминуемо последует война реальная. «Сейчас ООН серьезно рассматривает вопрос введения моратория на подобные истории, – заключил Илья Сачков. – Если этого не произойдет, то мы столкнемся с мировой катастрофой, которая заставит мир подписать такой мораторий».