Разбойники XXI века и среда их промысла

В столице прошла традиционная ежегодная конференция сообщества информационной безопасности UISGCON, ориентированная на профессионалов в сфере кибербезопасности, а также интересующихся данной тематикой – ИТ-специалистов, разработчиков ПО, преподавателей и студентов вузов, представителей государственных учреждений.

Партнерами двенадцатого по счету форума, который проводится под эгидой общественной организации «Украинская группа информационной безопасности» выступили компании Advantio, Berezha Security, Cisco, FireEye и ISSP. Программа двухдневного мероприятия включала десятки докладов, в том числе выступления специально приглашенных зарубежных гостей, семинары и дискуссии. Темами для обсуждения традиционно были актуальные технологические тенденции и методы противодействия современным киберугрозам, вопросы профильного образования, юридические аспекты информационной безопасности, в том числе государственная политика и законодательное регулирование отрасли.

Мартин Ли: «Криптовалюты, Tor и другие технологии существенно усложняют выявление и поиск киберпреступников. Однако порой даже одна оплошность позволяет поймать хакера»

Приемы киберпреступников зачастую не оригинальны и представляют собой адаптированный к современным технологиям базовый арсенал всех времен – грабеж, захват заложников, вымогательство, шантаж – считает Мартин Ли (Martin Lee), руководитель команды исследований в области информационной безопасности Cisco Talos. Раньше злоумышленники преимущественно похищали материальные объекты, а в XXI веке их бизнес-модель стала несколько сложнее. Теперь они завладевают вычислительными мощностями инфицированных устройств, хранящимися на них данными и полосой пропускания интернет-соединения, а затем монетизируют свой контроль. Современные разбойники добывают криптовалюту, организуют масштабные атаки на компьютерные системы, рассылают спам и торгуют конфиденциальной информацией.

Например, классическая модель – похищение с требованием выкупа – снова получила широкое распространение у мошенников. Только раньше преступники были ограничены контролируемой территорией, а теперь не знают границ. Первый подобный случай был зафиксирован в Таиланде в конце 1989 г. Создатель вируса AIDS Trojan разослал в медицинские учреждения электронные письма с требованием перевести деньги за похищенные данные на адрес в Панаме. Где, к слову, в итоге и был арестован.

А вот первые вымогатели (ransomware) появились всего 10 лет назад. Весной 2005 г. по электронной почте начал распространяться зловред GPCoder, который шифровал файлы на зараженном ПК и требовал выкуп электронной валютой в эквиваленте $100-200. Впрочем, по словам Мартина Ли, создание и распространение подобных зловредов – довольно сложная техническая задача. Поэтому нередко злоумышленники ограничиваются фальшивками и заплативший выкуп пользователь не получает обратно похищенные файлы, которые попросту были сразу затерты. Как, например, в случае трояна Ranscam. Однако, наиболее совершенные и эффективные образцы порождают настоящие эпидемии. Достаточно упомянуть Reveton, Cryptolocker, Cryptowall и, наконец, последний «хит» Locky. Причем шифрование постепенно усложняется, суммы растут, выкуп нынче требуют в биткоинах, а для заметания следов задействуют сети Tor. И это на сегодня является большой проблемой. Поскольку отслеживать и идентифицировать такие действия становится все сложнее.

Между тем, уже известны случаи, когда атакам шифровальщиков (например, SamSam) подвергались серверы. Что, естественно, грозит организациям большими проблемами. Злоумышленники для проникновения на компьютеры и в сеть предприятий активно используют социальную инженерию, а лавинообразный рост таких атак, в том числе с использованием вирусных конструкторов, только повышает вероятность их успеха.

Следует констатировать, что киберпреступность стала большим и прибыльным бизнесом. К примеру, один только вирус Angler, приносит своим создателям около 34 млн. долл. в год, по оценкам специалистов. Злоумышленники тщательно просчитывают возможную выгоду. Размер выкупа должен быть ниже, чем ценность взятых в заложники документов, но при этом покрывать расходы на ведение преступной деятельности. В своей деятельности мошенники нередко используют те же технологичные инструменты, что и коммерческие компании. Крупных игроков на этом черном рынке обслуживают сервисные организации, создана целая экосистема отдельных специалистов и преступных групп, которые осуществляют DDoS-атаки.

Аарон Люо: «Производителям современных технологичных игрушек стоит уделять больше внимания вопросам безопасности»

Причем ошибочно полагать, что проблема касается только крупных корпораций. Если у организации есть хоть что-то, представляющее ценность, обязательно найдется мошенник, который попытается на этом нажиться.

Что же можно предпринять в такой ситуации? Общие рекомендации не новы – соблюдение сетевой гигиены, регулярное обновление ПО, резервное копирование критичных данных, использование современных защитных решений. В каждой организации должны быть проработаны меры по выявлению кибератак и противодействию им.

Специфике работы кибер-криминалиста посвятил свое выступление Ибрагим Халил Сарухан (Ibrahim Halil Saruhan), эксперт консалтинговой компании Digisecure. На нескольких примерах он продемонстрировал как непросто вести расследования инцидентов и собирать юридически значимые доказательства в масштабных ИТ-системах. Когда суммарные объемы исследуемых накопителей могут достигать десятков и сотен терабайт, а криминалист вынужден действовать в условиях жестких законодательных, технических и временных ограничений. Когда систему просто невозможно остановить даже для снятия копий, а одно-единственное неверное решение может поставить крест на всем расследовании. Это требует от специалиста обширных знаний, навыков и опыта. Поиск иголки в стоге сена в таких условиях покажется детским лепетом.

О недетских угрозах современных технологичных игрушек говорил Аарон Люо (Aaron Luo), эксперт Trend Micro по кибер-угрозам. На примере квадрокоптера DJI Phantom 3 он показал насколько уязвимы такие беспилотники. При желании и наличии необходимых навыков злоумышленник может успешно атаковать практически каждый компонент системы, а затем похитить дрон, направить его в заданное место или использовать для шпионажа за владельцем. При этом для защиты от подобных атак требуется применение более надежных алгоритмов аутентификации, довольно активное использование шифрования, более совершенная элементная база и т.п. Учитывая, как все это повлияет на сложность и стоимость конечного устройства, рассчитывать на ответственность производителей в этом деле, пожалуй, не приходится.