Киберпреступность: не ударить ли рублем?

Изучение каких-то сложных проблем и явлений с разных точек зрения, под различными углами зачастую оказывается очень полезным и продуктивным. Так, Лев Гумилев, рассматривая историю этносов на трех уровнях, которые он условно называл «из мышиной норы», «с вершины кургана» и «с высоты птичьего полета», сумел построить небесспорную, но крайне любопытную теорию пассионарности.

«Money makes the world go around»
Песня из кинофильма «Кабаре»

Подобные методы применимы и в других областях. К примеру, не так давно «Компьютерное Обозрение» писало об эволюции киберпреступности с технологической точки зрения. Но в последнее время эксперты в области безопасности не случайно обращают внимание на ее стремительную коммерциализацию и, вполне возможно, что взгляд на нее как на разновидность бизнеса принес бы нам какое-то новое понимание происходящего.

Именно так, видимо, рассуждали специалисты компании SecureWorks. Анализируя развитие киберпреступности как сферы пусть и своеобразного, но бизнеса, они выделили несколько основных этапов ее развития. Важно отметить, что хотя хакерство появилось фактически одновременно с компьютерами и сетями, с целью прямого заработка оно стало применяться лишь с конца прошлого века, по мере того, как в Интернет двинулся обычный бизнес, что и открыло соответствующие возможности (интернет-банкинг, электронная коммерция и пр.) для различных видов мошенничества. Но за истекшее десятилетие киберпреступность показала такой прогресс (причем во всех сферах: технологической, социальной, деловой), которому позавидует любая индустрия. В этом процессе довольно сложно выделить точные временные вехи, понятно, что различные подходы и методы сосуществовали в какие-то периоды времени, однако основные этапы «взросления» просматриваются довольно четко.

Предшественниками бизнес-ориентированной киберпреступности являются создатели интернет-червей, с которыми были связаны достаточно громкие инциденты: Blaster, CIH («Чернобыль»), NetSky, Sasser. Примечательно, что распространяться самостоятельно из них умел только последний, остальные требовали того или иного участия пользователей, и сегодня мы уже знаем, что социальная инженерия стала одним из главных инструментов злоумышленников и всякого рода мошенников. Мотивы создания этого поколения червей и вирусов все еще были совершенно наивны – их авторы жаждали самоутверждения и славы, и именно по этой причине не слишком скрывали свою деятельность. Со временем все были арестованы и понесли ту или иную меру наказания.

Уже следующее поколение хакеров (конечно, термин «поколение» здесь нужно понимать условно, на таком коротком промежутке времени говорить о разнице в возрасте не приходится) попробовало применить наработки предшественников для извлечения коммерческой выгоды. Сравнительная простота распространения вредоносного ПО в Интернете подтолкнула их к идее создания ботнетов, которые затем стали применяться для рассылки спама и организации DDoS-атак на коммерческие компании. Типичными примерами того времени могут служить Mytob и Zotob, а, пожалуй, наиболее яркий представитель – Rxbot – задал новый вектор развития всей отрасли. В определенном смысле можно сказать, что его автор, 20-летний хакер Дженсон Джеймс Анчета (Jeanson James Ancheta) предвосхитил нынешний всплеск интереса к облачным вычислениям. Ведь он начал активно пропагандировать свои услуги и сдавать в аренду ботнет, который по некоторым оценкам охватывал 400 тыс компьютеров. При этом клиенты, в основном распространявшие таким образом свою рекламу, платили исключительно за использованные ресурсы – ничего не напоминает? Отметим, что Анчета был не только прагматичным, но и достаточно осторожным. Он старательно скрывал свою деятельность, распределял нагрузку на ботнет, чтобы она не обратила на себя внимание специалистов по безопасности, и периодически менял управляющие серверы. Тем не менее в конце 2005 г. он был арестован и осужден на 57 месяцев тюрьмы.

Хакеры с самого своего появления стремились к объединению в различные сообщества как для обмена опытом, так и для реализации своих амбиций (напомним, изначально они лишь мечтали прославиться). Однако третье поколение киберпреступности в полной мере оценило преимущества глобализации экономики и, соответственно, кооперации в мировом масштабе. Единственной целью новых «кибербанд» стало получение легкой наживы, а излюбленными объектами атак – организации, непосредственно работающие с деньгами: банки, игорные заведения и пр. Примерно с этого же момента специалисты стали говорить именно об организованной киберпреступности, перенявшей многие черты у «традиционной».

Одним из первых инцидентов, отнесенных к третьему поколению, стала DDoS-атака на сайт британской букмекерской конторы Canbet. Злоумышленники вымогали у владельцев деньги, однако не прекратили свою деятельность даже после того, как им заплатили несколько раз. Когда Canbet обратилась в правоохранительные органы, потери (в основном косвенные, обусловленные приостановкой деятельности и оттоком клиентов) оценивались в 200 тыс долл ежедневно. Следы привели в один из латвийских банков, а оттуда – в Россию, где затем удалось вычислить IP-адреса и провайдеров злоумышленников. В результате были арестованы девять человек, некоторые из них осуждены, но предполагаемым организаторам – Тимуру Арутчеву и Марии Зарубиной – удалось скрыться, и по сей день они числятся в розыске ФСБ.

Общий убыток Canbet оценивается в 3 млн долл. Много это или мало? Чтобы лучше представить масштабы, которые так привлекают преступников, напомним еще один инцидент, связанный с лондонским филиалом японского Sumitomo Mitsui Bank. В этом случае хакер действовал совместно с инсайдером, который и запустил во внутреннюю сеть банка «троянца», собирающего регистрационные данные. В дальнейшем преступники попытались перевести порядка 300 млн долл на свои счета по всему миру, но, к счастью, операции удалось пресечь. Оба были арестованы, а впоследствии один из них, Аарон Абу-Хамра (Aharon Abu-Hamra), тот самый инсайдер, был отпущен и вскоре… застрелен под Тель-Авивом.

Становление четвертого поколения киберпреступности прошло под знаменами индустриализации. Теперь это не просто бизнес, а полноценная индустрия, выпускающая товары (эксплойты или готовые вирусы) и оказывающая услуги (создание или аренда ботнетов), причем не только конечным заказчикам, но и собственным представителям. Хакеры могут покупать друг у друга знания, код, уже готовые регистрационные данные, ресурсы ботнетов и т.д. Для всего этого существуют специальные интернет-ресурсы и даже социальные сети, которые периодически закрываются правоохранителями, но неизменно возрождаются в других местах и, быть может, под иными именами.

Отметим, что узкая специализация и глобальная кооперация значительно усложняют работу правоохранителям. К примеру, если прежде хакеров, задействованных фактически на всех стадиях своего преступления, сравнительно просто идентифицировали и находили по особенностям кода их программ, то сегодня создатель эксплойта уже не занимается его распространением или собственно сбором данных. Таким образом его по сути не в чем обвинить, тем более, с точки зрения законодательства конкретной страны.

Чем же отличается нынешний этап становления киберпреступности? В основном идет развитие идей четвертого поколения – хакер должен быть прежде всего предпринимателем. Совершенствуются схемы взаимодействия: предлагаются услуги Pay-Per-Install, когда один ресурс поддерживает партнерские отношения с несколькими группировками и распространяет различные образцы вредоносного ПО; развивается техподдержка (!) и своеобразные образовательные программы, к примеру, по методам сокрытия своей деятельности – одним словом, формируется новая категория деловых взаимоотношений C2C (Crime-To-Crime). При этом вредоносное ПО становится все более автоматизированным (дабы привлечь хакеров с низкой квалификацией) и направленным на долговременную срытую работу (т.е. собранные данные ценятся выше быстрых результатов).

По оценкам Google в каждый момент времени около 10% всех веб-сайтов являются источниками распространения вредоносного ПО. Затем их «лечат», латают, обновляют, но гарантии от повторного заражения нет. Кажется невероятным, но за последний год в такой ситуации хоть раз побывали около 50% совершенно легитимных ресурсов. Эксперты сходятся во мнении, что современные инструментальные средства и технологии разработки не позволяют создавать гарантированно безопасный код: если в 2009 г. количество выявленных уязвимостей выросло на 30% относительно 2008 г., то в 2010 – на 57% относительно 2009 г. (информация SecureWorks). При этом атаки все больше смещаются на прикладной уровень, где их сложнее выявлять и пресекать, а излюбленным объектом для них становятся так пропагандируемые сегодня веб-приложения.

Защищать последние довольно сложно, ведь они по сути устанавливают очень слабо контролируемый туннель между пользовательским компьютером и удаленным ресурсом, где достаточно сложный код выполняется на обеих сторонах. К примеру, с начала года наблюдается рост атак, использующих обход средств многофакторной аутентификации. Вредоносное ПО просто встраивается в браузер, ожидает, пока пользователь выполнит все необходимые действия (укажет пароли и пин-коды, подключит токены и пр.), а после автоматизирует веб-интерфейс для осуществления скрытой транзакции. Конечно, каждую конкретную брешь наверняка можно закрыть техническими средствами, скажем, в данном примере достаточно использовать многофакторную аутентификацию для подтверждения транзакций. Однако, может быть имеет смысл подойти совсем с другой стороны?

На самом деле идея достаточно очевидна: раз хакерство превратилось в бизнес, то и бороться с ним возможно экономическими методами. Недавно исследователи трех университетов (два из США и один из Венгрии) подробно изучили схему работы «доброкачественного» спама, пропагандирующего дешевые медицинские препараты. Оказалось, что миллионы подставных URL, указываемых в спаме, в конечном итоге перенаправляют покупателя примерно в 45 «партнерских сетей», обеспечивающих производителей таблеток инфраструктурой для приема платежей. Причем, система действительно работает: из 120 попыток совершить покупки 76 были авторизованы карточными системами, в 56 случаях транзакции завершились успешно и в 49 случаях товары были реально доставлены.

Понятно, что пресечь подобную деятельность проще всего в самом узком месте. Проблема, однако, в том, что, как говорилось выше, не на всех этапах она может рассматриваться как преступная. К примеру, само по себе осуществление платежей – не преступление, в отличие, скажем, от сокрытия налогов или торговли несертифицированными и тем более поддельными препаратами – но конкретного мошенника еще нужно найти и вину его доказать. Соответственно, если бороться с ботнетами сложно по техническим причинам, то с «партнерскими программами» – по юридическим. Однако исследователи пошли еще чуть дальше – оказалось, что платежи, осуществляемые по всему миру, поступают всего в несколько банков, один из которых обслуживал порядка 60% транзакций, а три самых «популярных» (один в Азербайджане, два в Латвии) – все 95%. Соответственно, убедив их владельцев каким-то образом перестать обслуживать подобную деятельность, можно разом прикрыть всю схему. И это не так уж невероятно, в США, к примеру, законодательно закреплены ограничения на осуществление карточных платежей онлайновым казино. Но в идеале нужна какая-то наднациональная программа, причем, касающаяся не только спама. И конечно, очень не помешал бы хоть один успешный и по возможности громкий прецедент.