Черные и белые

29.05.201600:00

Проникнуть в офис компании в самом центре Москвы, взломать систему «умный дом» одного из ее сотрудников и даже превратить источник бесперебойного питания в серверной в перехватчик данных? Все это и не только удалось сделать киберпреступникам, атакующим известную своими платежными терминалами группу Qiwi. 

Служба безопасности сдалась после 2,5 месяца атак, а взломщики отпраздновали победу. Их имена, кстати, известны – против Qiwi работали профи из российских IT-компаний ONsec и Digital Security.

На самом деле речь шла пусть и о максимально приближенных к жизни, но все же учениях – в 2015 г. Qiwi впервые в России тестировала свою систему безопасности методом Red Team Exercise, когда руки у атакующих развязаны практически полностью, кибератаки проводятся круглосуточно, можно нарушать физический периметр организации; и да, внутри компании у «преступников» был «крот», сотрудник, действовавший заодно с мошенниками. За почти полную имитацию кибератаки пришлось заплатить, и немало – в Qiwi сумму не называют, однако игроки рынка полагают, что речь идет о сотнях тысяч долларов. 

«Это был уникальный проект, в ходе которого по сценарию реализовывалась именно реальная атака, без каких-либо ограничений. Нашей команде удалось полностью захватить контроль над системой, после чего «противник» сдался и остановил тест», – говорят в Digital Security. Впрочем, в Qiwi результатами теста довольны. 

«Да, бреши нашли, но смотря что считать брешами. Процессинг не пострадал, деньги не пропали», – говорит информационный директор Qiwi Константин Кольцов.

Бизнес без защиты?

Сегодня кибератакам подвергаются, и зачастую успешно, практически все компании на рынке. «Ломают» всех, просто об этом не принято говорить публично», – говорит руководитель Expert Security Center Positive Technologies Алексей Качалин. Неудивительно, что бросить вызов хакерам по примеру Qiwi в России пока никто не готов – по крайней мере, предпочитает хранить об этом молчание. 

«За последние три года количество информационных угроз, способных нанести серьезный ущерб сетевой инфраструктуре компаний, непрерывно возрастает, о чем можно судить по активному спросу заказчиков на современные межсетевые экраны (комплекс аппаратных и программных средств, защищающих сеть от несанкционированного доступа). Не только увеличивается объем вредоносного трафика, но и усложняются способы, используемые злоумышленниками во время атак», – говорит руководитель направления оптимизации и контроля сети компании «КРОК» Андрей Врублевский. 

Похоже, компании понимают уязвимость собственных систем безопасности и не рискуют играть с огнем. Ведь взломать сегодня, и правда, могут все. Чего стоит пример Facebook, во внутреннюю корпоративную сеть которого хакеры не только проникли, но и использовали ее, оставаясь незамеченными несколько месяцев? Не говоря уже об iPhone стрелка из Сан-Бернардино, США, с которым не смогли справиться в ФБР, если верить СМИ, но сломали за $1 млн хакеры.

В корпоративных IT-системах дела обстоят не лучшим образом. По данным ежегодного анализа уязвимости корпоративных систем от Positive Technologies, по итогам 2015 г. в них был установлен крайне низкий уровень защиты как от внешнего, так и от внутреннего нарушителя. Речь, кстати, идет не только о российском рынке – в анализ от Positive Technologies традиционно попали и зарубежные игроки корпоративного сектора.

Почти в двух третях случаев любой нарушитель может получить контроль над всей инфраструктурой компании, в каждой системе были выявлены уязвимости не ниже среднего уровня опасности.

«В 55% любой внешний нарушитель мог преодолеть сетевой периметр и получить доступ к внутренней инфраструктуре компании; с учетом методов социальной инженерии, эта доля составила 82%», – говорит Дмитрий Каталков из Positive Technologies. 

О последствиях подобных уязвимостей куда более красноречиво говорят данные о потерях, которые принесли киберпреступники российской экономике. По подсчетам Сбербанка, речь идет о потерях в пределах $1 млрд. Почти втрое выше оценивают ущерб от киберпреступлений по итогам совместного исследования Microsoft, Фонд развития интернет-инициатив и Group-IB – они говорят об ущербе в 200 млрд руб., из которых непосредственный ущерб для бизнеса составили 135 млрд руб., а остальное пришлось на ликвидацию кибератак. По данным исследования, атаки на бизнес учащаются: за последние три года их стало в среднем на 75% больше, а финансовый ущерб вырос почти вдвое.

В отношении крупного бизнеса злоумышленники чаще всего организовывали DDoS-атаки (38%) и пытались выкрасть ценную информацию (14%), а против среднего и малого бизнеса в ход шли хищения денежных средств с помощью программ-вымогателей (38%) и так называемый фишинг (36%). 

Впрочем, по сравнению с мировым российский бизнес потерял не так уж и много. Например, по оценке Center for Strategic and International Studie, еще в 2014 г. мировой ущерб от киберпреступлений приблизился к $450 млрд. То есть на долю России вроде бы не приходится и десятой части. 

Большой куш

Впрочем, игроки рынка IT-безопасности говорят, что не стоит относиться серьезно к подобным подсчетам – истинный масштаб ущерба значительно выше, по крайней мере, в России. 

«То, что мы видим, это капля в море», – считает заместитель генерального директора компании InfoWatch Рустэм Хайретдинов. 

По его мнению, киберпреступлений совершается на порядки больше, а ущерб от них значительно выше, поскольку многие инциденты попросту скрываются компаниями, не желающими портить бизнес-репутацию. 

С тем, что число преступлений растет, согласны все. Рост ущерба от киберпреступности – тренд, во многом связанный с уходом бизнеса, в первую очередь банков и ритейла всех уровней, в Интернет. Привлекательные, но малоинтересные для киберворов сайты-визитки превращаются в площадки для денежных расчетов, которые не могли не привлечь сетевых мошенников.

«Сейчас появилось новое поле деятельности для хакеров – говорит Рустэм Хайретдинов. – Если раньше хакеры в Сети хулиганили, например, на сайте Грушинского фестиваля появлялась новость, что умер Макаревич, то теперь доступ ко все большему числу сайтов можно монетизировать».

Он вспоминает один из случаев мошенничества в Казани – разработчики, якобы не получившие оплату в полном объеме, «увели» у интернет-магазина 5 млн руб., попросту проставив статус «оплачено» на ряд заказов. 

Преступники становятся все более меркантильными, считает Рустэм Хайретдинов. Раньше вирусы были, скорее, баловством, теперь же киберпреступники нацелены на хищение денежных средств.

«Вспомните, какие были громкие у вирусов названия – «Чернобыль», I  love you... Теперь все делается тихо и без пиара, а оканчивается либо шантажом, либо кражей денег», – уточняет эксперт.

«Главное, что интересует преступников, – деньги. Также можно говорить об атаках с целью нанесения репутационных убытков или уничтожения инфраструктуры организации изнутри. Если говорить о банковской сфере, то подобное событие легко может повлечь за собой отзыв лицензии и закрытие банка», – согласна pr-директор Digital Security Юлия Кольдичева.

Впрочем, и в сетевом мошенничестве есть свои тренды. К примеру, сегодня уже не столь популярно похищать деньги с карт или счетов физических лиц – объемы хищений в секторе снижаются. По данным Банка России, по итогам 2015 г. благодаря злоумышленникам с карт утекло 1,14 млрд руб., что почти на треть меньше, чем годом ранее. Хищений стало меньше, в том числе, в связи с усложнением программных продуктов и способов защиты.

«По сравнению с другими элементами сервисов безопасности платежным системам все же уделяется значительное внимание, – поясняет Алексей Качалин. – Например, для ввода данных карты вас перенаправляют на платежный шлюз, а он защищен и проверяется гораздо чаще и основательнее. Данные вы даете не магазину, а платежной системе, но несмотря на это злоумышленники регулярно находят возможности по обходу защиты и этих систем».  

«Если пять лет назад основная масса атак приходилась на клиентов, то сегодня вектор интереса злоумышленников сместился», – говорят в Digital Security. Речь идет об атаках на корсчета банков, что сулит в случае успеха дивиденды куда более значительные, чем работа с малым или средним бизнесом, не говоря уже о частных счетах клиентов. 

«Киберпреступники с воровства с пластиковых карт пользователей и мобильных телефонов переключаются на банки в целом. За один раз можно таким образом «заработать» намного больше», – говорит президент финансового холдинга MFX Group Игорь Волков.

С корсчетов утекают к хакерам сотни миллионов рублей, и это если судить лишь по случаям, которые получили огласку. Например, в Металлинвестбанке злоумышленники похитили 200 млн руб. (сначала говорилось о 677 млн руб.). В Банке России готовы называть общие цифры – например, за IV квартал 2015 г. и I квартал 2016 г. потери банков уже превысили 2 млрд руб. По итогам года данная цифра может увеличиться до 4 млрд руб.

Свою роль сыграл и кризис. Поворот к атакам на счета банков, говорят на рынке, напрямую связан с массовым закрытием финансовых организаций: если раньше хакеров задерживала «закрытость» внутренней банковской кухни, то теперь вслед за уволенными сотрудниками утекла и информация.

«Мы видим, что атакуют сегодня в основном автоматизированное рабочее место клиента Банка России (АРМ КБР), позволяющее перенаправить деньги между банками. Эта точка входа более универсальна по сравнению с другими системами. ПО для АРМ КБР везде одинаково, работа с ним регламентирована. В итоге с корреспондентского счета атакуемого банка деньги пересылают на счета в других банках, откуда они впоследствии выводятся», – говорят в Digital Security. Здесь отмечают, что под атаки хакеров попадает также и центральная АБС банка, где фактически хранятся все данные о счетах клиентов, а также система SWIFT для взаимодействия с иностранными банками. 

На крючке

Растущие как снежный ком кибератаки на бизнес через веб-приложения, в том числе сайты, закупочные площадки и т. д., вынуждают разработчиков выпускать на рынок специализированные продукты для защиты от веб-угроз. Например, к гонке подключаются компании, которые до этого не присутствовали в данном сегменте ПО – например, у Positive Technologies, флагманским продуктом которой остается система контроля защищенности и соответствия стандартам MaxPatrol, появились и решения для внешних угроз – например, мониторинг вирусной активности. Компания InfoWatch, начинавшая с разработки систем DLP (предотвращают утечку информации из компании), делает ставку на комплексную систему от атак на веб-приложения. Требования по наличию широкой линейки продуктов диктует и рынок – клиенту, который в условиях кризиса становится на вес золота, каждый игрок хочет предложить полный комплект продуктов защиты.

Однако уязвимым звеном систем IT-безопасности остается рядовой сотрудник организации – именно на «человеческий фактор» зачастую делают ставку хакеры. Все чаще вектором киберпреступлений оказывается «социальная инженерия» (или фишинг), когда все необходимое для проникновения, к примеру, в корпоративную IT-систему злоумышленники добывают у ее пользователей. Именно методы социальной инженерии, ожидают в Digital Security, станут наиболее популярными в 2016 г. Кстати, половина всех киберпреступлений в России была связана с данным методом уже в прошлом году, подсчитали в Сбербанке.

Изначально его активно использовали для взлома аккаунтов в социальных сетях. Принцип прост – хакеру нужно лишь заманить пользователя на вредоносный сайт, заставив затем под любым предлогом ввести пароль к аккаунту. Сделать это можно, например, при помощи электронных писем с, казалось бы, доверенного адреса с вредоносной ссылкой или программой внутри. 

Известны случаи, когда в подобных целях использовали даже официальную техподдержку интернет-ресурса. Например, в 2012 г. хакеры при помощи техподдержки Apple получили доступ к компьютеру редактора издания Wired Мэта Гонана. Не исключено, что примерно так же действовали хакеры, получая доступ к Twitter-аккаунту главы правительства РФ Дмитрия Медведева и личной почте главы ЦРУ Джона Бреннана, стоит напомнить и о выложенной в Сеть переписке, якобы принадлежащей председателю Счетной палаты Татьяне Голиковой. 

В случае с банком социальная инженерия обещает не только попадание в новости, но и солидные дивиденды. Неудивительно, что к таким атакам готовятся долго и проводят их целенаправленно для каждого учреждения.

«Это будут не случайно попавшие к вам вирусы, а специально подготовленные под вашу компанию письма со ссылками на вредоносные сайты», – говорит Алексей Качалин, лично получавший «письма счастья». «В письме был указан мой полный статус в компании, ко мне обращались по имени и отчеству, причем такие же письма пришли и другим топ-менеджерам Positive Technologies», – отмечает Алексей Качалин.

«Фишинговые атаки становятся все более изощренными, – отмечает консультант по безопасности компании Check Point Software Technologies Виктория Носова. – Злоумышленники рассылают персонифицированные письма, которые провоцируют даже пользователей со стажем нажимать на файл или ссылку. Вместе с открытием на первый взгляд безобидного маркетингового отчета запускается троян».

Так попадают на компьютеры и программы-шифровальщики – в последние годы их тоже полюбили использовать хакеры. «Они шифруют данные, например, две-три недели, чтобы резервное копирование тоже зашифровалось, а потом у вас потребуют деньги за ключ расшифровки», – говорит Рустэм Хайретдинов. За ключ, позволяющий восстановить потерянные данные, могут попросить и $50–100, а могут и сотни тысяч рублей, если речь идет о данных предприятия. 

Как оказалось, в банках к подобным посланиям относились не слишком настороженно. Именно так, считают в Group-IB, поступали киберпреступники, использовавшие программу Buhtrap. С августа 2015 г. по февраль 2016 г. им удалось похитить 1,8 млрд руб из российских банков. Все началось с писем, которые хакеры рассылали от имени Банка России, например, первое из них с темой «Информация для банковских работников» пришло с адреса support@cbr.ru.com, говорится в отчете Group-IB. Открыв документ, пользователи запустили программу, которая уже и загружала из Интернета Buhtrap и помогла украсть деньги. Антивирус ее не обнаружил, утверждают в Group-IB.

Этот метод применяется не только в России, но и во всем мире. 

«IT-директора крупных банков отмечают, что самая большая проблема для них – это целевой фишинг – техника, которая нацелена на конкретную компанию, определенного сотрудника. Сообщение, которое обычно посылается по электронной почте, содержит реальный бизнес-контекст, а заодно и пользовательские вредоносные программы (иногда даже связанные с нулевым днем). Несмотря на большую осведомленность пользователей и образовательные тренинги, количество кликов, на удивление, увеличивается», – отмечает генеральный директор компании Balabit Золтан Дъерку (Люксембург).

Черная кошка, белый кот

Киберпреступники, похоже, неплохо зарабатывают, и российские в данном случае не исключение. Например, хакера Владислава Хорохорина брали в аэропорту Ниццы, к тому времени у него были вилла во Франции и дом в Израиле – их пришлось продать за 4 млн евро, чтобы оплатить услуги адвоката. Деньги он сделал в том числе на продаже данных кредитных карт. 

Те, кто не стремится попасть в число самых опасных кибермошенников и иметь в итоге дело с ФБР, зарабатывают меньше, но, похоже, само дело поставлено на поток.

Так, за взлом почтовых сервисов, например, Mail.ru, «Яндекса» или «Рамблера» просят около $100 и даже меньше (данные Dell SecureWorks). Вдвое дороже стоит доступ к чужому аккаунту «Вконтакте» или «Одноклассниках». DDOS-атака на сайт обойдется максимум в $500 долларов за неделю, взломать сайт стоит $350. Дешевле всего стоят данные кредитных карт – номера Visa и MasterCard можно получить, заплатив от $7 до $15.

Впрочем, хакер далеко не всегда злодей, напротив, немало их работает над повышением безопасности компьютерных систем, приложений, программ и т.д. 

«В нашей среде не приветствуется негативная окраска слова «хакер» и приравнивание его к киберкриминалу», – говорит Алексей Качалин.

«Хакер – это квалификация, он умеет что-то ломать, но не значит, что он делает что-то плохое и за деньги. Сейчас модно говорить не «хакер», а «аудитор информационной безопасности», иногда они называют себя «практиками», – уточняет Рустэм Хайретдинов.

Таких хакеров называют белыми (или «белыми шляпами»), приглашают на выставки и конференции, они могут работать (и работают) в службе безопасности самых разных компаний и, конечно же, трудятся в самих компаниях-разработчиках программных продуктов в сфере IT-безопасности. 

При этом переход из хакеров в «безопасники» и обратно случается довольно часто. Например, занимавшийся информационной безопасностью в «Роснефти» Сергей Солдатов перешел в «Лабораторию Касперского», туда же из Positive Technologies ушел Сергей Гордейчик, в Qiwi работает Кирилл Ермаков, до этого трудившийся в Positive Technologies и т.д.

На практике свои умения белому хакеру есть где применить вполне официально – сегодня, к примеру, в цене пентесты, или тесты на проникновение. Разработчикам заказывают «сломать» программный продукт за деньги – например, перед выходом на рынок. Тот же Positive Technology тестирует системы дистанционного банковского обслуживания (ДБО) «Всего в России порядка 50 таких систем, мы проверили около 20 на уровне продакшн и предпродакшн, и в среднем находили по 2–4 критические уязвимости, то есть речь шла о возможности получить доступ к клиентским данным или полного захвата контроля», – рассказывает Алексей Качалин. Стоимость такой услуги может быть разной: от одного до десятков миллионов рублей в зависимости от объема и продолжительности работ. 

Само собой, тестируются продукты конкурентов, а зачастую и собственные системы.

«Иногда мы просим своих заказчиков прибрести или сами покупаем программы конкурентов чтобы сравнить – какие уязвимости они находят, а какие нет», – говорит Рустэм Хайретдинов. – Бывает, что заказчик купил продукт одной компании, а конкурентов этой компании нанимают чтобы проверить, можно ли его поломать, и наоборот». 

Разработчики активно используют хакеров и на аутсорсе. Например, если компании заказали пентест продукта, но у нее нет хакеров, она может перепродать подряд, это в России принято, уточняет Хайретдинов.

Большие компании с мощной службой IT-безопаности делают это самостоятельно. 

«Какую бы систему ни внедряли бы крупные компании, часто они заказывают своим же хакерам ее взлом», – говорит Рустэм Хайретдинов.

При этом «белая шляпа» может заработать, формально не работая на крупные компании, тем более, что в среди хакеров достаточно сильно распространено пренебрежение к «корпоратам» и ценится дух свободы. К примеру, можно зарабатывать на bug bounty, или программах поощрения для любого, кто обнаружил уязвимость системы, которые есть у многих крупных игроков рынка. Например, программы поощрения есть у «Яндекса», Qiwi, «Вконтакте», Tele2, «Одноклассников», Mail.ru. Хотя, конечно, с финансовой точки зрения интереснее участвовать в зарубежных программах – так, корпорация Google с 2010 г. заплатила хакерам за найденные уязвимости более $4 млн. 

Впрочем, и соблазн встать на темную строну с каждым днем все сильнее. Новые угрозы возникают постоянно – например, эксперты уже не первый год предупреждают о киберпреступлениях с использованием Интернета вещей. Что помешает злоумышленникам, к примеру, включить на полном ходу автомобиля громкий звук или отправить машину в кювет? Глубокое проникновение IT-технологий в современную медицину тоже обещает угрозы – кибератакам могут подвергаться медицинские информационные системы, магнитно-резонансные и компьютерные томографы и другое оборудование, имеющее подключение к Интернету.

По словам медицинского директора сети клиник «Медси» Павла Богомолова, киберпреступники при несоблюдении правил IT-безопасности могут получить доступ к персональным данным пациентов:  результатам обследований, диагнозу,  а также вмешиваться в работу медоборудования. Актуальность и необходимость поддержания информационной безопасности медицинских организаций возрастут с принятием закона о о телемедицине, отмечает он.

Опасность таит даже электронная сигарета, фоторамка или mр3-плеер, которые заряжают от компьютера через USB. По словам эксперта проекта «Контур-Безопасность» компании «СКБ Контур» Олега Нечеухина, устройства могут содержать вредоносное ПО. А значит, на этот сегмент уже положили глаз черные хакеры.