Юрий Николаевич, как выглядит портрет современного киберпреступника?
Юрий Жданов: Любопытное исследование провело американское министерство юстиции. Была сделана выборка 225 киберпреступников из разных стран по 123 делам, связанным с 414 киберпреступлениями. Средний возраст преступников составил 35 лет. Мужчины составляли 94 процентов преступников - 212 из 225. Более 68 процентов работают в группах, а не самостоятельно.
Это важный результат, так как многие воспринимают киберпреступников как "волков-одиночек", занимающихся хакерской деятельностью. На самом деле киберпреступники с легкостью присоединяются к международным организованным преступным сетям на обширном пространстве кибермира.
Как распределяются обязанности в таких группах?
Юрий Жданов: Все группы отличаются иерархической структурой с четким распределением обязанностей. Основные члены команды отвечают за планирование кибератаки, другие, которые обладают определенными знаниями или навыками, используются для проведения атак. Остальные - для покупки вредоносных программ или похищенных кредитных карт. Есть и менее значащий обслуживающий персонал.
Российская кибермафия выглядит так же?
Юрий Жданов: Похоже. Однако сразу замечу, что современная киберпреступность - это не привычная мафия, а нетрадиционная организованная преступность. И инструменты борьбы с ней - правовые и организационные - должны также быть адекватны новому явлению. Разработкой таких инструментов сейчас и занимается МВД России.
Что касается российской киберпреступности, то вначале ей не уделялось особого внимания. Ее замечали лишь в связи с незаконной деятельностью в сфере программного обеспечения. Но в 1994 году Владимир Левин вместе с группой хакеров получил доступ к 10 с лишним миллионам долларов, проникнув за несколько недель в компьютерные системы Citibank. Левин и его коллеги использовали украденные коды, идентификаторы пользователей и пароли, чтобы переводить из банка суммы от нескольких тысяч до нескольких десятков тысяч долларов на счета, принадлежавшие его группировке в США, Финляндии, Голландии, Германии, Израиле, Аргентине и Индонезии.
Лишь в июле 1994 года клиенты Citibank начали сообщать о краже денег с двух счетов, сумма которых составила 400 тысяч долларов. Системе безопасности Citibank удалось выследить в августе 1994 года два перевода. Один был на 26 800 долларов, а второй - на 304 тысячи долларов. Сотрудники банка немедленно связались с ФБР, которое начало следить за Левиным, пока он продолжал заходить на банковские счета и снимать все новые суммы. За несколько недель с июня по октябрь 1994 года они отследили в целом 18 входов в систему. Благодаря действиям ФБР, сотрудников Citibank и российских телефонных служб удалось вычислить, откуда Левин осуществлял свои операции. Это было его рабочее место в Санкт-Петербурге. В марте 1995 года Левина задержали в лондонском аэропорту Хитроу.
С тех пор прошло более четверти века. Что изменилось в действиях наших киберпреступников?
Юрий Жданов: Да почти все. Специалисты отмечают значительный спад числа атак на пользовательское программное обеспечение, в частности - браузеры и офисных клиентов. Раньше хакеры активно проводили подобные атаки, поскольку в таких программах содержалось большое количество уязвимостей, а многие пользователи не обновляли их своевременно. Через эти бреши происходили массовые заражения вредоносным ПО, крадущим деньги. Жертвами чаще всего становились сотрудники коммерческих и финансовых организаций. Обычно бухгалтеры.
Но теперь пользовательское ПО значительно усовершенствовано, в него внедрены процессы автоматических обновлений, и киберпреступники переключились на массовые рассылки, в том числе с вредоносными вложениями.
Другое важное изменение заключается в том, что хакеры больше не стремятся разрабатывать собственное вредоносное ПО, а используют вместо этого публично доступные программы для тестирования на проникновение и удаленного доступа. Организации могут применять такие инструменты для легитимных целей, поэтому защитное ПО автоматически не определяет их как вредоносные. На это они и рассчитывают. Использование инструментов для тестирования на проникновение также позволяет им экономить значительное количество ресурсов на разработку.
Кроме того, они активно используют облачную инфраструктуру вместо того, чтобы создавать и поддерживать свою собственную. И поэтому они, что важно, больше не объединяются в излишне крупные группы.
Но вы же только что говорили, что они в большинстве своем уже не работают в одиночку...
Юрий Жданов: Они и не работают. Но отсутствие необходимости создавать собственные вредоносные инструменты наряду с активным использованием облачной инфраструктуры позволяет им вести вредоносную активность группами меньшего размера, чем раньше.
Кто чаще всего становится жертвами русскоязычных киберпреступников?
Юрий Жданов: Они перешли от атак на финансовые системы и учреждения к атакам программ-вымогателей и атакам, нацеленным на кражу данных. Эксперты утверждают, что в прошлом году впервые с 2017 года был зафиксирован рост кибератак, направленных на получение контроля над инфраструктурой. Фиксируется рост числа атак с использованием вредоносного ПО, а самым популярным способом его доставки по-прежнему является фишинг. Среди относительно новых трендов - атаки через менее защищенного подрядчика. Число таких атак в 2020 году возросло в два раза.
Эксперты также отметили, что выросла квалификация злоумышленников, усложнился инструментарий, повысился темп использования новых уязвимостей, увеличилось время присутствия киберпреступников в инфраструктуре. Удаленная работа по-прежнему остается одним из ключевых факторов уязвимости инфраструктуры организаций.
Каковы особенности русскоязычной киберпреступности, так сказать, ее фирменный почерк?
Юрий Жданов: Примерно в 85 процентах кибератак активно используются доступные уязвимости, вредоносное ПО и социальный инжиниринг, 45 процентов атак профессиональных группировок реализуется через взлом корпоративных веб-приложений.
И "вишенка на торте" - 15 процентов представляют собой сложные целевые атаки, совершаемые кибернаемниками и кибергруппировками, преследующими интересы иностранных государств. Такие атаки требуют более высокого уровня подготовки и квалификации. Бюджет одной целевой атаки может составлять более 1,5 миллиона долларов в год.
То есть российские компании постоянно находятся под ударом?
Юрий Жданов: Да. По оценкам экспертов, количество DDoS-атак на российские компании продолжает расти - за первые три квартала 2021 года этот показатель увеличился в 2,5 раза.
Наибольший рост инцидентов заметен в трех отраслях - финансовый и госсектор, а также онлайн-торговля. В то же время сокращается количество атак на дата-центры и игровые ресурсы, которые еще год назад были в фокусе внимания.
Растет мощность и продолжительность атак. Самая мощная была зафиксирована в мае, ее мощность составила 462 Гбит/с, что на треть превышает пиковое значение, зафиксированное в первых трех кварталах 2020 года. А самая долгая в отчетный период атака длилась почти 4,5 дня. Годом ранее этот показатель за первые три квартала составил в среднем 3 дня.
Хакеры продолжают использовать масштабные ботнеты для увеличения мощности атак. Атаки фрагментированными пакетами стали в два раза чаще использоваться злоумышленниками, чем в прошлом году.
Что полиция может противопоставить этому кибермонстру?
Юрий Жданов: Не менее изощренное технологическое противодействие с привлечением лучших специалистов и новейших технологий. И, конечно же, гибкие тактику и стратегию борьбы.
У МВД есть такие возможности?
Юрий Жданов: Конечно, есть, постоянно совершенствуется техническая оснащенность подразделений МВД, улучшается система подготовки кадров. В частности, в Московском университете МВД России для чтения лекций по противодействию киберугрозам привлекаются ведущие сотрудники центра кибербезопасности Сбера, которые в ежедневном режиме противостоят кибератакам наших и зарубежных кибермошенников.
Вы говорили о кибернаемниках, работающих против наших структур. В то же время и американцы постоянно обвиняют во всевозможных грехах "русских хакеров". Так кто же кого атакует?
Юрий Жданов: Все хороши. Но чтобы справиться с киберпреступностью, надо от взаимных обвинений переходить к взаимным усилиям. Боюсь сглазить, такой переход уже наметился. Напомню, в июне были достигнуты договоренности между президентами России и США Владимира Путина и Джо Байдена о возобновлении взаимодействия в сфере кибербезопасности. Буквально на днях в Москву прилетал директор ЦРУ Уильям Бернс, который на переговорах с Николаем Патрушевым и Сергеем Нарышкиным тоже затронул эту тему. Кстати, накануне полиция в Санкт-Петербурге задержала одного из известнейших хакеров - Сергея Павловича. Он объявлен в розыск в США за крупнейшее хищение персональных данных, ему грозит пожизненное заключение.
Любопытно, что Павлович - белорусский гражданин. В Минске он был приговорен к 10 годам заключения за киберпреступления, воровство банковских карт и распространение порнографии. Отсидел, вышел на свободу в 2015 году и даже написал книгу "Как я украл миллион". Приехал в Россию и взялся за старое - американцы считают его причастным к краже данных 170 миллионов банковских карт. Однако вопрос о выдаче будет решаться только после проведения предэкстрадиционной проверки. Выдача осложняется также и тем, что у нас нет соответствующего двустороннего договора с США о выдаче преступников.
США тоже передали российской стороне имена нескольких хакеров, которые, по данным американского разведсообщества, причастны к недавним кибератакам на объекты в Америке.
Хочется верить, что будет выработана общая внятная политика противодействия преступности в Сети. А в дальнейшем появятся и разработки совместных операций.