Скованные одной Сетью: "Известиям" рассказали о связях хакерских группировок
Всего в мире технологиями взлома кода владеют несколько десятков тысяч человек

Анна Урманцева

Современное хакерское сообщество состоит из 14 объединений, каждое из которых имеет четкую специализацию. Об этом "Известиям" рассказали ведущие российские антивирусные эксперты. По данным специалистов, самая внушительная по числу участников группировка - финансовые киберпреступники, которые организуют атаки на банковскую инфраструктуру, бизнес и физических лиц. Наиболее технически оснащенная - группа, занимающаяся созданием шпионских программ. Больше остальных рискуют дропы - люди, ответственные за контакты с физическим миром. За ними следуют ботоводы, или операторы, которые дистанционно управляют вредоносным компьютерным ПО. С помощью экспертов "Известиям" удалось составить подробную схему взаимодействия хакерских группировок.

Главное - репутация

Процесс всеобщей цифровизации имеет и оборотную сторону: все большее число людей посвящают себя хакерскому ремеслу. Задача добыть информацию, содержащуюся в цифровой форме, стоит как перед вполне легальными сотрудниками спецслужб и разработчиками программного обеспечения, так и перед киберпреступниками - людьми, которые крадут данные. Как пояснили "Известиям" в "Лаборатории Касперского", сейчас их в мире несколько десятков тысяч.

Большинство хакеров взаимодействуют на полузакрытых или закрытых форумах. Чтобы туда попасть, нужно заплатить деньги или получить рекомендацию от человека с репутацией. По словам источника "Известий", являющегося участником одного из таких сообществ, если пользователь закрытого форума решился пригласить своего знакомого, он обязан полностью проверить его с помощью технологий взлома - с этого момента поручитель полностью отвечает за добропорядочность новичка. Если же в нем засомневаются и тем более засомневаются с наличием доказательств, пригласившего ждут очень серьезные санкции.

В компаниях, которые занимаются разработкой антивирусных технологий, принято направлять на такие форумы своих сотрудников. Например, в "Лаборатории Касперского" есть люди, в задачи которых входит мониторинг разговоров в даркнете. Попасть на закрытый форум очень сложно: нужно годами выстраивать свою "цифровую личность", зарабатывать так называемые баллы уважения и демонстрировать лояльность.

- Учетные записи, которыми мы пользуемся для того, чтобы смотреть за этими форумами, тщательно оберегаются, чтобы по какой-то случайной ошибке нас не заблокировали, - рассказал "Известиям" ведущий антивирусный эксперт "Лаборатории Касперского" Игорь Суменков. - Получить доступ заново будет очень трудно.

Свой среди чужих

Сбор информации с закрытых форумов, которым занимаются антивирусные эксперты, в профессиональном сообществе называют Underground Threat Intelligence. На этих площадках обсуждаются темы обхода антивирусной защиты, появляются базы данных, хакеры делятся образцами кода.

- Мы не ищем кого-то конкретного, просто изучаем новые методы, - пояснил "Известиям" старший антивирусный эксперт "Лаборатории Касперского" Сергей Ложкин. - На таких форумах можно почерпнуть информацию, которая позволит оптимизировать антивирусный продукт еще перед выводом его на рынок. На самых популярных полузакрытых форумах сидят тысячи пользователей. Ежедневно там появляется 20–30 новых тем. Если же говорить о совсем закрытых площадках, на которые можно попасть, только обладая определенной репутацией, там одновременно пребывают сотни человек.

По словам эксперта, люди, которые собираются в группы для взломов банков или других мошеннических операций, общаются между собой уже не на форумах. Обычно в такой группе 5–7 человек, между собой они связываются через разнообразные анонимные мессенджеры, аккаунты в которых, как правило, зарегистрированы на чужую сим-карту или виртуальный номер, а телефон не используется вообще. Вычислить местоположение такого человека очень трудно.

Хакеры высшей категории, которые разрабатывают шпионское ПО, на форумах обычно не появляются. Однако бывали случаи, когда они заимствовали инструменты взлома у финансовых группировок.

- Наше исследование рынка преступных киберуслуг показывает, что вредоносное ПО входит в топ-4 наиболее часто продающихся в дарквебе продуктов, а услуги, связанные с его разработкой, находятся на втором месте по популярности, - рассказал "Известиям" директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков.

В "элитные подразделения", по оценкам специалистов, входят несколько сотен человек. Это высококвалифицированные программисты, которые обладают серьезным техническим обеспечением. Они отличаются от общей массы хакеров тем, что могут находить уязвимости нулевого дня (зеродей, 0day - неустраненные уязвимости, против которых еще не разработаны защитные механизмы; термин означает, что у разработчиков осталось ноль дней на исправление дефекта. - "Известия").

Высшие эшелоны

Нередко, для того чтобы доставить на компьютер жертвы вирусное ПО, используются совсем простые инструменты, иногда даже скачанные с GitHub (крупнейший веб-сервис для хостинга IT-проектов и их совместной разработки. - "Известия"). Могут использоваться и классические методы - например, рассылка электронных писем с вредоносными вложениями или ссылками большому количеству сотрудников организации, которая является целью атаки.

Скорее всего, защитные системы организации атаку заблокируют, но хакеры в такой ситуации ничем не рискуют, и небольшая вероятность успеха все же остается. Если же защита обнаружит специально созданный для такой атаки "троян" - так называемый продукт АРТ-уровня (Аdvanced persistent threats, развитая устойчивая угроза - сложное вредоносное приложение для нарушения защиты), - киберпреступники рискуют потерять целый набор программ, на который были затрачены месяцы работы и большие деньги.

Именно поэтому вредоносные инструменты часто кочуют от одной специализированной группы хакеров к другой. Для этого и нужны форумы, которые служат местом встречи взломщиков. Впрочем, общение может происходить и в реальном мире.

- Бывает, что наши коллеги, с которыми мы общаемся на конференциях, имеют знакомых, которые находятся с другой стороны баррикад, - сообщил "Известиям" источник из области информационной безопасности. - Если они не связаны какими-то обязательствами, то свободно обмениваются информацией и технологиями.

Менеджер проекта

Путь от идеи похитить деньги до их обналичивания неблизкий, и без координатора, выступающего "менеджером проекта", никак не обойтись. Этот человек определяет инструменты и векторы, наиболее подходящие для решения поставленной задачи. Он изучает инфраструктуру объекта, выбирает нужные технологии и людей с соответствующими компетенциями. Иногда в схеме задействованы хакеры всех 11 имеющихся специализаций.

- Например, при атаке на банкоматы координация - важнейшая часть, она гораздо важнее технической составляющей, - рассказал "Известиям" ведущий аналитик компании SearchInform, разрабатывающей ПО для защиты от утечек информации Алексей Парфентьев. - Координатор следит за каждым этапом операции и решает, когда перейти к следующему, кому из команды и в какой момент действовать, что именно делать. Он должен оперативно реагировать на изменение ситуации. Допустим, изначально планировалось ждать эффекта от фишинговых рассылок. Но если банк вдруг вывешивает конкурс на закупку определенной IT-системы, вектор меняется - в этой системе могут быть уязвимости, которые можно использовать.

Чтобы за несколько минут собрать с десятков банкоматов одновременно выдаваемые наличные, логистическая схема должна быть доведена до совершенства. Успех операции полностью зависит от координатора. По словам Алексея Парфентьева, примером оперативной работы координатора может служить история с атакой на банкоматы в 2016 году. Тогда хак-группа Cobalt умудрилась собрать $2 млн за один заход.

Обычно координатор принадлежит к верхушке хакерского сообщества. У него много опыта, нужных контактов, теоретических и практических знаний, а также уважение и доверие в сообществе.

- Есть еще один важный для цепочки человек - инсайдер, - продолжил Алексей Парфентьев. - Этот человек находится внутри атакуемой компании, он "сливает" информацию или выполняет инструкции на месте. Например, он может раскрыть важные технические данные: установленное в компании ПО, его версии, какие типы устройств в ходу, у кого закупаются, как организованы бизнес-процессы, к чему имеют доступ сотрудники. Он может сам запустить ПО для удаленного администрирования и передать доступ. Если получается найти инсайдера внутри компании, в этом случае злоумышленник автоматом продвигается на несколько шагов вперед, быстро попадая во "внутреннюю сетку".

Ботовод заметает следы

Существуют и компании, которые занимаются легальным хакингом. Они ни от кого не прячутся, активно рекламируются и продают разработанные программы в другие страны. В учредительных бумагах таких фирм, как правило, указано, что занимаются они "продажей и сопровождением ПО".

- Существует довольно известная компания под названием Hacking Team или, например, FinSpy, - рассказал Алексей Новиков. - Эти компании занимаются разработкой программного обеспечения, предназначенного для оценки защищенности и инструментов для проведения тестов на проникновение. Множество коммерческих инструментов такого типа могут быть использованы и используются для пентеста (проведения теста на проникновение, то есть легального взлома. - "Известия"). Пентестеры ищут слабые точки и предлагают клиенту отчет, как усилить его цифровую оборону. Однако надо понимать, что это всего лишь инструментарий и ответственности за то, как его будет использовать конечный потребитель, изготовитель не несет. Поэтому в ряде случаев эти вполне легитимные инструменты могут быть использованы и злоумышленниками.

Когда исследователи изучают работу какой-нибудь шпионской кампании с высоким уровнем технической подготовки, по некоторым признакам иногда удается узнать, что хакеры, например, ходят на работу - если их действия укладываются в определенный временной промежуток. Указывать на это могут несколько факторов. Во-первых, временные метки в файлах, хотя мошенники пытаются их "затирать". Во-вторых, имеет значение и время работы оператора (ботовода). Если хакеры ищут информацию на взломанных компьютерах в среднем в течение девяти часов, это может свидетельствовать, что они работают из конкретного часового пояса.

- Конечно, все это несложно подделать, - подчеркнул источник "Известий" из сферы информбезопасности. - И когда говорят, что можно абсолютно точно установить месторасположение хакеров в какой-нибудь большой шпионской атаке, - это, скорее всего, спекуляции.

Если оператор понимает, что его заметили, он пытается как можно быстрее "вычиститься" - отключить всю инфраструктуру со своей стороны, чтобы не осталось никаких следов. Чаще всего компьютер ботовода, с которого происходит передача команд, соединен с множеством серверов-прокладок, купленных за биткоины. Пока происходит вычисление местоположения хакера, он, как правило, успевает все удалить и исчезнуть.

Но больше всего в этом теневом бизнесе рискуют дропы - люди, которые взаимодействуют с физическим миром. Они могут заниматься обналичкой или обменом украденных данных на реальные товары. Например, такой человек может доставлять по определенному адресу ноутбук, который куплен на деньги с краденой кредитной карты.

А вот так называемые энтузиасты - хакеры, которые демонстрируют свои возможности просто ради интереса, - практически ушли в небытие. Даже в цифровом мире романтика сходит на нет.