В 2010 г. я начал профессионально заниматься киберпреступностью региона СНГ. Нет, не воровать и отмывать средства с кредитных карт, а систематически отслеживать основные схемы, тактики и инструменты поиска, эксплуатации и монетизации уязвимостей, с последующим выводом и отмыванием денежных средств. Мониторинг щедро оплачивался европейскими заказчиками из финансовой и ИТ-сфер, и не один десяток исследователей анализировало киберпреступность по всему земному шару только в рамках управления Global Intelligence моего тогдашнего работодателя. Основными отслеживаемыми хабами киберпреступности были Россия/СНГ, Бразилия/Латинская Америка, Китай, США/англосаксонские страны и Ближний Восток/Индия.

Учитывая мой профессиональный интерес, хочу обратить ваше внимание на два аналитических отчета компании Trend Micro, посвященных «глубинам» Интернета (Deep Web) — «Below the Surface: Exploring the Deep Web» (2015) и «Cybercrime and the Deep Web» (2016). В них основными хабами киберпреступности в Deep Web названы Россия, Китай, Бразилия, Северная Америка, Япония и Германия. Я бы сюда еще добавил Средний Восток, который всегда был хабом, но скорее кибертерроризма (не проходит и недели, чтобы десяток-другой американских государственных или муниципальных веб-сайтов не был взломан одной из ближневосточных хакерских группировок и выложен на известном зеркале взломанных сайтов Zone-H). Среди наиболее заметных региональных группировок — Iranian Cyber Army и Syrian Electronic Army, которые в свое время украли доменное имя Twitter, взломав регистратора доменных имен, взломали Twitter-аккаунт Обамы, атаковали американские банки и западные новостные агентства, чем заработали странички о себе в англоязычной Википедии. Поэтому я рекомендую организациям без клиентов и партнеров на Ближнем Востоке запретить на сетевом периметре все входящие соединения из ближневосточных сетей.

Но вернемся к отчетам Trend Micro.

Преступность в «глубинах» Интернета

Отчеты Trend Micro основаны на информации, собранной из так называемых «глубин» Интернета (Deep Web — недоступный поисковикам и обычно свободному доступу сегмент Интернета), в котором только за последние несколько месяцев нашли базы с десятками миллионов персональных записей избирателей США и граждан Турции. Если организации непонятно, зачем могут понадобиться ресурсы «глубин» ее сотрудникам — их тоже стоит запретить, ведь в силу специфичности места там не работают полноценно встроенные в поисковики антивирусные сервисы Google Safe Browsing и Yandex Safe Browsing, да и в силу меньшего количества пользователей хуже работают сенсорные сети антивирусных производителей. А значит риск заразиться экзотической никем не детектируемой киберзаразой принципиально выше. Есть и другая угроза — заказ порно- и наркотической продукции, заказ убийств людей через корпоративный ПК, потенциально ведущие к неприятному общению с правоохранительными органами — спецназом, следователями или судами. Кстати, ограничение корпоративной ответственности является понятной бизнес-целью для менеджмента организаций, и запрещение доступа в «глубины» (для начала в I2P и Tor) будет поддержано как юридической, так и ИТ- (снизится нагрузка на оборудование) и финансовой (снизятся непродуктивные затраты на интернет-канал) службами.

В отчетах упоминаются различные типы пользователей «глубин»:

· покупатели и продавцы наркотиков, фальшивых документов, оружия, анонимных кредитных карт и других очевидно нелегальных товаров и сервисов;

· покупатели и продавцы запрещенных к продаже фармацевтических препаратов (в т. ч. дженериков), легких наркотиков и других не везде разрешенных товаров;

· легальные пользователи — любители анонимности на форумах, радио и т. п.

Для исследований «глубин» Trend Micro создала аналитическую систему, нашедшую около 22 тыс. серверов, 576 тыс. гиперссылок (из них 244 тыс. единиц HTML-контента на 3454 доменах, доступных для индексации).

Среди доменов 62% были наполнены англоязычным контентом и 7% — русскоязычным. Однако на русскоязычных сайтах оказалось принципиально больше контента. Русскоязычный контент лидирует в «глубинах» Интернета с долей 41,4%. Англоязычный — второй (40,74%). Это значит, что более 100 тыс. единиц контента в «глубинах» — на русском.

Другое измерение — кто чем торгует в «глубинах» — показывает, что примерно 85% всех продавцов и покупателей торгуют легкими наркотиками и запрещенными фармацевтическими препаратами. В киберкриминальном мире этот сегмент обычно называется «вебмастерским», он включает в себя также спам, управление трафиком, мошенничество с рекламой и т. п. Два других, что я обычно выделяю — финансовое мошенничество (кардинг, хищение и отмывание денежных средств, мошенничества с онлайн-аккаунтами) и хакерство (разработка и продажа кибероружия, эксплойтов, поддержка других сегментов киберкриминальной экономики).

Среди почти 22 тыс. найденных серверов почти все относятся к HTTP\HTTPS, но есть и исключения:

· 121 коммуникационный сервер (IRC, XMPP, Mumble, POP, SMTP, IMAP) — очень удобно для киберпреступников и преступности в целом;

· три FTP-сервера (скрытый обмен информацией);

· два сервера календарей Webcal (хотя в Интернете полно бесплатных сервисов календарей);

· и даже Git-cервер (кто-то очень хотел спрятать свою разработку).

Применив ко всем гиперссылкам технологию Trend Micro Web Reputation, исследовали обнаружили почти 9 тыс. (8707) подозрительных ссылок, примерно треть которых вели к заражающим серверам или позволяли обходить прокси-серверы (анонимайзеры и аналогичные сервисы). Обнаружили и 25 C&C-серверов, управляющих ботнетами. «Глубины» (в частности, Даркнет — Tor- и I2P-сети), ввиду своей большей анонимности, являются идеальным местом для размещения управляющих центров ботнетов. Отключить их там правоохранительным органам и исследователям гораздо труднее.

Основными источниками подозрительных ссылок оказались три ресурса — Hidden Wiki (44%), страница ссылок New Hidden Wiki 2015 (28%) и клон Hidden Wiki (18%).

Среди серьезных нелегальных сервисов можно выделить следующие:

· «отмыв» биткоинов (стандартное средство оплаты в «глубинах»);

· вывод биткоинов во все популярные платежные системы (Western Union, PayPal и др.);

· покупка поддельной валюты за биткоины — «идеальный отмыв»;

· полуфабрикаты киберкриминальной экономики — краденые аккаунты пользователей (PayPal, Skype, кредитные карты — «СС» на жаргоне киберпреступников) для дальнейшей монетизации и отмыва денежных средств;

· фальшивые паспорта и удостоверения личности (США, Англия, Финляндия и много других);

· хранилища персональных данных о знаменитостях;

· сервисы физических атак — заказные избиения, взрывы, изнасилования, убийства (включая симуляцию несчастных случаев и убийств политиков).

Отдельно упомяну краудсорсинговый сервис заказных убийств. Сервис предлагает всем желающим скинуться на финансирование убийства персоны в списке, в котором фигурируют Барак Обама, Бен Бернанке, Джастин Бибер и другие известные личности.

Из отчетов очевидно, что у рядового пользователя растут возможности «подставить» организацию. Что можно предпринять для контроля такого вида риска:

· ограничить возможности пользователя минимально необходимыми правами на установку ПО, на просмотр ресурсов Интернет, на скачивание файлов;

· организовать запись и мониторинг действий пользователей, ранее подписавших согласие на мониторинг их работы. Это предоставит организации доказательства, что действия пользователя совершались без приказа руководства;

· не допускать в сеть организации устройства, не соответствующие стандартам безопасности — как минимум без установленных последних обновлений, антивируса и агента системы управления конфигурацией. Допуск такого устройства создает проходной двор — пользователь сможет искать путь в Интернет мимо прокси-сервера, не имея минимальных средств защиты, становясь фактически магнитом для разнообразной заразы.

Перед организациями встают все новые вызовы в плане защиты корпоративных активов и обеспечения законности использования корпоративных активов сотрудниками. Киберпреступность развивается быстро, в том числе за счет перекрестной помощи и обучения новичков. Организациям следует больше обсуждать проблемы кибербезопасности внутри своих индустрий и делиться информацией об эффективных практиках.

Непонятно, почему доступ к Даркнету до сих пор не запрещен на национальном уровне в России и других странах. Возможно, Даркнет наносит больше урона российской и мировой экономике (особенно учитывая то, что свыше 41% индексируемого контента в нем на русском, хотя доля Рунета в Интернете всего 6,5%), чем нелегитимный и экстремистский контент, доступ к которому закрыт Реестром запрещенных сайтов. Технологическая сложность запрета — не оправдание для сохранения возможности заказа убийства, приобретения оружия, поддельных документов, кибероружия и других недопустимых товаров.

Другой возможностью разрушения структуры киберкриминальной экономики является уголовная ответственность за использование анонимных валют (в первую очередь биткоина). Запретив пользоваться такими деньгами, мы разрушим рынок нелегальных услуг Даркнета. Конечно, подобная стратегия должна включать расследования в отношении обменников с биткоина на другие валюты и платежные системы.

Бездеятельность национальных правительств и оцифровка заказа убийств и покупки других недопустимых товаров и услуг создает потенциал для новых бизнес-моделей киберкриминальной экономики. Технологически сегодня можно за 1-2 млн. долл. создать своего рода «Яндекс.Такси для убийц», что консолидирует «рынок», повысит доступность услуг убийц и их утилизацию. Вместе с уничтожающим рабочие места экономическим кризисом и удешевлением доступа в Интернет это может иметь катастрофические социальные последствия. Для справки — нужный миллион долларов может принести всего одна успешная атака на ДБО юридического лица.

Особенности национальной киберпреступности в «глубинах» Интернета

Исследователи Trend Micro выявили особенности различных рынков киберпреступности:

· российский рынок функционирует с высокой степенью автоматизации, игроки конкурируют между собой и снижают время вывода продуктов/услуг на рынок (time-to-market);

· немецкий рынок является «вещью в себе», предоставляя сервисы для атаки немецких пользователей и продавая аккаунты немецких сервисов. Прослеживаются связи с российским рынком, вероятно немецкие преступники учатся у своих «больших братьев» из России;

· латиноамериканский рынок функционирует как экспресс-университет, быстро обучая новичков киберкриминальному делу;

· американский рынок отличается открытостью как для киберпреступников всех уровней (поддерживая новичков), так и для правоохранительных органов;

· китайский рынок предлагает не только ПО и услуги, но и оборудование, выступая мировой лабораторией «железа» для киберкриминала;

· японский рынок отличается высокой степенью закрытости и анонимости;

· канадский рынок поменьше других, но достаточно заметен, фокусируется на фальшивых или украденных документах, удостоверениях личности, кредитных картах и аккаунтах. Ориентирован не только на внутреннего потребителя но и на США и Ближний Восток.

Каждый рынок в целом способен обеспечить себя всеми видами киберкриминальных товаров и услуг, но некоторые товары и услуги являются более популярными на конкретных рынках, например, услуги отмывания денег и биткоинов особенно востребованы в Японии. В целом, особенно популярными продуктами являются краденые базы данных и поддельные документы.

Киберкриминальная экономика — уже не просто хорошо функционирующий механизм, но теневая часть традиционной экономики. А это значит что разъединить их будет чем дальше, тем сложнее...

Автор статьи — сертифицированный специалист по управлению информационной безопасностью корпоративных и облачных ландшафтов, член международных ассоциаций ISACA, ASIS, ACFE.

Версия для печати (без изображений)