В Интернете можно заказать не только гаджеты и пиццу — киберпреступники активно используют Интернет, чтобы принимать заказы на взлом, кибератаки и кражу конфиденциальной информации. Они создали настоящую криминальную индустрию, которая продаёт инструменты и услуги по организации кибератак и даже обучает этой специфической деятельности всех платёжеспособных заказчиков, включая правительства и корпорации. Яркий представитель этой индустрии — русскоязычная группировка Void Balaur, на примере которой мы расскажем о том, как устроен рынок криминальных киберуслуг.

О Void Balaur

Первые отчетливые следы группировки, известной сегодня как Void Balaur, обнаруживаются в сентябре 2017 года (хотя есть данные, позволяющие отследить деятельность группировки вплоть до сентября 2015-го). Это было объявление на криминальном форуме с рекламой хакерских услуг некой группы Rockethack — именно под этим именем тогда выступали преступники, позиционировавшие себя как профессиональная команда, готовая за деньги выполнить взлом почтовых ящиков и социальных сетей.

Вскоре реклама услуг группировки появилась на подпольных форумах кардеров и торговцев крадеными учётными данными. Отзывы, которые Void Balaur получала на этих форумах, были единодушно положительные. В них говорилось, что хакерская служба доставляет запрашиваемую информацию вовремя, а также отмечалось высокое качество информации из взломанных почтовых ящиков.

Примечательно, что Void Balaur всегда размещала рекламу только на русскоязычных криминальных ресурсах.

Ассортимент хак-услуг

Основной деятельностью Void Balaur был взлом бесплатной веб-почты, социальных сетей и корпоративных почтовых ящиков. Копии содержимого почтовых ящиков некоторых российских почтовых провайдеров хакеры предоставляли даже без какого-либо взаимодействия с пользователем.

Начиная с 2019 года Void Balaur расширила ассортимент услуг и кроме взлома стала предлагать конфиденциальные данные частных лиц из России, например:

  • российские внутренние и загранпаспорта, свидетельства о браке;
  • информацию о приобретённых билетах, для которых требуются паспортные данные (авиа- и железнодорожные);
  • данные пассажиров, прибывающих в российские аэропорты;
  • снимки камер безопасности и автоматических систем фиксации нарушений;
  • регистрационные данные автомобилей и оружия;
  • сведения о налогах граждан из ФНС;
  • остатки на банковских счетах, номера телефонов, привязанные к счетам;
  • распечатки SMS и звонков нужного абонента, а также данные о его перемещениях.

Кого взламывают

В ходе нашего исследования нам удалось собрать значительный объём информации о кампаниях Void Balaur. Мы нашли более 3500 адресов электронной почты частных лиц и компаний, которые подверглись атакам группы.

Хакеры не раскрывают заказчиков, но своими целями открыто делятся. В этом списке присутствуют:

  • правозащитники и журналисты Узбекистана;
  • бывший глава разведывательной организации;
  • пять действующих министров правительств, включая министра обороны и двух членов парламента одной из стран Восточной Европы;
  • кандидат в президенты на выборах 2020 года в Беларуси;
  • политики и чиновники Украины, Словакии, России, Казахстана, Армении, Норвегии, Франции и Италии.

Некоторые из этих атак были частью более масштабных кампаний и не ограничивались атаками только через Интернет. В результате часть людей, ставших мишенями, была вынуждена покинуть свои страны.

Некоторые фишинговые атаки Void Balaur, которые, на первый взгляд, имеют финансовый мотив, на самом деле также могут быть связаны с более масштабными кампаниями. Например, группа в течение нескольких лет проводила операции против одной криптовалютной биржи, атакуя её клиентов и руководителей компании через их корпоративные и личные адреса электронной почты. Сайт компании регулярно становился жертвой DDoS- и хакерских атак, а один из ее сотрудников даже был похищен с целью получения выкупа.

Как взламывают

Нам не удалось найти достоверной информации о том, каким конкретно способом группа проводит свои операции, особенно хищение электронной почты без взаимодействия с пользователем. Однако мы рассматриваем несколько возможных сценариев для выполнения этой задачи:

  • покупка данных через ключевых сотрудников провайдеров электронной почты;
  • компрометация сотрудников провайдеров и правоохранительных органов, имеющих законный доступ к почтовым ящикам;
  • взлом систем провайдера электронной почты через известные уязвимости;
  • использование сведений из утёкших баз учётных данных для доступа к почтовым ящикам без участия пользователя.

Телекоммуникационные данные, которые продаёт Void Balaur, включают записи телефонных звонков с указанием местоположения сотовых вышек, что позволяет узнать, кому звонил человек, продолжительность звонков и примерное место, где они были сделаны.

Стоимость получения записей телефонных разговоров с информацией о сотовых вышках или без неё у разных российских провайдеров сильно различается, примерно в десять раз. Очевидно, что получить записи телефонных разговоров у одних телекоммуникационных компаний гораздо проще, чем у других.

Мы не знаем точно, как хакерам удается получать эти конфиденциальные данные. Возможно, они получают их, давая взятки инсайдерам в телекоммуникационных компаниях. Другие возможные сценарии — взлом ключевых инженеров операторов связи или взлом сети телекоммуникационных компаний. В ходе нашего исследования мы нашли подтверждение этому варианту: Void Balaur атаковала ключевых инженеров и руководство различных мобильных телекоммуникационных компаний.

Сколько стоит взлом

Цены, которые запрашивают хакеры за свои услуги, довольно демократичны. Например, в 2020 году доступ к почтовому ящику Mail.ru они были готовы предоставить всего за 5 тыс. руб., к почте Yandex — за 8 тыс., а взлом учётной записи в «Одноклассниках» или VK готовы выполнить за 15 тыс. В те же 15 тыс. руб. обойдётся взлом любой корпоративной почты. А вот предоставление доступа к почтовому ящику Gmail оценивается уже в 30 тыс.

Стоимость сведений о российских и заграничных паспортах начинается от 1500 руб.; информация о приобретённых авиабилетах дороже — от 2 тыс. Если же кому-то потребуются данные пассажиров, прибывших в российский аэропорт, придётся раскошелиться уже на 9 тыс. руб.

Паспортные данные владельца телефонного номера обойдутся в сумму от 700 до 5 тыс. руб., а распечатка звонков и SMS без сведений о местоположении — от 2 до 35 тыс. Если же нужна и геолокация, ценник стартует от 60 тыс. руб.

Как защититься

Методы Void Balaur весьма результативны, но это не значит, что известные приёмы обеспечения безопасности пора вычёркивать. Значительно повысить уровень защищённости от киберпреступных группировок поможет соблюдение следующих правил:

  • включите двухфакторную аутентификацию для электронной почты и аккаунтов в социальных сетях, но вместо SMS используйте приложение-аутентификатор от Google, Microsoft, «Яндекс» или устройство-ключ, такое как Yubikey;
  • используйте приложения со сквозным шифрованием для коммуникаций;
  • используйте для конфиденциальной переписки системы шифрования, такие как Pretty Good Privacy (PGP);
  • не храните прочитанные письма в почте — если ваш почтовый ящик взломают, получат доступ ко всем вашим сохранённым секретам;
  • устанавливайте время жизни отправленных сообщений в мессенджерах, которые поддерживают такую функцию;
  • шифруйте диски на компьютерах и ноутбуках, чтобы при краже устройства посторонние не получили доступ к вашим данным;
  • выключайте ноутбуки и компьютеры, когда они не используются.

Михаил Кондрашин, технический директор Trend Micro в СНГ, Грузии и Монголии