Свернуть
Как киберпреступность превратилась в одну из главных угроз XXI века

Как киберпреступность превратилась в одну из главных угроз XXI века

Недавно, два года назад хакерские атаки заняли шестое место в рейтинге глобальных рисков, составленном экспертами Всемирного экономического форума. Сегодня взломщики шпионят в пользу правительств, обесточивают целые города и становятся угрозой куда более реальной, чем глобальное потепление или ядерный конфликт.
Редакция ПМ

Обычная многоэтажка на окраине Петербурга. Стихийная парковка во дворе, детская площадка под окнами. Сегодня здесь чуть более шумно, чем обычно, — железную дверь на пятом этаже режет болгаркой полицейский спецназ. В это же время по другую ее сторону братья-близнецы Дмитрий и Евгений Попелыши пытаются смыть в унитаз полмиллиона рублей наличными, флешки и сим-карты.

Меньше чем за два года братья-хакеры взломали несколько тысяч счетов клиентов российских банков и сняли 12,5 млн рублей. В их подчинении находились программисты, трафферы (распространители вредоносных программ, с помощью которых хакеры завладевали счетами), дропы — специалисты по обналичиванию краденых денег, прозвонщики, представлявшиеся сотрудниками банков.

На краденые деньги Попелыши купили несколько квартир, машины — Porsche Cayenne и BMW X5, яхты. Но руководить операциями предпочитали из квартиры на окраине Петербурга — такой же, как и любая другая в этом районе, если бы не мощная электромагнитная пушка, установленная здесь — для моментального уничтожения информации на жестких дисках на случай визита полиции. Такого, как сегодня.

Железная дверь наконец поддалась, и в квартиру ворвались спецназовцы. Вслед за ними вместе с оперативниками и следователями вошли еще два человека. Их имена и внешность засекречены, как у сотрудников спецслужб. Они специалисты компании Group-IB, пожалуй, самой известной команды борцов с киберпреступностью в стране. Их задача — собрать цифровые доказательства для уголовного преследования хакеров. Так, чтобы и электромагнитная пушка не помогла.

«Долгое время киберпреступники чувствовали себя в безопасности. Они получали незначительные сроки за гигантские кражи. Компьютерный преступник, хакер, не вызывал в обществе негативных эмоций, в отличие, например, от наркодилера. Сейчас ситуация меняется», — это цитата из блога сооснователя и генерального директора Group-IB Ильи Сачкова.

По итогам суда братья получили восемь лет заключения. Их дело — одно из тысячи, проведенных командой Сачкова за последние 16 лет. Полторы сотни дел завершились для киберпреступников тюрьмой.

Сооснователь Group-IB Илья Сачков

Московский офис Group-IB занимает четыре этажа бизнес-центра в Южнопортовом районе Москвы. На стеклянном столике в холле аккуратно разложены журналы, на обложках — Илья Сачков. Рядом черные папки с логотипом, напоминающим эмблему «Людей в черном». Это для потенциальных клиентов — как правило, владельцев крупного бизнеса, людей из финансового сектора.

Защита международных банков и корпораций от киберпреступников — сегодня главный источник дохода Group-IB. При этом, когда хакеров нужно отправить за решетку, команда Сачкова плотно сотрудничает с российскими правоохранительными организациями, Интерполом и Европолом.

Мы идем по длинному коридору, мимо помещений, напоминающих одновременно и Центр управления полетами (большой экран на стене, ряды компьютеров перед ним), и комнату в студенческом общежитии: на стенах — плакаты с героями комиксов и рок-музыкантами, откуда-то доносится голос Дженис Джоплин.

Когда офис только открывался, Сачков лично участвовал в его оформлении — развешивал маски Гая Фокса, борца против режима из фильма «V — значит вендетта», а впоследствии — одного из самых популярных символов интернет-сопротивления; постеры с надписями Hole to Another Universe («Дыра в другую вселенную») и «Правилами успешных людей».

На одной из стен плакат «Полезные животные». На нем — милые, словно нарисованные для детей-дошкольников звери. Под каждым — подпись. Заяц: «Не забывай заботиться о себе». Ежик: «Ты мило выглядишь сегодня». Утенок: «Сопротивляйся темноте внутри себя и выйди победителем, укутавшись внутренними демонами, возродись снова».

— Это какой-то новый, недавно Илья повесил, — усмехается один из сотрудников компании, замечая, что я разглядываю плакат. Мы идем на встречу с Рустамом, специалистом департамента киберразведки.

На Рустаме обычные футболка и джинсы. Он выглядит немного застенчивым.

— За последние пять лет почти 98% известных нам киберпреступлений были финансово мотивированными. Главной целью кибератак были банки и их клиенты, — говорит Рустам. — Но сегодня тенденция меняется. Все чаще мы наблюдаем, как проправительственные хакерские группы из разных стран совершают кибератаки на другие государства. Их задача — шпионаж или саботаж.

Если забить в поисковик слова «Натанз» и «Иран», то первая ссылка приведет вас на TripAdvisor, сайт с советами для путешественников. Отзывы о ресторанах, музеях и оте­лях, тысячи фотографий — в основном живописные виды и снимки древних мечетей. Но Натанз интереснее, чем кажется на первый взгляд. В паре часов езды от города, глубоко под солончаковой пустыней, — завод по производству обогащенного урана. В огромном подземном цехе 5000 центрифуг с ураном вращаются со скоростью 1000 оборотов в секунду. Позже его используют, например, в боеголовках ядерных ракет. Территорию охраняют комплексы ПВО и вертолеты, вооруженная охрана и бронетехника, установлена сложная система паролей. Предприятие полностью изолировано от интернета.

Но когда в январе 2010-го один из сотрудников завода вставил в свой рабочий компьютер USB-флешку, все меры безопасности оказались бессмысленными.

Центр реагирования на инциденты информационной безопасности CERT Group-IB

Владелец флешки не подозревал, что на ней записан вирус Stuxnet. Программа проникла в систему, перехватила управление центрифугами с ураном и ускорила их вращение — до 1400 оборотов в секунду. Цех начал разрушаться. Иранцам удалось вернуть себе управление, но 1000 центрифуг были уничтожены.

За считаные минуты иранская ядерная программа была отброшена на пару лет назад. О том, что это была операция американской и израильской разведки под кодовым названием Olympic Games («Олимпийские игры»), мир узнал случайно — после взлома серверов хакерской группы Equation Group, которая считалась тесно связанной с АНБ (Агентство национальной безопасности США).

«Олимпийские игры» стали поворотным моментом в кибервойне, идущей между государствами. Медиа заговорили о хакерах как об оружии, о проправительственных хакерских группировках, работающих по наводке спецслужб, и об опасности, которую они могут представлять для всего мира.

В 2017 году эксперты Всемирного экономического форума назвали кибератаки, «достигшие беспрецедентных масштабов», одним из главных глобальных рисков после экологических и геополитических проблем. «Пока кибератакам отведено шестое место в десятке технологических рисков, — прокомментировал тогда заседание ВЭФ Илья Сачков. — Но не пройдет и пяти лет, как эта угроза может занять первую строчку». К 2019 году кибератаки вошли в пятерку.

Два года назад заседание ВЭФ прошло после атаки вируса-шифровальщика WannaCry, одной из самых масштабных хакерских атак в истории. За три дня программа атаковала 200 000 компьютеров в 150 странах мира, включая сети университетов в Китае, заводы Renault во Франции и Nissan — в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии.

Атака WannaCry едва не обернулась техногенной катастрофой, и обеспокоенность экспертов ВЭФ легко понять. Ущерб от вируса оценили в $1 млрд, а эксперты страхового рынка Lloyd’s of London посчитали, что мир легко отделался — потери могли достичь $121 млрд. Это было бы разрушительнее, чем шторм «Сэнди» в 2012 году (ущерб — $70 млрд) или ураган «Катрина» в 2005-м ($108 млрд).

Кто стоял за глобальной хакерской атакой — неизвестно, но ряд мировых экспертов, включая Group-IB, считают, что это дело рук северокорейской проправительственной группы Lazarus.

«Установить принадлежность той или иной страны к взлому не просто, — рассказывает Рустам. — Иногда разработчики программ по ошибке оставляют артефакты в коде, которые позволяют установить их родной язык. Иногда мы проводим так называемый частотный анализ — если атак было множество, смотрим, в какое время они были совершены и во сколько начинался рабочий день в той или иной стране. Данные позволяют сделать какой-то вывод».

Северокорейские хакеры из Laza­rus и до этого атаковали мировые финансовые центры, например, годом ранее — центробанки ряда стран мира, включая российский. Но с меньшим успехом.

«В 2016 году Lazarus атаковали финансовые учреждения Бангладеш, России, стран Южной Америки, Европы, — перечисляет Рустам. — Они целились в банки 30 государств. Нам удалось пройти по их следу, что было довольно сложно — они использовали трехслойную структуру, поэтапно заражая компьютеры в разных уголках мира».

Незадолго до появления Wanna­Cry группа хакеров The Shadow Brokers опубликовала архив файлов, принадлежащих АНБ. Согласно документам, АНБ проводили атаки на ряд крупных банков. Но не с целью хищения денег. Они хотели проследить финансовые потоки.

Помимо этих документов The Shadow Brokers опубликовали инструменты для взлома, которыми пользовались американские хакеры. Именно их использовали Lazarus в одной из самых разрушительных хакерских атак в истории.

На кожаном диване в лаборатории компьютерной криминалистики Group-IB — крупнейшей в Восточной Европе по числу раскрытых преступлений — сидит ее руководитель, 32-летний Валерий Баулин. В отличие от Сачкова, предпочитающего хорошие костюмы, Баулин не заморачивается внешним видом — на нем светлые джинсы, футболка, на руке простые спортивные часы.

В отделе Баулина работают 16 человек, в основном мужчины, средний возраст — 28 лет. Основные требования при приеме на работу, не считая профподготовки, — четкие моральные и этические принципы. «Бывших хакеров на работу не берем, какими бы талантливыми ни были. Искушения большие. Нужно иметь железную силу воли, чтобы отказаться от миллиона долларов, которые тебе могут пообещать преступники», — Валерий вспоминает о реальном предложении, поступившем одному из его подчиненных.

Чем компьютерная криминалистика отличается от обычной? Улики — цифровые. Специалисты устанавливают, как проводилась кибератака, какие инструменты использовали хакеры, как похищали и обналичивали деньги. В поисках улик приходится перелопачивать террабайты информации. Не так давно сотрудникам Group-IB пришлось разбирать данные с двух тысяч жестких дисков из банка, в котором шло финансовое расследование. Специалисты лаборатории регулярно выступают на судах в качестве экспертов. «Ни разу за всю историю суд не отклонил наши доводы», — с гордостью говорит Валерий.

«Сегодня вероятность стать жертвой компьютерного преступления выше, чем шанс пострадать от обычных преступников», — еще одна цитата из блога Сачкова. Валерий говорит, сегодня это тренд: миру известны случаи, когда преступники, занимавшиеся рэкетом или разбоем, переключаются на хакерские атаки. Для этого необязательно разбираться в IT — можно нанять команду специалистов и направлять их.

Вечером 7 марта 2019 года Венесуэла начала погружаться во тьму. В целых районах страны возникли перебои с электричеством. За считаные дни без света оказалась и столица, Каракас. В городе и округе начались массовые грабежи, ситуацию усугубили возникшие проблемы с водоснабжением. В полной темноте люди с факелами грабили магазины.

В пятницу, 9 марта, министр информации Венесуэлы Хорхе Родригес сделал заявление: проблемы с электричеством возникли в результате кибератаки со стороны США на систему управления ГЭС «Гури». С ним не согласился Хуан Гуайдо, лидер оппозиции, обвинивший в возникших проблемах правительство.

«Мы не можем однозначно сказать, что произошло в Венесуэле, нам не передавали технические данные, — говорит Рустам, — но то, что такие атаки реальны, — факт. Правительства разных стран тестируют такие возможности, они интересны им, а следовательно, в эти области вливаются деньги. И миру известны случаи, когда такие атаки проводились».

В декабре 2015 года после атаки хакерской группы Black Energy остались без света 1,4 млн человек в Ивано-Франковской области Украины.

«Энергетический сектор сейчас — это тестовый полигон для взломщиков, — объясняет Рустам. — То, что мы видим сегодня, — только проверка возможностей. В будущем такие группы смогут оставлять без света и воды целые мегаполисы».

Когда взломщики начали работать на спецслужбы, сказать невозможно. Есть данные, указывающие, что хакеры действовали в интересах США еще во время американской операции в Югославии в 1999-м, выводя из строя инфраструктуру и затрудняя связь в регионе.

До 2017 года целью вирусов-шифровальщиков в основном были физические лица и небольшие компании. Затем все изменилось — шифровальщики начали атаковать крупные корпорации и стратегические объекты — аэропорты, метро. «Сегодня хакеры — это цифровое оружие», — повторяет Рустам.

Методы атак проправительственных группировок все изощреннее — действуя вместе со спецслужбами, они придумывают все более сложные ходы. Если разведку интересует конкретный человек — они могут установить за ним наружное наблюдение и определить круг новых знакомств. А затем написать от имени нового знакомого письмо. Человек его откроет, будучи уверенным, что знает получателя, и пройдет по указанным ссылкам. На его устройство проникнут шпионские программы, способные вести слежку, записывать аудио и видео, заражать другие компьютеры и управлять ими.

С Рустамом и Пав­лом Седаковым мы обсуждаем Китай. На сегодняшний день в этой стране одна из самых развитых систем видеонаблюдения с функцией распознавания лиц. На китайских серверах формируется база данных с подробным досье на каждого гражданина страны. «Насколько я помню, Китай сейчас пытается собрать всю информацию о своих жителях. В том числе у них особая контртеррористическая база, — рассуждает Рустам. — На сервере будут данные обо всех, включая военнослужащих и людей из госсектора. Страшно представить, что с этой информацией можно сделать, попади она не в те руки».

Мы вспоминаем приложение Get Contact, получившее вирусную по­пулярность в России прошлым летом. Забив в программу любой телефон, вы могли увидеть, как адресат записан в телефонных книжках десятков других людей. «Приложение сливало вашу адресную книгу в общую базу. Известны случаи, когда человек вводил имя своего знакомого — условно, Антона — и видел, что у кого-то он записан «Антон СВР» (СВР — Служба внешней разведки России). На этом примере я хочу показать, насколько печальны могут быть последствия слива для людей, например, работающих под прикрытием».

В одной из своих лекций Сачков говорит о развитии системы «умных» городов — когда разные функции, начиная от водоснабжения и электричества, заканчивая системой светофоров и вывозом мусора, будут контролироваться через интернет автоматизированными алгоритмами. Сложно представить, в какой хаос может погрузить этот город тщательно спланированная хакерская атака.

Что может защитить нас от возможной технологической катастрофы?

«Мы часто говорим владельцам компаний, что сотрудников необходимо обучать цифровой гигиене, — говорит Рустам, — в ближайшем будущем обучать детей компьютерной грамотности будет так же логично, как учить смотреть по сторонам, переходя дорогу. Когда против хакеров ничто не сработает — ни железо, ни специалисты, — последним, кто сможет предотвратить катастрофу, будет человек.»

Материал был впервые опубликован на сайте Esquire.ru.

Интересно как устроен ядерный реактор и могут ли роботы построить дом?
Все о новых технологиях и изобретениях!
Спасибо.
Мы отправили на ваш email письмо с подтверждением.
Комментарии

Авторизуйтесь или зарегистрируйтесь,
чтобы оставлять комментарии.