Русские хакеры пришли

Print More

Что заставило отечественных специалистов по взлому банковских сайтов адаптироваться к новым условиям и отказаться от работы на территории страны своего пребывания

 Правда ли то, что российские хакеры засветились во многих масштабных кибератаках? Или это скорее миф, чем реальность? Для начала стоит определиться, что мировое сообщество понимает под русскостью в этом контексте.

Исторически сложилось, что некоторое время назад на постсоветском пространстве «образовалось» значительное число людей с высоким уровнем технических компетенций, таланты, умения и опыт которых рынком оказались не востребованы. Их обращение на так называемую темную сторону силы стало возможностью применить свои навыки и зарабатывать столько денег, сколько необходимо (или даже немного больше). Кроме качественного технического образования в их копилке оказался и уникальный практический опыт: пока кто-то тренировался в лабораторных условиях, хакеры на территории бывшего СССР обкатывали технологии взлома прямо на «живых», работающих системах. Еще несколько лет назад целями их атак, кстати, были российские активы — стоит вспомнить громкие истории со взломом порталов информационных агентств и раздачи через них троянов, организацию огромных (до миллиона машин) ботнет-сетей и тому подобные.

Однако в последнее время отечественные силовые структуры в тесном сотрудничестве с коммерческими организациями, оказывающими услуги по расследованию киберпреступлений, наглядно продемонстрировали свою эффективность, что заставило хакеров адаптироваться к новым условиям и отказаться от работы на территории страны своего пребывания. Фокус сместился в сторону атаки на «заграницу». В результате мы видим, как схемы, которые реализовывались на территории России и стран СНГ год-полтора-два назад сегодня активно используются при атаках на активы стран Европы, Северной Америки и другие.

Поэтому неудивительно, что на хакерском рынке сегодня велико влияние групп с территории бывшего СССР, внутри которых принято общение преимущественно на русском языке, и их принадлежность к России часто указывается на основе, к примеру, языка локальной машины, который использовался при компиляции.

Однако в реальности это интернациональные хакерские группы с костяком из выходцев с постсоветского пространства и правильнее говорить не о «русских», а о «русскоговорящих» хакерах. Частенько приходится поправлять западных коллег, активно использующих словосочетание «русские хакеры», отмечая что есть слишком много стран на постсоветском пространстве, где очень неплохо говорят по-русски. И они с этим соглашаются, но при всем этом силу прямой ассоциации между русским языком и Россией скидывать со счетов все же не стоит.

Награда за «голову» как профессиональное признание

Если говорить именно о русскоговорящих хакерах, то кроме широчайшего практического опыта на общем фоне их отличает еще и некоторая находчивость, умение мыслить более глобально и аналитически, видеть не отдельные уязвимости, а их комбинации и т.п. Кстати, компании, занимающиеся Threat Intelligence(набор сервисов по информированию об угрозах — Forbes), сегодня содержат русскоговорящий штат для анализа русскоязычного сегмента интернета, и в том числе русскоязычных хакерских форумов, что также говорит о том, что русскоязычные хакеры отнюдь не на задворках.

Еще одним своего рода косвенным «квалификационным» подтверждением уровня можно считать разброс цен за «головы» хакеров — и здесь русскоязычные «герои» частенько мелькают на вершинах ценовых чартов, а суммы, объявленные иностранными силовыми структурами, исчисляются миллионами долларов. Это оценка их технических возможностей, формирующаяся исходя из объема причиненного ущерба либо оценки рисков от возможных атак в будущем. Например, при взломе интернет-банкинга отдельного частного лица ущерб относительно не велик. А уж с точки зрения восстановления после него затраты и вовсе незначительны. Что там? Только восстановить банковскую карту да компьютер?

Если же речь идет о целевой атаке на инфраструктуру, скажем, банка, то по-хорошему можно считать, что скомпроментирована вся инфраструктура (или ее критические элементы). Например, некоторый вид троянов живет только в памяти и при выключении компьютера удаляется. Но проблема в том, что пока компьютер работает, он заражает соседние, и самый логичный способ действий – единовременное отключение всех машин или поочередное отключение по специально разработанной схеме. Однако, если, скажем, затронут сегмент платежной системы, то стоимость даже часового ее простоя может исчисляться сотнями тысяч долларов. Поэтому с точки зрения стоимости последствий взлома восстановление инфраструктуры может вылиться в десятки тысяч человекодней и в этом случае ущерб оценивается миллионами (или десятками миллионов).

Всегда ли русские – русские?

По большому счету все преступления можно разделить на несколько типов. Во-первых, нельзя не упомянуть об атаках, которые совершались русскоговорящими хакерскими группами, были нацелены на российские активы (или активы стран ближнего зарубежья) и успешно расследовались. Как, к примеру, нашумевшая история вокруг киберпреступной группы Carberp, одной из первых начавшей использовать вредоносные программы для компрометации систем ДБО и нацеленных на мошеннические операции против крупнейших банков России. Стоит отметить, что, хотя наибольшая активность группы была зафиксирована весной и летом 2012 года, созданный ею ботнет продолжал быть активным даже после арестов членов группы.

Вторым типом можно считать те атаки, целью которых были зарубежные активы, однако расследования велись в России, но по инициативе западных организаций. Один из ярких примеров годичной давности, когда управление «К» МВД Россиипрекратило деятельность международной хакерской группировки, атаковавшей системы Visa и Mastercard. Причем в этом случае преступников взяли практически с поличным – на попытке хищения 1,5 млрд рублей из нескольких банков сразу.

Третий вариант: атаки, виновниками которых были признаны русские хакеры и их аресты были произведены на территории сторонних государств. Так, например,Александр Панин был арестован в международном аэропорту Атланты и там же, в Атланте, приговорен к 9,5 годам заключения по обвинению в создании вируса, атаковавшего более 250 финансовых учреждений и ущерб от которого был оценен в 120 млн. долларов.

Четвертый — это те преступления, о которых известно, но преступники пока не пойманы и национальности киберталантов не известны. Так, например, группа, известная как Armada Collective продолжает шантажировать компании, специализирующиеся на интернет-коммерции, DDoS-атаками. И известность ее деяний даже привела к появлению «подражателей».

К пятому типу можно отнести все те истории, в которых ошибочно винили русских хакеров. При недостаточном углублении в тему, атаки не редко выглядят инициированными из России. Например, атакующий использует цепочку промежуточных узлов и с точки зрения жертв сервер, куда отправляются чувствительные данные, находится в России. А на самом деле в России лишь промежуточный узел, за которым есть еще второй и даже третий, и более тщательное расследование вполне может привести нас в дата-центр, скажем, в Голландии. И вот таких случаев, когда с точки зрения размещения сетевой инфраструктуры, атака только кажется инициированной из России, в общей массе намного больше половины.

Да, многие уникальные идеи и технологии действительно имеют славянские корни. Но если рассматривать проблему хакерства с технологической точки зрения, то следует помнить, что современные способы коммуникации размывают границы между странами. Да и сами злоумышленники, будучи своего рода космополитами, с большим успехом используют наработки, опыт и находки друг друга, не сковывая себя какими-либо границами государств.

Владимир Кропотов

Forbes

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *