Летом 2018 года в РБК сообщили, что в рамках национального проекта «Информационная безопасность» планируется создать единую систему мониторинга хакерских атак. Платформа предназначена для противодействия киберпреступности: граждане, компании и органы правопорядка смогут обмениваться информацией для быстрого обнаружения и пресечения киберпреступлений. Вице-президент Ассоциации банков России Алексей Войлуков тогда сообщил, что систему включили в предварительную версию нацпроекта «Информационная безопасность».
На момент осени 2019 года судьба системы остается невыясненной, а интенсивность хакерских атак и в России, и за рубежом. Причин множество; одна из них – простой доступ в интернет: можно войти с компьютера или мобильного устройства из любой точки мира. Помимо этого, в Сети представлено огромное количество информации на тему хакинга, и даже несведущий в программировании человек после прочтения нужной сможет взломать чужой компьютер или локальную сеть.
Экспортный хакинг
В интервью Forbes Евгений Касперский назвал русских хакеров «самыми злобными в мире». Действительно ли это так? Израильская Check Point Research и фирма Intezer провели исследование, где описаны все хакерские атаки, связанные, по их мнению, с хакерами из России, за несколько десятков лет.
Цифры такие:
- Изучено примерно 2 000 образцов кода, приписываемого россиянам.
- Обнаружено 22 000 связей между изученными образцами и 3,85 млн элементов кодов, зафиксированных с разной периодичностью и относящихся к одним и тем же хакерским группировкам.
- «Российский» хакерский код поделен на 6 больших кластеров, 60 «семейств» и 200 модулей.
В результате была разработана интерактивная карта всей хакерской активности, которую на Западе связывают с нашей страной. При нажатии на любой из узлов схемы появляется боковая панель с информацией о семействе вредоносных программ и со ссылками на аналитику от Intezer и на внешние площадки с релевантными материалами.
В этом исследовании есть два момента, которые ярко характеризуют российский рынок хакинга.
У каждого свой код
Хотя российские хакеры и используют повторно коды для кибератак, между собой они ими не делятся. Иными словами, разные семейства вредоносного программного обеспечения (ВПО) не имеют единых фреймворка, библиотек и инструментов. Получается, что у каждой хакерской группировки свой «коллектив специалистов», которые многие годы работают и создают схожий по функционалу инструментарий ВПО. Это порождает его богатейший выбор на рынке софта для взлома.
Вывод можно сделать и без помощи компании – российским хакерам такое положение дел выгодно, потому что снижается риск раскрытия всех остальных кибератак в результате провала текущей.
Многомиллионные затраты
Раз у хакеров из России такое большое количество информационных ресурсов и компетенций, они будут наращивать интенсивность и глубину кибератак, а это означает вложение миллионов долларов в «наступательные операции» в киберпространстве.
Верить ли в участие «русских хакеров» в состоявшихся и планирующихся кибератаках – вопрос аналитических исследований и в конечном счете личное дело каждого. Но то, что кибератаки становятся мощнее, а их жертвами становятся даже самые крупные организации – факт:
- Кибератака на Национальный комитет Демократической партии США. Обвинения выставили против двух группировок взломщиков – Cozy Bear и Fancy Bear. Утверждается, что представители Fancy Bear использовали ПО X-Agent для удаленного выполнения команд и передачи файлов, запущенное командой rundll32.
- Хакерские атаки на WADA, когда была взломана база данных агентства. Скандал дополнился тем, что группировка Fancy Bear выложила в Сеть данные о спортсменах, принимавших участие в Олимпийских играх в Бразилии в 2016 году.
- Корпорация Microsoft рассказала об атаках группировки Fancy Bear на 16 антидопинговых агентств и спортивных организаций по всему миру и что это говорит о готовящихся взломах во время Олимпийских игр 2020 года в Токио.
- В октябре 2019 года Великобритания и США заявили, что российские хакеры взломали своих иранских коллег и применили их методы для атаки организаций 35 стран. Утверждается, что группа Turla, известная как Waterbug и Venomous Bear, получила в распоряжение инструментарий группировки OilRig, которую связывают с иранскими властями. После этого российские хакеры начали кибератаки, воспользовавшись инфраструктурой и ПО иранцев.
Экспортный хакинг становится экспортным буквально: атаки под «чужим флагом» становятся все более популярными. Так, во время проведения Олимпийских игр в Пхёнчхане (Южная Корея) в 2018 году российские хакеры применяли часть кода, принадлежащего группировке Lazarus Group (Северная Корея).
Навыки и инструментарий хакеров
Мы уже говорили, что навыки взлома доступны и неспециалистам в ИТ, однако, чтобы считаться хакером, нужны не только «хакинговые программы», но и профессиональные навыки:
- Хорошие познания в сфере ИТ (разбираться в Python или Perl, работать с SQL, ориентироваться в Assembler и C).
- Особый тип мышления, предполагающий творческий подход, любовь к свободе и стремление всегда прийти на помощь «коллеге».
- Опыт и знания. Навык вырабатывается через теорию и практику (профильное ИТ-образование и самостоятельное обучение хакингу).
- Умение решать проблемы. Перед хакером всегда стоят неизвестные задачи, требующие самостоятельного принятия решений.
- Настойчивость – способность решать любые задачи от начала до конца.
- Что касается инструментария, есть ряд утилит, которые должен хотя бы в общих чертах знать каждый хакер. В их числе платформа для тестирования, поиска и использования уязвимостей, программный набор для обнаружения беспроводных сетей и перехвата передаваемого трафика, утилита с открытым исходным кодом для исследования Сети и проверки безопасности и т. д.
- Вместе с тем, используемое хакерами ПО может быть не только оружием для нападения, а использоваться в профилактических и диагностических целях.
Методы противодействия хакингу
Россия регулирует вопросы незаконных проникновений в чужие ИТ-инфраструктуры. Это отражено в 28-й главе Уголовного кодекса РФ «Преступления в сфере компьютерной информации»:
- Статья 272. «Неправомерный доступ к компьютерной информации».
- Статья 273. «Создание, использование и распространение вредоносных компьютерных программ».
- Статья 274. «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».
- Статья 274.1. «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
Наказания по этим статьям варьируются от штрафов до лишения свободы за незаконный доступ к компьютерной информации, распространение вредоносного программного обеспечения, а также нарушение требований по хранению, обработке и передаче персональных данных.
Хакера могут привлечь к уголовной ответственности, если:
- Он использовал вредоносное ПО или получил доступ к информации, которая охраняется законом.
- Был пойман на месте преступления или имеются стопроцентные доказательства, что атаку произвел именно он.
- Доказан его преступный умысел или халатность ответственных лиц.
Защиту от хакерских атак нужно обязательно организовать в компаниях с ИТ-инфраструктурой. Как это делать, мы писали в блоге ITGLOBAL.COM:
- Защита персональных данных в России – красные линии для бизнеса.
- С какими киберугрозами приходится сталкиваться бизнесу?
- Как защититься от киберугроз и кто под угрозой.
Не лишним будет повторить, что основа в противодействии хакерским атакам – в реализации на предприятии программных и аппаратных средств обеспечения информационной безопасности, куда входят следующие меры:
- Разграничение прав доступа пользователей к информационной системе.
- Организация парольной политики в организации.
- Антивирусная защита.
- Резервное копирование – напрямую не защищает от хакерских атак, но позволяет быстро восстановить данные после таковых.
- Внедрение механизма двухфакторной аутентификации.
- Защита доступа к Сети (системы обнаружения вторжений, межсетевые экраны).
- Внедрение систем защиты от DDoS-атак.
Заключение
Как аналитики, так и практики однозначно утверждают, что хакерские атаки будут увеличиваться, а их программно-аппаратные методы – развиваться. Лучшей защитой станет не только принятие мер по противодействию атакам, но и их профилактики.
ITGLOBAL.COM предлагает своим клиентам услугу рentest (тест на проникновение в систему), где имитируются целевые атаки злоумышленников и выявляются уязвимости в ИТ-инфраструктуре. По результатам теста составляют отчет, в котором указывают:
- обнаруженные уязвимости;
- уровень их критичности;
- рекомендации по устранению.