Хакеры идут ва-банк

Случившееся с «Энергобанком», конечно, далеко не исключение, а лишь иллюстрация нового мирового тренда киберугроз, заявившего о себе относительно недавно. Эксперты ведущих компаний-производителей продуктов в области информационной безопасности в своих отчетах за 2014 год в один голос отмечают: если в предыдущие несколько лет целью хакеров были финансовые операции, проводившиеся индивидуальными пользователями, то теперь вектор угроз сместился на крупные компании, в первую очередь - банки.

Так, весной 2014 года эксперты «Лаборатории Касперского» приняли участие в расследовании инцидента, связанного с одним из киевских банков, банкоматы которого выдают деньги без физического взаимодействия с получателем. Специалисты «Лаборатории Касперского» установили, что вредоносная программа предназначалась для шпионажа, сбора данных и предоставления удаленного доступа на зараженный компьютер. Она использовала три способа вывода средств из кредитных организаций: через банкоматы, посредством перевода денег на счета киберпреступников через сеть SWIFT и путем внесения изменений в базы данных с целью создания фальшивых счетов, которые потом обналичивались «денежными мулами». Заражения происходили через целевые фишинговые (направленные на получение логинов и паролей) атаки, в ходе которых рассылались письма, содержащие документ с вредоносным кодом (это беспроигрышная стратегия, срабатывающая на протяжении десятилетий). Письма были составлены так, чтобы не вызвать подозрений, и в некоторых случаях приходили с адресов сотрудников атакованной компании. По оценкам «Лаборатории Касперского», от действий группировки пострадало около ста финансовых организаций, преимущественно в Восточной Европе, а суммарный ущерб может доходить до миллиарда долларов, что делает Carbanak (так называлась программа) самой успешной в истории преступной акцией, осуществленной через кибервзлом банка.

Кроме того, как следует из отчета «Лаборатории Касперского», в первом квартале 2015 года компания отразила попытки запуска вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам на компьютерах 929 082 пользователей. По сравнению с предыдущим кварталом этот показатель увеличился на 64,3%.

По мнению специалистов, к сегодняшнему нарастанию оборотов киберпреступности, которая, к слову, все чаще имеет лицо, имя и название организации, привел целый ряд факторов. Так, эксперт по информационной безопасности Алексей Лукацкий отмечает, что существует прямая связь между объемами рынка IT в той или иной стране, и количеством хакерских атак, которым подвергаются ее компании. Для России, в частности, эти показатели таковы: объемы отечественного IT-рынка составляют 1% от мирового, при этом на долю страны приходится 1,5-2% киберпреступлений, совершаемых в мире.

Свои «пять копеек» внесла и геополитическая напряженность. Во имя справедливости, или под видом ее, хакерские группировки провели не одну масштабную акцию в течение 2014 года. Так крупнейшая за всю историю российского интернета DDoS-атака («взлом», при котором сайт становится недоступен. - Прим. ред.) в марте 2014 года «положила» порталы «Сбербанка», «Газпромбанка», «Альфа-банка», «ВТБ 24», Центробанка, веб-сайты российских органов власти - Роскомнадзора, администрации президента, сайты СМИ - Lifenews, Первого канала, RussiaToday, «Комсомольской правды». По мнению экспертов, эта акция была связана с событиями в Крыму, а за ее организацией стояло от 4 до 10 хакерских групп.

В июне того же года хакеры (по версии компании-разработчика ПО Symantec - члены российской группы Dragonfly) с помощью программы «Энергетический медведь» атаковали энергокомпании США и ЕС. Программа позволяла отслеживать потребление электроэнергии в реальном времени и даже повреждать физические системы, включая ветряные турбины, газопроводы и электростанции. Пострадавшими оказались свыше 1000 организаций в 84 странах мира.

Еще одной новой чертой современных кибератак является их тщательная спланированность. В случае с киевским банком вирус был занесен в систему за месяц до проявления своей активности. Атака на американский энергокомплекс планировалась в течение полутора лет. Хакеры, фактически, разворачивают настоящую тренировочную модель будущей цели и методично прорабатывают все возможные ходы. При этом, как отмечает Лукацкий, более 60% конфиденциальных данных, например, крадется в течение 60 часов после проникновения в систему, 85% атак остаются незамеченными в течение недели, а организаторы больше чем половины из них выявляются в течение года.

Согласно ежегодному отчету Института Понемона, в который в 2014 году была включена и Россия, кибер-ущерб 24 российских компаний, участвующих в исследовании, составил порядка 3,3 млн долларов. При этом, с 2010 года количество успешных атак увеличилось на 144% - с 50 до 122 (в среднем для каждой из этих компаний в год).

- Задача хакера - любым способом проникнуть в сеть банка, - рассказывает специалист по информационной безопасности одного из татарстанских банков Сергей Романов. - Сегодня для этого используются любые возможности, вплоть до разбрасывания перед офисом банка флешек с вредоносным ПО. Очень часто взламывают контрагентов банка, чтобы отправить вредоносное письмо с использованием почтового ящика, которому сотрудники банка доверяют. Но если такие приемы, как фишинг и мобильные угрозы, например, загрузка приложений из магазина, который хакер стилизовал под официальный, применяются давно, то вот «Интернет вещей» (все устройства, имеющие подключение к Интернету. - Прим. ред.) как инструмент взлома - явление относительно новое. Хакеры сейчас активно упражняются во взломе всего, что так или иначе имеет доступ к локальной сети, - начиная с мобильных гаджетов и заканчивая электрической зубной щеткой, имеющей wi-fi подключение.

По мнению экспертов «Касперского», в 2015 году «Интернет вещей» будет активно использоваться хакерами, особенно при атаках на важные объекты инфраструктуры, где подключение к Интернету используется в производственных процессах.

При внедрении вредоносного кода непосредственно в файлы doc, pdf, xls, рассказывает Романов, злоумышленники используют различные техники противодействия антивирусным средствам, что зачастую приводит к тому, что привычный антивирус (как локальный, установленный на рабочем компьютере, так и используемый на межсетевых экранах и прокси-серверах) оказывается полностью бесполезным. Ситуацию усугубляет то, что в Интернете распространен широкий набор инструментальных средств по созданию подобных файлов. Правда, они все же требуют некоторой квалификации.

В целом, прогноз угроз от разработчиков ПО в сфере информационной безопасности включает в себя такие явления, как активизация и диверсификация группировок, подобных Carbanak, атаки через незащищенные (устаревшие) браузеры, атаки на банкоматы, автоматы по продаже билетов, виртуальные платежные системы. Кроме того, тенденция Cybercrime-as-a-Service (киберпреступление как услуга) продолжает набирать обороты, как и кибершпионаж. По мнению разработчиков антивирусного ПО под маркой McAfee (Intel Security), 2015 год обещает стать рекордным по количеству кибернападений через вредоносное ПО - хакеры изучили уязвимости защитных технологий, получивших бурное развитие в последние годы, и готовы к новым атакам.

Выход, по словам Романова, в комплексном подходе к информбезопасности: «Не стоит использовать разрозненные, единичные решения по защите. Кроме того, нужно обеспечивать контроль за обновлением ПО и повышать осведомленность в области информационной безопасности как сотрудников, так и клиентов».

Знаковость 2015 года для сферы международной и российской информационной безопасности (если после всего вышесказанного уместно выделять ее в сферу - ведь то, что происходит в киберпространстве, может коснуться буквально каждого) уже определена следующими событиями. В апреле 2015 года на шестом российском форуме по управлению Интернетом было объявлено о подготовке проекта конвенции по информационной безопасности для стран-участниц БРИКС. В этот же день Совет безопасности России объявил о разработке новой редакции доктрины информбезопасности Российской Федерации. Госдума тем временем готовит проект законопроекта «О мерах по обеспечению информационной безопасности в РФ». А министерство связи РФ 1 апреля утвердило долгосрочный план импортозамещения програм-много обеспечения, согласно которому к 2025 году доля импорта ПО должна составлять не более 50%.