Нюансы информационной безопасности в сети: кого искать – хакеров или пострадавших?

Журнал «Коммерсантъ Деньги» от 23 февраля

Истории о том, что в Интернете было совершено очередное «преступление века», редко удостаиваются широкого обсуждения. Хакеров постоянно кто-то разоблачает – это огромная индустрия: объем мирового рынка информационной безопасности эксперты оценивают в 150 млрд долл.

Список жертв хакерских группировок насчитывает более 100 финансовых организаций в разных странах. Однако эксперты признают, что зафиксировать факт кражи денег с помощью вредоносной программы не так легко, поскольку списания производятся в разные промежутки времени. Сопоставить кражу и конкретное программное обеспечение тоже удается не всегда. С лета 2012 года российские банки ежемесячно отчитываются перед ЦБ о «выявленных инцидентах при осуществлении перевода денежных средств». По словам начальника главного управления безопасности и защиты информации Банка России Дмитрия Фролова, в первой половине 2014 года российские банки выявили 193 тыс. несанкционированных списаний на общую сумму более 950 млн руб.

Однако эксперты рынка считают, что данные Банка России не отражают реального положения дел: банки часто отправляют регулятору «пустые» отчеты. Согласно исследованию Group-IB, в 2014 году было зафиксировано примерно 35 целенаправленных атак на российские банки. Объем краж через системы интернет-банкинга эксперты компании оценили в 300 млн долл., других видов мошеннических операций (например, с банковскими картами или электронными деньгами) – в 150 млн долл.

О том, какие схемы используют злоумышленники, компании, специализирующиеся на расследовании таких преступлений, готовы рассказывать в подробностях. Например, хакеры из известных группировок Anunak или Carbanak каждую операцию начинали с проникновения в компьютер одного из сотрудников финансовой организации. Заразив его, они со временем получали доступ к внутренней сети банка и в конечном счете получали возможность самостоятельно управлять транзакциями.

Деньги выводились тремя способами. Хакеры заражали специальным софтом банкоматы, чтобы те, подчиняясь их команде, в нужный момент (когда к банкомату будет направлен специальный человек – «дроп») выдавали наличные. Часть денег выводилась на счета преступников через SWIFT. Кроме того, в базы данных, содержащие информацию о счетах, вносились изменения, позволяющие создавать фальшивые счета с относительно высоким балансом, после чего средства забирали те же «дропы».

Anunak и Carbanak – условные названия, отсылающие к названиям программ, которые используют злоумышленники. Уникальность комбинации используемого программного обеспечения, а также наличие в арсенале преступников программ, которые были разработаны специально для них, позволяют экспертам приписывать кражи, совершенные в разное время и у разных организаций, одной и той же группе злоумышленников.

В «Лаборатории Касперского» считают, что речь идет о «международной группировке, в которую входят граждане России, Китая и некоторых стран Европы». В Group-IB полагают, что костяк сообщества составляют уроженцы бывших советских республик, и даже говорят, сколько их: всего трое – организатор проекта и его ключевые партнеры. Именно они управляют процессом – от заражения до вывода денег. Большая часть группы занимается обналичиванием и отмыванием украденного. О том, где преступники находятся физически, как именно они общаются между собой и что составляет их быт, ни в «Лаборатории Касперского», ни в Group-IB не знают. Специалисты уточняют, что для организации успешной атаки не обязательно находиться в стране, в которой она будет совершена. В большинстве случаев организаторы территориально располагаются в странах, которые либо труднодоступны, либо вообще недосягаемы для правосудия. Проблема еще и в том, что финансисты в принципе неохотно раскрывают данные об утечках и хищениях, потому что это сильно вредит их репутации и может создать имидж ненадежных финансовых организаций. Некоторые банки просто закрывают эти убытки без каких-либо разбирательств.

Специалисты в области информационной безопасности ищут не столько тех, кто атакует, сколько тех, кого атакуют. Аресты хакеров из России или других частей СССР случаются регулярно, и само собой складывается ощущение, что именно наши соотечественники преобладают среди специалистов по дистанционному ограблению финансовых организаций. На этот счет есть разные мнения.

«Большое количество вредоносных программ действительно родом из России, – замечает ведущий вирусный аналитик ESET Russia Артем Баранов. – Известные банковские вредоносные программы, такие как Zeus, SpyEye, Carberp, были написаны именно нашими соотечественниками. С их помощью разным группам злоумышленников удалось украсть миллиарды долларов».

«Успехи киберпреступников из России – миф. То, что российские киберпреступники в последнее время все чаще попадают в руки правосудия (чаще, правда, не нашего), скорее означает, что их квалификация не так уж высока, – возражает другой эксперт, начальник управления информационной безопасности компании «Техносерв» Павел Ерошкин. – Впрочем, услуги исполнителей из бывшего СССР стоят дешево. Кроме того, у нас не так сильны моральные, административные и уголовные запреты со стороны общества и государства».

«Когда мы говорим о хакерских группировках, мы можем иметь в виду или небольшие организованные преступные группы, или огромные сообщества, в которых работают не только хакеры, – рассказывает руководитель департамента информационной безопасности компании Softline Вячеслав Железняков. – По разным оценкам, таких групп и сообществ в Интернете – от 5 до 10 тыс. Но нужно иметь в виду, что они бывают любого размера – от двух человек до нескольких тысяч».