Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Современный профиль хакера

Эльман Бейбутов, руководитель направления аутсорсинга ИБ Solar Security

Способы атак, схемы монетизации и уровень подготовки киберпреступников, действующих в России, заметно изменились за последние три года. Конечно, никуда не делись и представители «старой школы» – хакеры-одиночки, которые исследуют уязвимости конкретных компаний и проводят целенаправленные атаки. Но ключевым трендом последних лет стало появление подпольных сервисов, нацеленных на повышение скорости и эффективности чужих атак.

Сервисный подход

Анализ форумов в теневом Интернете (на русскоязычных .onion-сайтах) позволяет однозначно утверждать, что уже сложился рынок и даже появилась целая кибериндустрия сервисов, нацеленных на повышение скорости и эффективности чужих атак. Предложения, фигурирующие в некоторых постах, напоминают отточенные маркетинговые лозунги. «Подпольщики» обещают применение лучших технологий, рассказывают о своих высоких уровнях экспертизы и квалификации, готовы бесплатно демонстрировать услуги в рамках тестирования (пилота) или работать в режиме 24/7.

Практически все поставщики «левых» сервисов и продуктов работают через посредников, так называемых гарантов. Причем о гаранте можно прочитать отзывы прежних пользователей и убедиться в том, что он действительно следит за честностью обеих сторон при покупке и оказании услуг.

Теневой рынок состоит из вполне конкретных товаров и услуг:

  • продаются бизнес-досье на компании с банковскими реквизитами, именами учредителей, генерального директора, бухгалтера и их контактными данными;
  • распространены услуги траферов – хакеров, специализирующихся на создании бот-сетей, массовом распространении троянов и средств удаленного администрирования;
  • разрабатываются и активно поддерживаются утилиты, предназначенные для эксплуатации уязвимостей пользовательских операционных систем и загрузки на них вредоносного ПО;
  • кардселлеры продают услуги выпуска голдовых банковских карт для вывода через них украденных денег;
  • есть команды дроперов с сервис-менеджерами во главе – для удобства и оперативности выемки денег из банкоматов;
  • тем, кто уже монетизировал атаку или собирается оплатить работу «подпольщиков», предлагаются услуги конвертации электронных денег между различными платежными системами и криптовалютой;
  • «фрилансеры» c более широкой специализацией занимаются всем – от использования методов социальной инженерии и поднятия фейковых почтовых и web-серверов до разработки скриптов для реализации атак в инфраструктурах жертв и пр.

Все это существует наряду со старыми отточенными схемами мошенничества, имеющими к ИБ слабое отношение. Например, массово используются телефонная социальная инженерия из колоний и тюрем, нацеленная на выведывание кодовых слов для обеспечения доступа в клиент-банки компаний, последующий перевыпуск SIM-карт инсайдерами в точках продаж, перепривязка новой симки к аккаунту с применением кодового слова и опустошение счетов юридических лиц с подтверждением операций по СМС.

Но вернемся к информационной безопасности. Известны десятки преступных групп, действовавших в прежние годы, а порой и активных до сих пор. В основном их называют именами троянов или модулей управления вирусами, которые они используют, – Fibbit, Carberp, Anunak, Corkow, Buhtrap, Lurk.

Всех таких злоумышленников можно условно разделить на три группы. Представители первой в массовом порядке потрошат карточки физических лиц – например, с использованием троянов для Android, отправки и перехвата СМС с командами на переводы всех денег с карт, привязанных к телефонным номерам, на подконтрольные злоумышленникам счета. Преступники из второй группы акцентируют внимание на юридических лицах: они хорошо изучили работу бухгалтерских программ, связанную с формированием платежных поручений, и умело подменяют реквизиты перед загрузкой платежек в Интернет-банк на исполнение. Наконец, те, кого можно отнести к третьей группе, взламывают инфраструктуры самих банков, платежных систем или процессинговых центров (по сути, схема мало чем отличается от взлома юридических лиц), причем добились значительного увеличения сумм, выводимых за одну атаку.

Этапы большого пути

Рассмотрим более детально, из каких этапов состоят взлом и монетизация действий киберпреступников.

Первый и основной этап: инициатору (или инициативной группе) необходимо придумать схему, определить вектор приложения последующих усилий. Например, группы Carberp, Anunak, Lurk и Buhtrap специализируются (либо специализировались) на подмене реквизитов в рейсах платежных поручений для АРМ КБР, отправляемых банками в ЦБ России. Fibbit делает примерно то же, но на уровне «юридическое лицо – банк». Еще свежи в памяти атаки «АТМ-реверс», в ходе которых с помощью одной карточки опустошался банкомат или обновлялись прошивки банкомата, что заставляло его по команде выплевывать все деньги. Цель этого этапа – найти пустующую нишу/схему, не занятую другими киберпреступниками, о которой еще не знают ИБ и правоохранительные органы.

Далее следует фаза изучения схемы. Инициатор создает собственную команду для анализа приложений, форматов данных в СУБД, протоколов взаимодействия, структуры XML-файлов и т.п. Много информации находится в открытом доступе, поскольку она, например, описывает требования к подключению и работе бизнес-партнеров компаний, на которые готовятся атаки. В редких случаях приходится прибегать к услугам инсайдеров или устраиваться на работу в ИТ-команду потенциальной жертвы для глубокой разведки и поиска технологических уязвимостей.

Когда схема придумана и изучена, наступает черед ее применения. И тут подпольный рынок предстает во всей красе. Инициатору не обязательно иметь «в штате» всех необходимых специалистов (к тому же полностью самостоятельное проведение атаки займет уйму времени) – достаточно воспользоваться готовыми сервисами. Разработчики вирусов помогут встроить свой продукт в word-документ в виде макроса, траферы – распространить вредонос по инфраструктурам многих компаний, опытные социальщики разошлют письма с вложениями фокус-группе.

Получив доступ и залив средства удаленного администрирования (LiteManager, Ammy Admin, TeamViewer и др.), инициативная группа переходит к завершающей фазе – реализации схемы. Еще до проведения атаки нужно подумать о ее монетизации. Заранее покупаются услуги кардселлеров и дропов (зачастую это – комплекс услуг одного поставщика). Некоторое время занимает выполнение заказа на изготовление банковских карт с повышенными лимитами на снятие наличных и их рассылка по дропам в разные уголки России. Ну а когда вывод денег подготовлен, инициативная группа в считанные часы проводит атаку. Дроперы, увидев пополнение баланса, тут же снимают наличные.

Никакой магии

Нужно ли быть узкопрофильным ИТ-специалистом или иметь опыт работы в прикладной финансовой сфере для разработки схемы киберпреступления? Необходимы ли высокий уровень экспертизы и понимание финансовых процессов для проведения атаки? Однозначный ответ на оба вопроса – нет. В успешных и широко распространенных схемах атак нет никакой магии, их даже нельзя назвать целенаправленными атаками на конкретные компании. А информацию для проработки своих схем злоумышленники зачастую черпают из открытых источников.

При этом не разработанных и не освоенных схем монетизации еще очень много – намного больше, чем преступных группировок. Например, задумайтесь, как устроена система мгновенных переводов с карты на карту, действующая во многих банках. Вы поймете, что даже подтверждения по СМС (3D Secure) не спасут от несанкционированных переводов, если будет взломана СУБД процессинга и хакеры изменят номера платежных карт получателей «на лету» перед отправкой данных банком на платежные шлюзы VISA Personal Payment и MasterCard Money Send.

Итак, современный хакер – это эффективный менеджер, имеющий продуктивные идеи. Его задачи сводятся к формулированию схемы атаки, экономическому расчету расходов и доходов и принятию решения о целесообразности дальнейших действий. Он располагает всеми ресурсами и готовыми услугами подпольного киберрынка. Он набирает «в штат» три-пять специалистов, нанимает «фрилансеров» для разовых задач, организует работу других профильных группировок. На каждом этапе атаки он принимает лучшие предложения теневых поставщиков и сервис-провайдеров, тратя деньги с умом и только на тех из них, которые заслуживают доверия и имеют подтвержденные компетенции. У него нет времени на ожидание нового трояна, он применяет проверенные продукты с круглосуточной техподдержкой, чей активный разработчик будет модифицировать вирус для сокрытия от антивирусного ПО, наиболее распространенного в России. Другими словами, сегодняшний хакер эффективно использует свои время и деньги для получения максимальной выгоды от атак.

Как ИБ-отрасли противостоять таким атакам? Естественно, принимать зеркальные контрмеры: повышать осведомленность пользователей, запрещать запуск макросов, помещать в карантин зашифрованные пароли с исполняемыми файлами, регулярно проводить тесты на проникновение, чтобы держать в тонусе коллектив. На этапах проникновения в сеть и проведения разведки в инфраструктуре нужны мониторинг инцидентов и детектирование атак на ранних стадиях по наличию индикаторов компрометации (IoC) на сетевом и хостовом уровнях.

Руководитель службы ИБ должен действовать аналогично тем, кто находятся по ту сторону баррикад, и не уступать им в оснащении, методах и способах противодействия. Он должен иметь штат собственных сотрудников для выполнения операционных задач и нанимать специалистов для разовых мероприятий (реверс-инжиниринг, технический аудит сети и бизнес-процессов). Наконец, он должен организовывать работу сервис-провайдеров для оперативного и эффективного выполнения трудоемких аналитических задач, таких как мониторинг и реагирование на инциденты, контроль защищенности и противодействие киберпреступности, feed-агрегация информации об угрозах, поступающей из различных лабораторий и CERT′ов.

Тэги: 
Оцените материал:
Total votes: 82

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.