«Кибервойна в 21 веке – то же самое, что английский длинный лук, стрелы которого пробивали щиты французских рыцарей в битве при Азенкуре, - писал на днях британский еженедельник Observer. - Она меняет все».
Шестьсот лет назад в битве при Азенкуре, французские рыцари, десятикратно превышавшие английское войско, неожиданно для себя потерпели сокрушительное поражения от противника, применившего инновацию, – те самые мощные длинные луки в рост человека. Эта аналогия вспомнилась на международной конференции CyberCrimeCon 2018, организованной в Москве участником «Сколково» Group-IB.
В Москве проходит двухдневная конференция CyberCrimeCon 2018, организованная сколковским участником Group-IB. Фото: Sk.ru
По совпадению в день открытия конференции в парламенте Испании состоялись слушания по киберпреступности, на которых один из руководителей гражданской гвардии (жандармерии) полковник Луис Фернандо Эрнандес Гарсия заявил, что уровень угрозы со стороны кибертеррористов представляется «критическим», сообщает газета El Pais.
На конференции в Москве был представлен отчет, в котором компания призвала к хантингу на киберпреступников вместо того, чтобы пытаться защититься от их атак, т.е. предложила сменить щит на меч (или лук).
Презентации доклада предшествовало выступление основателя и гендиректора Group-IB Ильи Сачкова, которое ведущий Александр Плющев анонсировал как визионерское. Оратор начал с того, что показал на экране всем знакомые сообщения с предупреждением о том, что данное устройство скомпрометировано. Как пользователю реагировать на подобные предупреждения?
Врага надо знать в лицо
Не отвечая прямо на собственный вопрос, г-н Сачков заявил, что очень важно понять, кто именно угрожает данному пользователю, компании, городу и т.д, иначе говоря, необходимо ответить на более важный вопрос: кто твой враг? Для иллюстрации выступающий привел эпизод из собственной биографии, признавшись, что в школе начал заниматься тайским боксом из-за хулигана, который к нему приставал. Идентифицировав своего врага, он нашел адекватный способ ему противостоять.
Перейдя от частного к общему, Илья Сачков отметил, что в борьбе с киберпреступностью необходимо отойти в сторону от политики, заверив, что его компания готова помочь властям любой страны в борьбе с общей для современной цивилизации угрозой. Переход от оборонительной позиции к охоте за киберпреступниками – магистральный тренд рынка информационной безопасности сегодня, считают в Group-IB.
«Пора стать охотником, а не мишенью для атак», - заявляет Илья Сачков.
Глава Group-IB Илья Сачков: киберврага надо знать в лицо. Фото: Sk.ru
Этот месседж был конкретизирован в выступлении CTO Group-IB Дмитрия Волкова. Фокус перспективной разработки и инноваций в создании сложных вирусов, а также проведении многоступенчатых целевых атак сместился от финансово-мотивированных киберпреступников к проправительственных хакерам. Их действия направлены на обеспечение долговременного присутствия в сетях объектов критической инфраструктуры с целью саботажа и шпионажа за компаниями энергетического, ядерного, коммерческого, водного, авиационного и других секторов.
В топ-3 стран происхождения самых активных проправительственных хакерских групп были названы Китай, Северная Корея и Иран. В более расширенный список стран, где действуют проправительственные хакеры, компания включила также Пакистан, США, Россию и Украину.
CTO Group-IB Дмитрий Волков: «Неважно, где вы находитесь, как только вы подключите устройство к Интернету, преступник будет иметь над ним полный контроль». Фото: Sk.ru
Новым вектором шпионажа в Group-IB называют взлом домашних и персональных устройств должностных лиц государств.
8 минут на обналичку
Из сказанного вовсе не следует, что киберпреступность потеряла интерес к финансовой сфере. Один из самых обширных блоков отчета «The Hi-Tech Crime Trends 2018» посвящен как раз тактике атакующих и ущербу, нанесенному киберпреступниками финансовым организациям. В 2018 году была раскрыта новая хакерская группа – Silence. Помимо нее сегодня самыми опасными для банков во всем мире являются MoneyTaker, Lazarus и Cobalt. Они способны взломать банк, добраться до изолированных финансовых систем и вывести деньги. Три группы из четырех – русскоговорящие; Lazarus – северокорейцы.
В среднем каждый месяц в России успешно атакуют 1-2 банка: средний ущерб от атаки $2 млн. Количество целенаправленных атак на банки с целью хищения через SWIFT за отчетный период увеличилось в три раза. Среднее время для обналичивания денег из банкомата дропами или мулами составляет всего около 8 минут.
Мошенничество с банковскими картами остается в числе наиболее опасных угроз для физических лиц: недостаточное распространение систем поведенческого анализа при проведении транзакций приводит не только к прямому ущербу, но и к росту бизнеса кард-шопов. Ежемесячно в мире для продажи в кард-шопах загружаются около 686 тысяч текстовых данных скомпрометированных банковских карт и 1.1 млн дампов. Общий объем рынка кардинга за анализируемый период составил $663 млн.
Вместе с тем в России с 2012 года наблюдается тренд на снижение угроз со стороны банковских троянов для ПК. «Атаки на физических лиц ушли в прошлое, а ущерб для юридических лиц по итогам отчетного периода сократился еще на 12% и составил 547 800 000 рублей (8,3 млн)», - говорится в отчете Group-IB.
Wi-Fi в ресторанах небезопасен, предупреждает Group-IB. Фото: Sk.ru
О криптовалюте замолвите слово
Если в традиционном финансовом секторе борьба с киберпреступностью достаточно эффективна, то положение дел на рынке криптовалют гораздо серьезней. В 2017 и 2018 годах хакеры стали чаще атаковать криптобиржы. Всего было ограблено 14 криптовалютных бирж, а общий ущерб приближается к $900 млн. Особенно активны на этом направлении подданные Ким Чен Ына из группы Lazarus, жертвами которых становятся, как правило, Южная Корея и Япония. По прогнозу Group-IB вскоре атаковать криптобиржи начнут русскоговорящие умельцы из Silence, MoneyTaker и Cobalt.
«Сегодня производители продуктов для кибербезопасности предлагают достаточно эффективные способы борьбы с вредоносными программами, проникающими в компьютерные системы, однако никакая антивирусная программа не поможет, когда проблема находится на уровне прошивки, на уровне оборудования, – предупреждает Дмитрий Волков. – Во-первых, заражение оборудования через существующую уязвимость сложно детектировать. Во-вторых, эту проблему сложно устранить. Комбинация side-channel атаки с аппаратной уязвимостью, которая позволяет выполнять множество действий в операционной системе, открывает новые возможности заражать устройства незаметно. Если устройство скомпрометировано таким образом, то переустановка операционной системы или даже выброс жесткого диска не решит проблему. Неважно, где вы находитесь, как только вы подключите устройство к Интернету, преступник будет иметь над ним полный контроль».
Конференция CyberCrimeCon проводится Group-IB в шестой раз. В ней принимают участие более 1000 экспертов из России, Европы, Ближнего Востока и Азии, а также представители INTERPOL и киберполиций разных государств.