УДК: 343.721
Юрочкин Н. С.
магистрант, Кемеровский государственный университет
ПОДГОТОВКА И РЕАЛИЗАЦИЯ КИБЕРАТАК НА ОРГАНИЗАЦИИ И ФИЗИЧЕСКИХ ЛИЦ
В работе рассмотрены основные виды совершаемых киберспреступлений, алгоритм совершения кибератаки на организацию, а также процесс подготовки к совершению кибератаки.
Ключевые слова: киберпреступность, киберкриминальный рынок, вредоносное программное обеспечение, похищение персональных данных, кибератака.
С конца 80-х — начала 90-х годов ХХ века человечество начало активно пользоваться интернетом. Современные реалии таковы, что сейчас наша жизнь в онлайне составляет около 40 % нашего времени, а для тех, чья профессиональная деятельность связана с информационными технологиями итого больше от 60% до 80% времени. Сегодня мы огромное количество, если не сказать всю, информацию получаем из интернета и там же ей обмениваемся со своими друзьями, родными, коллегами: социальные сети, сайты, чаты. Также огромное количество бытовых проблем решается при помощи интернета: это и оплата коммунальных платежей, штрафов, налогов, услуг сотовой связи, заказ еды на дом, покупка вещей в интернет магазинах и многое другое, — данный список можно продлевать до бесконечности. Все это очень удобно и позволяет нам сэкономить время и избавиться от утомительного стояния в очередях и конфликтов с хамоватыми сотрудниками той или иной организации, а также дарит еще много полезных бонусов, которые мы получаем нажатием нескольких клавиш клавиатуры и одним кликом мыши. Это здорово упрощает нашу жизнь, но при этом любая сфера жизнедеятельность, в которой каким-либо образом задействованы финансовые ресурсы, притягивает преступников. Так и информационные технологии обзавелись своими хакерами, крекерами, спамерами и т. д.
До появления интернета человечество в процессе своей жизнедеятельности не сталкивалось с таким родом преступности, которая получили свое современное название как киберпреступность или кибермошенничество. С развитием информационных технологий развивалась и киберпреступность. Чем выше становился уровень безопасности информационных систем, тем более изощренными становились и киберпреступники со временем это стал уже не один человек, а группы, и даже целые сообщества киберпреступников с четким распределением ролей и обязанностей. Современный киберкриминальный рынок — это огромная сфера занятости умных и талантливых it-специалистов, трудящихся практически во всех уголках планеты, где есть электричество и точка доступа Wi-Fi. Киберпреступность не имеет границ — преступник, находящийся в Тайланде, может совершать кражу денег со счетов граждан России и переводить их на свой счет одной из систем электронных платежей, совершать атаки на сервера, взламывать почту, писать вредоносное программное обеспечение и многое другое. По данным Европола, только в ЕС действует около 3600 таких групп [1]. Структура киберкриминального рынка по своей сути не отличается от любого другого рынка, например, нефтяного. На этом рынке есть ассортимент продуктов и услуг, работодатели, заказчики, работники, исполнители.
На данный момент существует пять основных типов киберпреступлений:
• DDoS-атаки — это перегруз интернет сайтов запросами с целью сделать их недоступными для легитимных пользователей;
• похищение персональных данных и данных для доступа к электронным деньгам для последующей перепродажи этих данных третьим лицам или использования в своих интересах;
• похищение денежных средств со счетов банков или других организаций;
• бытовой или корпоративный шпионаж;
• блокирование доступа к данным на зараженном компьютере с целью вымогательства [2].
Для реализации вышеуказанных киберпреступлений на киберкриминальном рынке предоставлен целый ряд продуктов и услуг:
Под продуктами киберкриминального рынка обычно подразумеваются:
• программное обеспечение, предназначенное для получения несанкционированного доступа к компьютеру или мобильному устройству, кражи данных с зараженного устройства и/или денежных средств со счета жертвы (так называемые троянцы);
• программное обеспечение, предназначенное для использования уязвимостей в установленном на компьютере жертвы программном обеспечении (эксплойты);
• базы краденых данных платежных карт и другой ценной информации;
• интернет-трафик (определенное количество посещений сайта, выбранного заказчиком, пользователями с заданным набором характеристик).
К услугам киберкриминального рынка относятся:
• рассылка спама;
• организация DDoS-атак;
• проверка вредоносного программного обеспечения на предмет обнаружения антивирусами;
• «перекриптовка» или «перешифровка» вредоносного программного обеспечения таким образом, чтобы его не обнаруживали и не удаляли антивирусы;
• передача в аренду эксплойт-паков (от англ. — exploit-puck) т.е. программ или фрагмента программного кода, использующих уязвимости в программном обеспечении и применяемые для проведения атаки, на вычислительную систему;
• передача в аренду выделенных серверов, то есть хостинга, при котором клиенту целиком предоставляется отдельная физическая машина (в противоположность виртуальному хостингу;
• предоставление анонимного доступа к веб-ресурсам, защита обмена данными —
VPN;
• передача в аренду абузоустойчивого хостинга (от англ. abuse — злоупотребление) т.е. хостинга который не реагирует на жалобы на вредоносный контент и в связи с этим не отключает сервер;
• передача в аренду ботнетов, т.е. сети компьютеров, которая состоит из некоторого количества хостов, с запущенными ботами — программами, которые устанавливаются на компьютер жертвы без ее ведома и дают злоумышленнику возможность выполнять некие действия с использованием ресурсов зараженного компьютера.
• проверка ценности краденных данных платежных карт;
• услуги по подтверждению данных это фальшивые звонки, фальшивые сканы документов;
• продвижение вредоносных и рекламных сайтов в поисковой выдаче;
• вывод и обналичивание средств;
• посредничество при сделках по приобретению вышеуказанных продуктов и услуг.
Как говорилось выше, киберпреступники зачастую для оплаты своих услуг и
продуктов используют системы электронных платежей, таких как WebMoney, QIWI Wallet, Yandex.Money, сейчас очень популярным стало использовать для оплаты криптовалюту
Bitcoin (от англ. bit — «бит» и coin — «монета»). Все очень просто, — к примеру, заказчик в Санкт-Петербурге создает аккаунт в одной из системы электронных платежей и пополняет баланс через терминал, переводит деньги на аккаунт исполнителя, который находится в Буэнос-Айресе, а тот выводит деньги уже через находящийся в этом городе терминал.
Для совершения киберпреступлений необходимы специалисты с разнообразными навыками, для поиска которых создаются сайты и форумы с ограниченным доступом, на которых публикуются вакансии с требованиями к специалисту и контактная информация. Потребность в специалистах абсолютно такая же, как и у любой легальной IT-организации это программисты, создающие вредоносное программное обеспечение и занимающиеся модификацией существующего. Веб-дизайнеры, которые создают фишинговые страницы, сайты, письма и т. п. Для построения IT-структуры и ее поддержки необходимы системные администраторы. Для проведения тестирования вредоносного программного обеспечения нанимаются специалисты.
При организации атаки, на какую-либо организацию за каждым участником четко распределены роли. Программистами разрабатывается вредоносное программное обеспечение. Затем созданное вредоносное программное обеспечение тестируется тестировщиками, которые проверяют его на предмет корректной работы. Для кражи необходимой информации для осуществления атаки, веб-программистами создается фишинговые страницы, сайты, поддельные интерфейсы приложений при переходе на которые вся вводимая информация передается преступникам. После этого в дело вступают распространители, в их задачи входит обеспечение загрузку вредоносного программного обеспечения на максимальное количество устройств. Если в атакуемой организации обеспечен высокий уровень информационной безопасности, в таком случае для заражения нужных компьютеров привлекаются хакеры. Кибератака невозможна без системных администраторов: в их обязанности входит развертывание необходимой IT-инфраструктуры и поддержание ее в работоспособном состоянии, настройка серверов управления, покупка серверов на абузоустойчивых хостингах, они обеспечивают наличие инструментов для анонимного подключения к серверам, а также решение прочих технических задач. Операторами колл-сервисов осуществляется «прозвон» сотрудников организации над компьютерами, которых установлен контроль, и с которых можно осуществить транзакцию, для успешного завершения, которой необходимо подтверждение ее легитимности. Их основная задача — в нужный момент исполнить роль либо сотрудника атакованной организации, либо сотрудника банка, с которым организация работает, и подтвердить легитимность платежа. После того, как все технические задачи по организации атаки решены, в игру вступают заливщики. В их задачу входит вывод денег с взломанных счетов. Заливщики переводят деньги на счета дроп-проекта. В структуре дроп-проекта есть руководитель и исполнители (дропы). Суть дроп-проекта заключается в получении украденных денег, обналичивании их, с последующим переводом суммы обратно группировке за вычетом своей комиссии. И всем этим руководит организатор — один человек или группа. По сути, организатор является главным менеджером, который определяет цели атаки, занимается подбором специалистов, финансированием, ставит задачи исполнителям и соответственно производит с ними денежные расчеты.
Исходя из вышесказанного, можно выделить четыре этапа проведения кибератаки:
1. Предварительная разведка, т. е. обнаружение уязвимых мест в программном обеспечении атакуемой организации для разработки вредоносного программного обеспечения с целью проникновения через них.
2. Заражение, т. е. загрузка установка вредоносного программного обеспечения на устройства атакуемой организации через выявленные уязвимые места.
3. Разведка и реализация, т. е. на зараженные вредоносным программным обеспечением устройства загружаются и устанавливаются программы скрытого удаленного
администрирования, с помощью которых преступники пытаются завладеть учетными данными администраторов систем.
4. Похищение денег, т. е. на этом этапе при реализации доступа к системам взаимодействия с финансами и перевод денег со счетов атакованной организации на счета дроп-проектов.
Таким образом, осуществляется кража денег у организаций и физических лиц, разница заключается лишь в количестве участников преступной группировки и сложности вредоносного программного обеспечения, потому что физические лица часто сами пренебрегают безопасностью при использовании конфиденциальной информации о своих финансовых счетах при проведении операций в интернете.
Литература
1. UNODC. Всестороннее исследование проблемы киберпреступности и ответных мер со стороны государств-членов, международного сообщества и частного сектора [Электронный ресурс]. — Vienna, 2013. — 21 с. — Режим доступа: http://www.unodc.org/documents/organized-crime/unodc_ccpcj_eg.4_2013/unodc_ccpcj_eg4_2013_2_r.pdf.
2. Иванов М. Борьбу с киберпреступлениями предлагают вывести на новый уровень [Электронный ресурс] / Максим Иванов. — Режим доступа: http://www.kommersant.ru.