Безопасность

Юрий Жданов рассказал о новых приемах киберпреступников и методах борьбы с ними

Нравится 43

Москва - Ветеранские вести. Сегодня - профессиональный праздник полиции России - День сотрудника органов внутренних дел. По-старому - День милиции. Сейчас самая большая головная боль полиции - растущая, как снежный ком, киберпреступность. Эта проблема - крайне острая и касается не только правоохранителей, но и, без преувеличения, многих миллионов обычных людей. Об угрозах киберпреступности и новых методах борьбы с ней рассказал президент российской секции Международной полицейской ассоциации, генерал-лейтенант, доктор юридических наук, профессор, заслуженный юрист России Юрий Жданов.

Юрий Николаевич, как выглядит портрет современного киберпреступника?

Любопытное исследование провело американское министерство юстиции. Была сделана выборка 225 киберпреступников из разных стран по 123 делам, связанным с 414 киберпреступлениями. Средний возраст преступников составил 35 лет. Мужчины составляли 94 процентов преступников - 212 из 225. Более 68 процентов работают в группах, а не самостоятельно.

Это важный результат, так как многие воспринимают киберпреступников как "волков-одиночек", занимающихся хакерской деятельностью. На самом деле киберпреступники с легкостью присоединяются к международным организованным преступным сетям на обширном пространстве кибермира.

Как распределяются обязанности в таких группах?

Юрий Жданов: Все группы отличаются иерархической структурой с четким распределением обязанностей. Основные члены команды отвечают за планирование кибератаки, другие, которые обладают определенными знаниями или навыками, используются для проведения атак. Остальные - для покупки вредоносных программ или похищенных кредитных карт. Есть и менее значащий обслуживающий персонал.

Российская кибермафия выглядит так же?

Похоже. Однако сразу замечу, что современная киберпреступность - это не привычная мафия, а нетрадиционная организованная преступность. И инструменты борьбы с ней - правовые и организационные - должны также быть адекватны новому явлению. Разработкой таких инструментов сейчас и занимается МВД России.

Что касается российской киберпреступности, то вначале ей не уделялось особого внимания. Ее замечали лишь в связи с незаконной деятельностью в сфере программного обеспечения. Но в 1994 году Владимир Левин вместе с группой хакеров получил доступ к 10 с лишним миллионам долларов, проникнув за несколько недель в компьютерные системы Citibank. Левин и его коллеги использовали украденные коды, идентификаторы пользователей и пароли, чтобы переводить из банка суммы от нескольких тысяч до нескольких десятков тысяч долларов на счета, принадлежавшие его группировке в США, Финляндии, Голландии, Германии, Израиле, Аргентине и Индонезии.

Лишь в июле 1994 года клиенты Citibank начали сообщать о краже денег с двух счетов, сумма которых составила 400 тысяч долларов. Системе безопасности Citibank удалось выследить в августе 1994 года два перевода. Один был на 26 800 долларов, а второй - на 304 тысячи долларов. Сотрудники банка немедленно связались с ФБР, которое начало следить за Левиным, пока он продолжал заходить на банковские счета и снимать все новые суммы. За несколько недель с июня по октябрь 1994 года они отследили в целом 18 входов в систему. Благодаря действиям ФБР, сотрудников Citibank и российских телефонных служб удалось вычислить, откуда Левин осуществлял свои операции. Это было его рабочее место в Санкт-Петербурге. В марте 1995 года Левина задержали в лондонском аэропорту Хитроу.

С тех пор прошло более четверти века. Что изменилось в действиях наших киберпреступников?

Да почти все. Специалисты отмечают значительный спад числа атак на пользовательское программное обеспечение, в частности - браузеры и офисных клиентов. Раньше хакеры активно проводили подобные атаки, поскольку в таких программах содержалось большое количество уязвимостей, а многие пользователи не обновляли их своевременно. Через эти бреши происходили массовые заражения вредоносным ПО, крадущим деньги. Жертвами чаще всего становились сотрудники коммерческих и финансовых организаций. Обычно бухгалтеры.

Но теперь пользовательское ПО значительно усовершенствовано, в него внедрены процессы автоматических обновлений, и киберпреступники переключились на массовые рассылки, в том числе с вредоносными вложениями.

Другое важное изменение заключается в том, что хакеры больше не стремятся разрабатывать собственное вредоносное ПО, а используют вместо этого публично доступные программы для тестирования на проникновение и удаленного доступа. Организации могут применять такие инструменты для легитимных целей, поэтому защитное ПО автоматически не определяет их как вредоносные. На это они и рассчитывают. Использование инструментов для тестирования на проникновение также позволяет им экономить значительное количество ресурсов на разработку.

Кроме того, они активно используют облачную инфраструктуру вместо того, чтобы создавать и поддерживать свою собственную. И поэтому они, что важно, больше не объединяются в излишне крупные группы.

Но вы же только что говорили, что они в большинстве своем уже не работают в одиночку...

Они и не работают. Но отсутствие необходимости создавать собственные вредоносные инструменты наряду с активным использованием облачной инфраструктуры позволяет им вести вредоносную активность группами меньшего размера, чем раньше.

Кто чаще всего становится жертвами русскоязычных киберпреступников?

Они перешли от атак на финансовые системы и учреждения к атакам программ-вымогателей и атакам, нацеленным на кражу данных. Эксперты утверждают, что в прошлом году впервые с 2017 года был зафиксирован рост кибератак, направленных на получение контроля над инфраструктурой. Фиксируется рост числа атак с использованием вредоносного ПО, а самым популярным способом его доставки по-прежнему является фишинг. Среди относительно новых трендов - атаки через менее защищенного подрядчика. Число таких атак в 2020 году возросло в два раза.

Киберпреступники с легкостью присоединяются к международным организованным преступным сетям на обширном пространстве кибермира

Эксперты также отметили, что выросла квалификация злоумышленников, усложнился инструментарий, повысился темп использования новых уязвимостей, увеличилось время присутствия киберпреступников в инфраструктуре. Удаленная работа по-прежнему остается одним из ключевых факторов уязвимости инфраструктуры организаций.

Эксперты также отметили, что выросла квалификация злоумышленников, усложнился инструментарий, повысился темп использования новых уязвимостей, увеличилось время присутствия киберпреступников в инфраструктуре. Удаленная работа по-прежнему остается одним из ключевых факторов уязвимости инфраструктуры организаций.

Каковы особенности русскоязычной киберпреступности, так сказать, ее фирменный почерк?

Примерно в 85 процентах кибератак активно используются доступные уязвимости, вредоносное ПО и социальный инжиниринг, 45 процентов атак профессиональных группировок реализуется через взлом корпоративных веб-приложений.

И "вишенка на торте" - 15 процентов представляют собой сложные целевые атаки, совершаемые кибернаемниками и кибергруппировками, преследующими интересы иностранных государств. Такие атаки требуют более высокого уровня подготовки и квалификации. Бюджет одной целевой атаки может составлять более 1,5 миллиона долларов в год.

То есть российские компании постоянно находятся под ударом?

Да. По оценкам экспертов, количество DDoS-атак на российские компании продолжает расти - за первые три квартала 2021 года этот показатель увеличился в 2,5 раза.

Наибольший рост инцидентов заметен в трех отраслях - финансовый и госсектор, а также онлайн-торговля. В то же время сокращается количество атак на дата-центры и игровые ресурсы, которые еще год назад были в фокусе внимания.

Растет мощность и продолжительность атак. Самая мощная была зафиксирована в мае, ее мощность составила 462 Гбит/с, что на треть превышает пиковое значение, зафиксированное в первых трех кварталах 2020 года. А самая долгая в отчетный период атака длилась почти 4,5 дня. Годом ранее этот показатель за первые три квартала составил в среднем 3 дня.

Хакеры продолжают использовать масштабные ботнеты для увеличения мощности атак. Атаки фрагментированными пакетами стали в два раза чаще использоваться злоумышленниками, чем в прошлом году.

15 процентов всех сложных кибернападений в России - целевые атаки кибернаемников в интересах иностранных государств

Что полиция может противопоставить этому кибермонстру?

Не менее изощренное технологическое противодействие с привлечением лучших специалистов и новейших технологий. И, конечно же, гибкие тактику и стратегию борьбы.

У МВД есть такие возможности?

Конечно, есть, постоянно совершенствуется техническая оснащенность подразделений МВД, улучшается система подготовки кадров. В частности, в Московском университете МВД России для чтения лекций по противодействию киберугрозам привлекаются ведущие сотрудники центра кибербезопасности Сбера, которые в ежедневном режиме противостоят кибератакам наших и зарубежных кибермошенников.

Ключевой вопрос

Вы говорили о кибернаемниках, работающих против наших структур. В то же время и американцы постоянно обвиняют во всевозможных грехах "русских хакеров". Так кто же кого атакует?

Все хороши. Но чтобы справиться с киберпреступностью, надо от взаимных обвинений переходить к взаимным усилиям. Боюсь сглазить, такой переход уже наметился. Напомню, в июне были достигнуты договоренности между президентами России и США Владимира Путина и Джо Байдена о возобновлении взаимодействия в сфере кибербезопасности. Буквально на днях в Москву прилетал директор ЦРУ Уильям Бернс, который на переговорах с Николаем Патрушевым и Сергеем Нарышкиным тоже затронул эту тему. Кстати, накануне полиция в Санкт-Петербурге задержала одного из известнейших хакеров - Сергея Павловича. Он объявлен в розыск в США за крупнейшее хищение персональных данных, ему грозит пожизненное заключение.

Любопытно, что Павлович - белорусский гражданин. В Минске он был приговорен к 10 годам заключения за киберпреступления, воровство банковских карт и распространение порнографии. Отсидел, вышел на свободу в 2015 году и даже написал книгу "Как я украл миллион". Приехал в Россию и взялся за старое - американцы считают его причастным к краже данных 170 миллионов банковских карт. Однако вопрос о выдаче будет решаться только после проведения предэкстрадиционной проверки. Выдача осложняется также и тем, что у нас нет соответствующего двустороннего договора с США о выдаче преступников.

США тоже передали российской стороне имена нескольких хакеров, которые, по данным американского разведсообщества, причастны к недавним кибератакам на объекты в Америке.

Хочется верить, что будет выработана общая внятная политика противодействия преступности в Сети. А в дальнейшем появятся и разработки совместных операций.


Читайте также:

Мы - лауреаты конкурса "СМИ против коррупции"
Veterans News - победитель конкурса "Щит и перо" 
WVF отметила команду "Ветеранских вестей"

Фото // vvesti.com ©