Борьба с высокотехнологичной преступностью важна так же, как ядерная, химическая и биологическая безопасность, и так же, как урегулирование международных конфликтов. Результаты современных компьютерных атак могут быть не менее разрушительными и привести к катастрофам.
Генеральный директор компании Group-IB Илья Сачков
Фото: из личного архива
К счастью, подобные кибератаки встречаются достаточно редко. Целью 98% киберпреступников по-прежнему остается извлечение финансовой выгоды. По сути, кража денег или важной информации для ее последующей перепродажи.
С учетом того что в 2017 году крайне трудно найти компанию, которая в своей работе не использовала бы компьютерные технологии, практическая любая организация может стать объектом интереса со стороны киберпреступников. Вопрос только в том, насколько она может быть потенциально интересна с финансовой точки зрения.
Специфика компьютерных преступлений состоит в том, что они совершаются дистанционно. То есть атаку можно совершить из любой точки мира, где есть интернет.
Трансграничность высокотехнологичных преступлений и различия в законодательстве разных стран делают попытки отдельных стран бороться с киберпреступностью малоэффективной. Необходимо создать работающий механизм международного сотрудничества в области противодействия преступлениям в сфере высоких технологий. Его отсутствие играет на руку преступникам.
Россия разработала проект конвенции ООН «О сотрудничестве в сфере противодействия информационной преступности» с учетом всех современных реалий. Он учитывает интересы всех стран, отвечает на новые вызовы и угрозы, в том числе технологические, такие как целевые атаки (APT, Advanced Persistent Threats), интернет вещей (IoT, Internet of Things), ботнеты, вирусы, меняющие атрибуцию, контрфоренсика и так далее.
Этот документ призван прийти на смену Будапештской конвенции о компьютерных преступлениях, которая была принята Советом Европы в 2001 году и отражала специфику (техническую, юридическую, географическую) и интересы прежде всего европейских государств. Сегодня для борьбы с киберпреступностью необходим новый подход, который отражал бы интересы всех стран — и развитых, и развивающихся. Он должен быть принят на уровне ООН и стать обязательным для исполнения.
Будапештская конвенция была передовым документом для своего времени, однако с 2001 года произошли значительные технологические изменения, которые естественным образом повлияли на ландшафт угроз и тенденции в сфере компьютерных преступлений.
Пожалуй, для лучшего понимая вопроса стоит сравнить уровень информатизации начала XXI века, когда разрабатывалась Будапештская конвенция, и уровень информатизации сегодня.
В начале 2000-х годов не существовало масштабной киберпреступности, при этом она не была столь организованной, как сегодня. Резонансные инциденты в области информационной безопасности происходили достаточно редко.
За 16 лет интернет проник во все сферы нашей жизни. Теперь каждый пользователь имеет несколько устройств, позволяющих получать широкополосный (broadband) доступ в интернет. Появился интернет вещей. Суммарный трафик сети интернет вырос в тысячи раз, повсеместные коммуникации через интернет стали неотъемлемой частью реальности. Изменился подход к процессу организации безопасности — теперь это обязательная часть бизнеса, такая же, как и сами информационные технологии. Появилась и проявила себя организованная киберпреступность. Частота совершения самих преступлений также возросла в несколько сотен раз.
Кроме того, изменились способы и техники кибератак. Специалисты по информационной безопасности часто не успевают разрабатывать эффективные средства противодействия из-за постоянной смены тенденций. Для выполнения множества современных атак не нужно обладать особой квалификацией: можно купить любой инструмент для проведения кибератаки либо заказать готовые услуги на черном рынке. В совокупности это приводит к стремительному росту числа инцидентов.
Современные киберугрозы в большинстве случаев носят интернациональный характер. Злоумышленники при атаках всегда маскируются. Они стараются действовать из других стран либо создают такую иллюзию. Часто прикрываются именем и действиями известных преступных группировок. Чтобы скрыться, злоумышленники многократно меняют IP-адреса, совершая виртуальные перемещения с континента на континент, а также меняют облик своих вредоносных программ.
В типовой международный инцидент вовлечено около десятка стран, на территории которых находятся пострадавшие организации, а атаки физически ведутся со всех континентов. Вследствие законодательных и политических препятствий, которые существуют между странами, расследование подобных инцидентов крайне затруднено, так как не существует инструментов, детально регламентирующих взаимодействие между сторонами. Все это крайне затрудняет поиск настоящего источника атаки и конкретных лиц, стоящих за ней.
Стоит отметить: продаваемые на черном рынке услуги и вредоносные программы достаточно дешевы и зачастую по стоимости не превышают нескольких сотен долларов. В то время как ущерб, который они могут нанести, может исчисляться миллионами и миллиардами.
Если говорить об основных технологических изменениях, которые произошли в области киберпреступлений с начала 2000-х, то можно выделить следующие.
Во-первых, это появление и широкое распространение бот-сетей (botnet). Бот-сеть — это два и более зараженных устройств, выполняющих команды через единый центр управления. Сегодня в ботнеты включены не только компьютеры и серверы, как это было десять лет назад, но и мобильные телефоны, устройства, которые относятся к интернету вещей — видеокамеры, регистраторы, и даже умная бытовая техника (smart household appliances). Размеры ботнетов достигают нескольких миллионов устройств, куда включены как корпоративные, так и личные устройства со всего мира.
Во-вторых, зараженные устройства используются как для проведения атак на отказ в обслуживании (Denial of Service), так и для хищения информации с устройств, а также для того, чтобы сделать целевые атаки анонимными. При этом злоумышленники пропускают свой трафик через зараженные устройства. Таким образом, ничего не подозревающие частные лица и корпорации участвуют в масштабных атаках, ущерб от которых составляет миллиарды долларов.
Научившись эффективно использовать новейшие технологии, преступники не забыли о психологии. Мошенничество и социальная инженерия позволяют злоумышленникам вымогать деньги. К примеру, широкое распространение получил фишинг (phishing), когда под видом легитимного веб-сайта или приложения у пользователя выманиваются конфиденциальные данные с целью последующей монетизации. В последние годы наблюдается резкий рост вымогательства с использованием вредоносных программ (ransomware). Информация блокируется или шифруется. За возвращение доступа к ней злоумышленники требуют деньги и, к сожалению, получают их. Целями мошенников становятся любые приложения, которые производят денежные операции, а также личная информация, хранящаяся на мобильных устройствах.
Отдельно стоит отметить рост количества атак на критически важную инфраструктуру, которые могут привести к экономическим, финансовым и экологическим катастрофам крупного масштаба.
Стремительный рост киберпреступности вызван в том числе отсутствием универсальных механизмов взаимодействия компетентных органов разных стран. Для эффективного расследования киберпреступлений, а также для противодействия киберугрозам необходим универсальный нормативный документ, отвечающий современным реалиям, который должен регулировать взаимоотношения между странами и их компетентными органами на всех уровнях и этапах взаимодействия.