Меню категорий
Anastasiia Druzianova
01.02.2020 19:06
0
Почему мировое сообщество так боится киберпреступников России?

Недавно, на Всемирном Экономическом Форуме 2020 в Давосе обсуждали рост роли кибербезопасности, некоторые в том числе связывали такую необходимость с незавершенной историей по поводу вмешательства в выборы Соединенных Штатов в 2016 году. Общество по сей день не пришло к единому мнению, вмешивались ли именно русские хакеры в эти выборы. Учитывая актуальность темы кибербезопасности мы рассмотрели против чего так укрепляют кибербезопасность. Действительно ли киберпреступность русскоязычного происхождения достигла такого уровня, что это стало глобальной повесткой и открыто обсуждается лидерами стран и корпораций.  

Киберпреступность – киберкриминальная активность целью которого является взлом цифрового носителя информации либо для получения доступа к информации либо для вывода объекта атаки из строя. Владение ценной информацией наделяет ее владельца определенной властью над объектом взлома, эта форма преступления может касаться любых персональных, коммерческих, государственных и др. данных, в том числе финансовой информации, данных о личной жизни, военной, политической и прочей информации.

Развитие подпольного киберкриминала в России является одной из самых интенсивных в мире, так русский язык стал пятым по счету популярным языком в даркнете, после английского, арабского, испанского и португальского.

Российское хакерское подполье является открытым сообществом и не использует какой-либо специализированный код для шифрования коммуникации благодаря таким технологиям как Pretty Good Privacy (PGP) и сквозному шифрованию.

Основная причина в том, что перевод русских форумов является сложной задачей, так как компьютерные технологии и техническая документация в основном написана на английском языке, а большинство русского хакерского сообщества не владеет свободно английским. Члены сообщества обычно заменяют многие стандартные термины на «русифицированные» версии, которые были получены и заменены звучащими по-русски словами.

Список новых терминов, вошедших в русскую хакерскую лексику:

Культура развития киберпреступности в России обусловлена историческими предпосылками. Стремление владеть полной информацией, нарушая права и свободы человека берет свое начало от методов КГБ, если не раньше и в дополнение считается остатком времен холодной войны. Посредством незаконной слежки и кражи персональной информации правительство исторически боролось с оппозицией для сохранения статуса-кво действующего режима.

Таким образом, многие убеждены, что правительство тесно сотрудничает с хакерами для реализации внутренней и внешней политики государства: для шпионажа, контроля мнений и для инициации политических беспорядков в западных демократических странах.

Инсайдерские торговые форумы в России обеспечивают беспрецедентный уровень детализации персональных данных любого человека, начиная с паспортных данных, личных фотографий, информации о браке и личной жизни, зарегистрированных случаев пересечения границы, материалов видеонаблюдения, правонарушений, информации об имуществе и многое другое.

Законодательство

В апреле 2014 года правительство России обновило свою систему массового наблюдения, СОРМ («Система оперативно-розыскных мероприятий»). СОРМ предоставляется Федеральным бюро безопасности (ФСБ), которое имеет возможности глубокой проверки данных. Установка является обязательной для всех российских операторов связи. СОРМ обеспечивает прямой интерфейс к данным, предоставляя ФСБ немедленный доступ и устраняя необходимость дожидаться постановление суда для начала наблюдения. Обновление до системы СОРМ 3 увеличивает возможности правительства по надзору, поскольку она собирает, хранит и фильтрует данные по следующим критериям:

  • IP-адреса
  • Веб-почта и мгновенные сообщения логины
  • Адрес электронной почты
  • IMSI (международный идентификатор мобильного абонента)
  • IMEI
  • MAC-адрес

Закон о локализации данных, который требует от каждой компании, обрабатывающей личную информацию на русском языке граждан, хранить данные в пределах российских границ. Закон, вступил в силу в сентябре 2015 года считается прямым ответом на раскрытие Эдвардом Сноуденом нарушений конфиденциальности. Компании, которые отказать следовать этому закону были полностью заблокированы, к примеру LinkedIn.  

Закон Яровой о борьбе с терроризмом повысил авторитет правоохранительных органов, предоставив им доступ к данным от российских телекоммуникационных провайдеров без постановления суда. Одна из поправок согласно закону: телекоммуникационные компании должны хранить фактические данные о звонках, текстовых сообщениях и изображения за шесть месяцев, а также метаданные - время, местоположение, информацию об отправителн и получателе - три года. Закон также включает обязательное дешифрование зашифрованных каналов. Именно поэтому правительство России запретило Telegram, поскольку компания отказалась предоставлять ключи дешифрования.

Закон о VPN и анонимайзерах требует от каждой компании, предоставляющей VPN сервис связывать и соблюдать реестр заблокированных веб-сайтов, а также блокировать доступ к ограниченному контенту в анонимных сетях. Известно, что многие VPN-провайдеры отказались следовать новым требованиям и отозвали свое физическое присутствие из России, и теперь предоставляют свои услуги своим пользователям удаленно за пределами границы.

Закон об идентификации требует, чтобы поставщики услуг мгновенных сообщений проверяли подлинность любого зарегистрированного пользователя, он вступил в силу в мае 2019 года.

Каждый из вышеуказанных законов был лишь предшественником огромного законопроекта о суверенном Интернете, подписанного президентом Путиным 1 мая 2019 года. Этот закон позволяет российскому правительству защищать веб инфраструктуру в пределах своих границ и отключаться от глобальной паутины, что облегчает массовое наблюдение и внутренний интернет-контроль.

Закон об Интернете по своей природе аналогичен китайскому «Великому брандмауэру», который также использует государственные полномочия для контроля киберпространство Официальная позиция России заключается в том, что закон призван защитить свою сеть от иностранного вмешательства, может намереваться отключить Россию от всемирной паутины.

Основные положения нового российского суверенного интернет-закона касаются:

  • правил маршрутизации сетевого трафика.
  • трансграничных и внутренних пунктов обмена трафиком
  • установки правительственного оборудования для мониторинга на точках обмена трафиком
  • создании национальной системы доменных имен

Закон о суверенном интернете довольно расплывчатый и не дает четкого определения угроз, реализации аппаратного и программного обеспечения. Несмотря на присутствующую неясность в формулировках закона, понятно что это изменит способ использования интернета предприятиями и потребителями в России.

Новые требования вынуждают предприятия нести затраты для хранения данных. В связи с этим операционные расходы увеличились у Российских телекоммуникационных компаний, и, как следствие выросли расходы потребителей.

Новый закон облегчает российским правоохранительным органам выявление хакеров, нацеленных на российские организации, но правительство закрывает глаза на тех, кто нацелен на иностранные организации, особенно те, которые действуют на стороне вражеских государств как США. Так, в марте 2019 года российские власти задержали Маза-Ин, создателя Anubis Android-банковского бота, который доставил проблемы всему миру, в том числе российским финансовым организациям. Несмотря на отсутствие официальных заявлений от правоохранительных органов, в подполье есть информация, что Маза-Ин завербован российской разведкой из-за его способностей. И это не первый известный случай, когда правительство вербует киберпреступников.

Еще одним случаем считают историю с Evil Corp – российской хакерской группировки, состоявшей из семнадцати человек, которая была признана самой вредоносной в мире. Банковские атаки Evil Corp причинили ущерб в сотни миллионов долларов. Основателем Evil Corp считается Максим Якубец из семьи чиновников и силовиков.  За поимку Максима назначили вознаграждение в размере $5 млн.

В 2009 году The Washington Post опубликовал статью о киберпреступниках украинского происхождения, которые совершили кражу в размере $415 тыс из бюджета округа Буллитт, Кентукки.

Помимо кражи банковских данных Максим и его команда оказывали услуги взлома российским спецслужбам. Минфин США утверждает, что Якубец сотрудничал с ФСБ начиная с 2017 года, где организовывал доступ к конфиденциальной информации. Российский МИД назвал это пропагандой штатов.  

Ветеран ФСБ работавший с хакерами, поделился, что хакеров сажают довольно редко и большинство из них сотрудничают с органами, известно, что такое практикуется с конца 90-х. Таким образом Evil Corp не первая хакерская группировка сотрудничавшая с ФСБ, такое сотрудничество дает киберпреступникам ряд преимуществ как материальных так и с точки зрения безопасности.

Российское правительство последовательно выдвигало свою политическую повестку с тайными кибер-операциями в последнее время. Известно о существовании следующих характеристик российских кибератак.

  1. Кибер Шпионаж нацеленный на инфраструктуру в иностранных государствах. Основной фокус на энергетике, атомной промышленности, коммерческом секторе, авиации и др. Считается, что атаки русских хакеров грамотно спланированы, длятся годами, используются различные методы, в том числе социальной инженерии и пр. Большинство зарегистрированных нападений на инфраструктуру используют фишинг.
  2. Иногда российское правительство проводит кибератаки без какой-либо конкретной стратегической выгоды, кроме демонстрации мощности.

Российское правительство постоянно пытается нарушить и повлиять на политический ландшафт в государствах-противниках. Это обычно осуществляется путем взлома антироссийских кандидатов и раскрытия частной или конфиденциальной информации, а также их союзников, для дестабилизации политической сцены. Другая используемая тактика - армия ботов в социальных сетях, которые распространяют поддельные новости и дезинформацию.

Правительство также пытается нарушить антироссийские партии и кандидатов. Один из самых известных примеров взлом Национального комитета Демократической партии во время всеобщих выборов в США в 2016 году.

Еще один известный случай произошел в 2017 году, когда хакеры получили доступ к системам премьер-министра Франции Эммануила Макрона. предвыборная кампания, выпустив более 20 000 электронных писем, которые были размещены в Twitter и Facebook.

  1. Россия поддерживает свою военную агрессию с помощью тайных кибер-операций, направленных на нарушение коммуникаций противника и распространении дезинформации. Во время русско-грузинской войны 2008 года Россия совершила массовое нападение на грузинские сервера, предназначенные для правительственной и медийной инфраструктуры, для предотвращения коммуникации и распространения важной информации.

Во время аннексии Крыма и войны на Донбассе в 2014 году российские хакеры успешно проникли в украинскую правительственную сеть через руткит Turla, нарушив связь и уничтожив критически важные сведения. Россия успешно проникла в Ракетные войска и артиллерию украинской армии с помощью зараженного мобильного приложения.

Следующим элементом киберпреступности являются черные рынки, где продаются наркотики, контрафактная валюта, оружие или другие запрещенные товары, в основном расположенные на сайтах .onion. Зеркальные версии постоянно контролируются и закрываются российским правительством. Эти рынки стали популярными в 2012 году с распространением Биткойна в качестве широко используемой анонимной валюты. Самой популярной и успешный Торговой площадкой в России была Русская анонимная торговая площадка (RAMP), которая работала в период с 2012-2017гг.

После закрытия, нишу RAMP быстро заполнили конкуренты, такие как Hydra Market - российский рынок. Одно время Hydra активно рекламировалась на YouTube. Hydra имеет более 1740 автоматических магазинов, которые в основном продают наркотики. Курьеров, управляющих складами называют «KladMan» (дословный перевод: кладовщик) —a человек, который доставляет приобретенные средства, также на рынке есть свои юридические и наркологические услуги.

Существует высокий уровень конкуренции между русскими черными рынками, они активно выполняют DDoS и фишинг атаки на своих конкурентов.

Club2Crd - один из крупнейших в России форумов. По состоянию на июнь 2019 года у него было более 36 000 потоков, 234 000 сообщений и 117 000 пользователей. Как и все вредоносные форумы, Club2Crd имеет разделы по техническим аспектам вредоносных кампаний, таких как рассылка спама, установка служб, защита инфраструктура и многое другое. Основными векторами являются кредитные карты, банковские счета, платежные системы и другие подобные услуги.

Одной из отличительных черт российского андеграунда считают форумы инсайдеров. В отличие от других подпольных ресурсов, форумы по инсайдерской торговле работают исключительно в рамках СНГ.

Самый большой форум по инсайдерской торговле по состоянию на июнь 2019 года насчитывал более 585 000 сообщений и 41 000 зарегистрированных пользователей. Основными предложениями являются данные государственных структур, мобильных операторов, банков, кредитных историй и иных запросов и предложений.

Уровень детализации, который там можно получить пугающий. Начиная с данные внутреннего и международного паспорта физических лиц, включая фотографии, историю брака, любые зарегистрированные случаи пересечения границ, время использования услуги внутреннего транспорта, видеонаблюдение в некоторых городах, экземпляры сводных бюллетеней (APB), которые указывают на уголовное преследование американских или канадских властей или любое другое уголовное расследование (включая запросы Интерпола), и информация о недвижимости.

В какие российские государственные структуры предлагают проникнуть: Министерство внутренних дел; Главное управление безопасности дорожного движения МВД России; Федеральная служба судебных приставов; Федеральная миграционная служба; Федеральная налоговая служба; Агентство пенсионного фонда.

Также в центре внимания киберпреступников сейчас находятся интернет вещи (IoT), так как этот новый сегмент устройств не всегда обладает функциями обеспечения безопасности. Русский киберкриминал считается самым сложным и быстрорастущим в мире, так как именно на русских площадках продаются самые свежие данные об уязвимостях для маршрутизаторов, модификации прошивки счетчиков электроэнергии, воды и газа, а также инструкции взлома бензоколонок и боты на базе интернета вещей. Взлом интернета вещей преследует коммерческие цели преступников, которые предоставляют взломанные устройства в качестве узлов для VPN при DDoS атаках. Также особой популярностью пользуется майнинг криптовалют на Android через телевизоры, приставки и пр.

Подпольная российская киберпреступность невероятно развита и широко распространена. В мире не существует другого подобного сообщества, которое может похвастаться похожей широтой знаний, ресурсов и рабочей силы. В то время как влияние нового закона о Суверенном интернете на киберпреступность пока неизвестно, очевидно, что правительство, во многих случаях закрывает глаза на незаконную деятельность в интернете, если это поддерживает национальные интересы, особенно если она нацелена геополитических конкурентов.

Группы по кибербезопасности сталкиваются с огромной проблемой, когда речь идет о российских киберпреступниках, особенно тех, кто работает на организации, которые могут конкурировать с российскими компаниями. Российские хакеры известны своими передовыми технологиями вредоносным ПО, набором эксплойтов и высокотехнологичными методами взлома.

Новые кибер-законы, в частности, Закон о Суверенном интернете усложняют защиту информации своих клиентов для компаний, работающих в России. Это также облегчает для России контроль над контентом и защиту его граждан в сети. Несмотря на выборочные попытки правительства контролировать интернет-пользователей, российское подполье киберпреступников продолжается расти в последние годы. Сообщества на форумах становятся более дружелюбными к нетехническим киберпреступникам, если у них есть деньги для их оплаты услуг.

Россия является раем для киберпреступников, если они не атакуют активы СНГ. Группы по кибербезопасности должны сохранять бдительность, поскольку киберпреступность в России продолжает расти как по частоте, так и по степени серьезности. Передовые технические возможности российского хакерского сообщества в сочетании с игнорированием правительства нападений на иностранные компании оставляют ТНК в качестве общих целей.

Войдите, чтобы оставлять комментарии.

Получить консультацию