К чему готовиться добропорядочным компаниям, когда хакеры начинают передел рынка. Тёмный даркнет.

Теневой рынок торговли персональными данными и доступом к IT-инфраструктуре — явление, которое невозможно игнорировать, хотя бы в силу влияния на экономику, теряющую от хакерских атак 3,5 трлн руб. в год. В конце февраля — начале марта 2021 года вместо уже привычных сообщений об успешных кибератаках на компании или банки появилась информация о взломанных хакерских форумах. Казалось бы, хорошая новость для операторов данных, в среднем тратящих на кибербезопасность по $1,5 млн ежегодно. Но происходящее в хакерском сообществе больше всего напоминает передел рынка со всеми вытекающими последствиями: кибератаки в ближайшее время станут опаснее, а защита от них — дороже.

Потери российской экономики от действий киберпреступников в 2020 году, по оценке Сбербанка, могли составить 3,5–3,6 трлн руб. Эта сумма равна 73% тех средств, которые, по заявлению властей, в течение двух лет потребуются на восстановление всей экономики страны после пандемии. Только объем рынка продаж краденых данных банковских карт в 2020 году, по оценке Group-IB, приблизился к 145 млрд руб., что сопоставимо с тратами россиян на льготную ипотеку за этот год. При этом большая часть кибератак, по данным Microsoft, исходит из России. В сентябре 2020 года корпорация отчиталась, что за последние два года зафиксировала более 13 тыс. уведомлений о хакерских атаках и самый высокий процент сообщений был вызван действиями России.

Но в начале 2021 года «русские хакеры» внезапно сами подверглись атакам. Так, 20 января о взломе сообщил администратор хакерского форума Verified, 16 февраля — кардинг-форум CrdClub (мошенники использовали его для сделок с поставщиками фальшивых кредитных карт), 2 марта об атаках заявил Exploit, а 3 марта — старейший русскоязычный форум Maza (см. “Ъ” от 5 марта). Хакерские форумы — это фактически биржи по продаже киберкриминальных товаров и услуг, говорит технический директор Trend Micro в России и СНГ Михаил Кондрашин. Успешные атаки на такие «биржи» могут означать и то, что активизировались спецслужбы, и то, что сами киберпреступники начали войну без правил за передел теневого рынка. В любом случае для добропорядочных операторов данных новость о взломанных хакерах кажется хорошей. Но не все так просто. Для начала возникает вопрос, зачем вообще специалисты по краже данных из интернета выкладывают в него свои собственные.

Вход по поручительству.

Хакерские форумы нужны не только хакерам. На таких форумах покупают или продают сервисы или обсуждают практические аспекты их применения, говорит эксперт по кибербезопасности в «Лаборатории Касперского» Дмитрий Галов. Поэтому среди активных посетителей форумов могут быть программисты, которые пишут код троянов, но сами не проводят атаки, а продают свои услуги злоумышленникам, рассказывает старший аналитик компании Positive Technologies Вадим Соловьев. Другая часть аудитории теневых площадок — «частники», которые не умеют «кодить», но хотят заработать на продаже собранных данных или на атаках. «На форумах также могут быть зарегистрированы, например, те, кто забирает деньги из банкоматов после атаки»,— добавляет господин Соловьев.

Кроме того, по словам экспертов, на форумах можно встретить посредников, которые отрабатывают чей-то заказ либо зарабатывают на перепродаже данных и вредоносного ПО, тех, кто собрал свой ботнет (компьютерная сеть из устройств, зараженных вредоносной программой) и предлагает его как сервис.

От посторонних администраторы форумов защищаются сложным механизмом регистрации и ее высокой ценой. Для регистрации нужно подтвердить свой аккаунт и предоставить «портфолио» или поручительство от действующего пользователя, говорит директор по корпоративным продажам ESET в России Антон Пономарев. Площадка Maza имеет особенно сложный механизм регистрации, и ее цена — $1 тыс. (о числе пользователей дает представление тот факт, что в результате мартовской атаки в свободном доступе оказались данные более 2 тыс. хакеров). К слову, администраторы подобных площадок — фактически хакеры, зарабатывающие на хакерах,— получают деньги и от регистрации, и от участия в обсуждаемых мошеннических схемах. По оценкам собеседника “Ъ” в хакерских кругах, ежемесячно через форум Maza проходит не менее $0,5 млн, а совокупный оборот Maza, Verified и Exploit за месяц превышает более $1 млн.

На хакерских форумах часто появляются сообщения о взломе других форумов, но отличительной особенностью последних атак стало то, что их целью были именно крупнейшие и широко известные в андерграунде ресурсы, говорит Вадим Соловьев. «Три форума за один месяц — это странно. Не думаю, что это были обычные хакеры. Кто-то целенаправленно губит форумы»,— уверен один из основателей Exploit.

Карающий меч в погонах.

Характер взломов форумов говорит о том, что атакующий обладал подробной информацией о работе площадок, уверены опрошенные “Ъ” эксперты. Система мониторинга форума Exploit, в частности, обнаружила несанкционированный доступ и попытку перехвата и анализа сетевого трафика. Такую атаку могли осуществить «только спецслужбы или люди, которые знают, где расположены серверы», сказал один из основателей Exploit (по данным компании KrebsOnSecurity).

Форумы Maza, Verified и Exploit некоторые собеседники “Ъ” предположительно связывают с экс-оперативником Центра информационной безопасности ФСБ России Дмитрием Докучаевым (см. справку). Слух о том, что форумы могли взломать по заказу спецслужб, появился на фоне того, что Дмитрий Докучаев попросил суд об условно-досрочном освобождении. Соответствующее обращение его адвокат направил в Лефортовский суд 2 марта. Часть хакерского сообщества выдвинула версию, что для атаки на форумы были использованы данные, полученные от Дмитрия Докучаева в обмен на сокращение срока наказания.

Впрочем, у этой яркой версии при ближайшем рассмотрении обнаруживается множество слабых мест. Во-первых, срок заключения Дмитрию Докучаеву суд так и не сократил. Во-вторых, даже давний антагонист Дмитрия Докучаева, основатель платежной системы ChronoPay Павел Врублевский, не стал прямо указывать на него, а лишь заявил “Ъ”, что не знает, кто взломал форумы, добавив, что «взлом во многом станет концом этих сообществ и снимет постоянный риск для Дмитрия из-за связи с ними». Администратор Maza заявил “Ъ”, что Дмитрий Докучаев не имел отношения ни к администрированию форума, ни к его взлому.

Но самое главное, после атак на форумы никаких заявлений правоохранителей об их закрытии не последовало. Более того, по словам источника “Ъ”, копия Verified появилась на другом адресе, а портал Exploit на данный момент восстановил работу. На Verified появилось объявление, что всем пользователям сбросили пароли, уточняет аналитик компании по кибербезопасности Kela Виктория Кивилевич. По ее словам, CrdClub сейчас работает, а у Expoit приостанавливалась только работа «зеркала» в легальном сегменте интернета. Для спецслужб это нетипично. Так, в 2019 году, когда белорусские силовики вышли на хакерский форум XakFor для русскоговорящих кибервзломщиков, площадка прекратила работу, о ее закрытии отчитались МВД и Следственный комитет республики.

Эксперты указывают и еще на один немаловажный момент. «Атаки на подобные ресурсы правоохранительным органам невыгодны, поскольку они сами постоянно черпают оттуда данные для работы»,— говорит Игорь Залевский.

В результате на первый план выходит версия о том, что сами крупные игроки теневого рынка торговли данными начали его передел.

Киберпередел.

Рост атак на хакеров, скорее всего, связан с попытками передела черного рынка IT-услуг и торговли данными, полагает основатель сервиса разведки утечек данных DLBI Ашот Оганесян. По его мнению, за атаками стоят владельцы других форумов, пытающиеся разрушить репутацию конкурентов, или обиженные члены сообщества. К этой версии склоняется и Павел Ситников (см. интервью).

Локальные разборки конкурирующих группировок могут оказать разрушительное воздействие на хакерское сообщество, главным страхом для которого является деанонимизация. Она возможна, если владельцы взломанных ресурсов вели журнал IP-адресов, говорит Вадим Соловьев. В таком случае, по его мнению, правоохранительным органам будет гораздо проще вычислить реальное местоположение преступников.

Бывший российский хакер Павел Ситников о работе русскоязычных киберпреступных форумов и последствиях их взлома

Разоблачение участников форумов, безусловно, осложнит работу теневых площадок, считают эксперты. Их пользователи «перетекут» на другие ресурсы, «что вполне соответствует задачам атакующих», считает господин Оганесян, ведь речь идет о борьбе с конкурентами. Но администраторы всех сохранившихся площадок при этом усложнят процедуру приема новых членов, повысят защиту цифровой инфраструктуры и откажутся от хранения данных пользователей, полагает Антон Пономарев.

Члены хакерских группировок станут вести себя осторожнее, уверен эксперт управления информационной безопасности Softline Илья Тихонов. На фоне подобных атак некоторые хакеры уже перестают заниматься своей деятельностью, подтверждает руководитель отдела расследования киберинцидентов JSOC CERT «Ростелекома» Игорь Залевский. Те же, кто «остается в игре», повышают цены на свои услуги с учетом рисков раскрытия личности после взлома очередного форума, говорит он.

Сейчас, по данным Privacy Affairs, цены на различные товары и услуги на теневом рынке варьируются от $15 за данные банковской карты до $1 тыс. за продажу уязвимости в системе Android. Взломы различных площадок в интернете, по данным Positive Technologies, могут стоить от $40 за взлом почты до $4,5 тыс. за целевую атаку на компанию.

Добропорядочным компаниям и банкам, в свою очередь, придется еще пристальнее следить за безопасностью и увеличивать бюджеты на это направление. В 2020 году, по данным Cisco, средние расходы на защиту данных в российских организациях составили $1,4 млн. Но уже в 2021 году 52% российских компаний, по прогнозу PwC, планируют увеличить расходы на кибербезопасность, а 42% организаций хотят расширить штат сотрудников, занятых в этой сфере. Источник: https://www.kommersant.ru/doc/4732215?from=other_trend

Цена вопроса.

Антон Юдаков о том, зачем хакеры взламывают своих же.

Сообщения о взломах теневых форумов стали появляться в этом году с завидной регулярностью. Возникает вопрос: зачем хакеры взламывают своих же? Мотивы у всех разные: устранение конкурентов, месть, финансовая выгода. И если с первыми двумя причинами все относительно просто (нет врага — нет проблемы), то монетизация информации, полученной после атаки,— вопрос более сложный.

Непосредственный интерес для хакеров могут представлять электронные кошельки, которые используют конкуренты на теневых форумах. На часть из них принимаются деньги за покупку доступа к площадке: единовременный взнос в среднем составляет $50–100, а средства чаще всего сразу переводятся и аккумулируются на других кошельках администраторов.

Есть еще депозиты форума — кошельки, которые обеспечивают гарантийный фонд сообщества. В случае обмана при сделках этот «депозит» списывается в пользу обманутой стороны для компенсации потерь. Суммы таких гарантий могут достигать нескольких тысяч долларов.

Также часто используется «гарант» сделки — аналог банковского эскроу-счета. Деньги за товар при этом переводят на кошелек «гаранту». Тот проверяет товар и, если все в порядке, переводит деньги продавцу, оставляя себе процент. Цена покупки обычно не превышает $1 тыс., но поскольку сделки происходят постоянно, то на счете скапливаются довольно большие суммы. Форум Verified, например, оценил возможные потери со своих электронных кошельков в $150 тыс., но при этом администраторы назвали сумму «небольшой».

Интерес для хакера представляют и непосредственно данные пользователей форума, которые можно продать. После взлома Verified на одной из конкурентных площадок базу форума, включая приватную переписку участников, выставили на продажу за $100 тыс. Монетизировать атаку можно и путем шантажа: взломав форум, вычислить нескольких пользователей и требовать с них выкуп в обмен на сохранение их анонимности. Или же можно скомпрометировать данные, которые продает сам пользователь форума, и попытаться их перепродать. Сумма в данном случае ограничена только фантазией злоумышленника.

В реальности подобные атаки на форумы реже несут прямую финансовую выгоду хакерам-одиночкам, которые могут найти цели проще и доходнее. Для них таки атаки имеют скорее моральную подоплеку. Не стоит упускать из внимания и тот факт, что взломы произошли в короткий временной промежуток и касались именно русскоязычных площадок. Не исключено, что речь может идти о конкуренции международного уровня.

Еще один вариант — «хактивизм» в интересах другой страны. В этом случае оценивается не прямая выгода от взлома, а возможность предотвращения потенциального ущерба от будущих атак. Есть вариант, что скомпрометированные хакеры могут прекратить свою деятельность или даже помочь правоохранительным органам выйти на более масштабную хакерскую сеть или профессиональную кибергруппировку. Но это одна из наименее вероятных причин взлома: правоохранительным органам и спецслужбам атаки на подобные ресурсы скорее невыгодны, так как они черпают оттуда данные для своих расследований.

Является ли череда последних взломов совпадением или продуманной кампанией, однозначно сказать сложно. Но очевидно, что взломы усложнят «работу» киберпреступников, по крайней мере в ближайшей перспективе, а кто-то, опасаясь быть раскрытым, и вовсе может уйти «на пенсию».

Антон Юдаков, операционный директор центра мониторинга и реагирования на киберугрозы Solar JSOC компании «Ростелеком». https://www.kommersant.ru/doc/4722877