Главная беда киберпреступников — лень

О том, как не попасться на фишинг, войти в доверие к киберпреступникам и разоблачить их, рассказывает один из ведущих экспертов в области кибербезопасности Артем Семенченко — аналитик экспертного центра FortiGuard Labs компании Fortinet
Главная беда киберпреступников — лень
Артем Семенченко, аналитик экспертного центра FortiGuard Labs компании Fortinet
Дмитрий Лыков

В мае в Москве прошел очередной международный форум по практической безопасности PHDays 9, на котором были представлены ведущие мировые компании, специализирующиеся на компьютерной безопасности. На форуме выступили порядка ста специалистов в этой области, на его площадке представители разных компаний соревновались в искусстве отражения атак на завод по перекачке газа, банкомат, автомобили Tesla и другое оборудование. Эксперты рассказывали о современных сценариях кибератак, о нюансах защиты АСУ ТП, телекоммуникационных и банковских систем, о рисках, связанных с интернетом вещей и с искусственным интеллектом, о качественных изменениях веб-приложений и их защищенности, об аппаратных уязвимостях и вариантах более безопасного сосуществования с ними.

Мы встретились на полях форума с одним из докладчиков — Артемом Семенченко, аналитиком экспертного центра FortiGuard Labs компании Fortinet, одного из крупнейших в мире разработчиков программного обеспечения, решений и сервисов в области информационной безопасности. Артем занимается исследованием и поиском преступных группировок в Сети и отвечает за взаимодействие с подразделением Интерпола по борьбе с киберпреступлениями.

 

— Какие задачи решает ваша лаборатория?

— FortiGuard Labs - это подразделение компании Fortinet, которая располагается в Сингапуре. Наш приоритет - анализ преступных группировок и выявление сложных угроз, когда угроза направлена не на большое количество людей. Есть угрозы, которые направлены на многих людей, когда массово генерируются так называемые вредоносные samples и массово рассылаются. Мы занимаемся другими: когда преступная группа специализируется на взломе конкретных организаций, например банков. Эта угроза гораздо опаснее, потому что злоумышленники изучают, как устроена работа в банке. Они изучают программное обеспечение, которое банк использует. И проводят так называемую спеа-фишинг-атаку (spear phishing), то есть целенаправленную атаку конкретно на эту организацию, когда письмо, туда отправленное, может быть очень похоже на письма, которые привыкли получать сотрудники.

— То есть они присылают некое письмо и…?

— Там много разных вариантов. Наиболее частый сценарий таков: злоумышленники посылают письмо и пытаются убедить пользователей открыть вложение. И обычно с этого начинается атака. И, если антивирус не спас, злоумышленники могут закрепиться в сети организации и осуществлять дальнейшие шаги.

magnifier.png Преступные группировки зачастую друг друга не знают, но они должны как-то общаться. При этом у них нет взаимного доверия. Поэтому они общаются на закрытых форумах, где продают друг другу наборы для изготовления вредоносных объектов

Наша задача — снизить риск для наших клиентов от этих видов угроз. Поэтому мы занимаемся изучением преступных группировок, мы занимаемся изучением samples — вредоносных файлов, которые эти группировки создают. И пишем специальные правила, которые помогают нам получать ранние нотификации. Моя специализация — нотификации, уведомления и русскоязычные группировки, поскольку я владею русским языком. Собственно, для этого меня туда и пригласили.

В Сингапуре находится Cyber Fusion Center — подразделение Интерпола, которое занимается борьбой с киберкриминалом. И у нас с ними подписано соглашение о сотрудничестве. В рамках этого соглашения они могут у нас запрашивать информацию о вредоносной активности, об отдельных вредоносных деятелях. Мы стараемся им помочь. Когда мы находим достаточно информации, чтобы идентифицировать злоумышленников, мы, опять-таки, делимся с Интерполом, чтобы они уже передали эти сведения правоохранительным органам того государства, где злоумышленник проживает.

КИБЕРКРАЙМ ВИРУС.png
PCQuest

 

Внедриться в преступное сообщество

— Как вы изучаете преступные группировки?

— Поясню. Преступные группировки зачастую друг друга не знают, но они должны как-то общаться. При этом у них нет взаимного доверия. Поэтому они общаются на закрытых форумах, где продают друг другу наборы для изготовления вредоносных объектов. Есть в открытом интернете такие форумы, есть форумы в так называемом даркнете, где идет шифрованный трафик и трудно понять, где находится сервер, через который они общаются, где находятся участники сообщества. Мы читаем эти форумы, понимаем, что там происходит, пытаемся получить доступ к их samples, чтобы проанализировать их, понять, какие объекты ими можно создавать, и написать правила, чтобы защитить пользователей.

— А как вам это удается?

— Дело в том, что это не устоявшееся сообщество, там происходит так называемая ротация кадров: новые участники вливаются в сообщество, старые участники либо прекращают деятельность, либо их деятельность пресекают правоохранительные органы. Их нужно кем-то восполнять. А там существует разделение труда, так как одному человеку провернуть всю схему, «от и до», довольно сложно. Поэтому кто-то регистрирует домены, продает их и не спрашивает, для чего они дальше используются, кто-то пишет вредоносные программы для атак, например, на банки и не интересуется, что дальше с ними происходит, а кто-то, соответственно, эти вредоносные программы покупает, атакует банки, получает прибыль. Такое разделение труда по специализациям.

Значит, если посадили там человека, который умел делать спам-рассылки, нужен новый специалист. В поисках таких специалистов они непрерывно друг к другу обращаются. И там действует система рекомендаций. То есть, чтобы войти на некоторые форумы, нужно, чтобы тебя кто-то рекомендовал: просто так начать читать, что они там написали, невозможно.

То есть вам приходится тоже искать какую-то поддержку в их рядах?

— Да, нам приходится маскироваться и как-то внедряться. Аккаунт на таких форумах дорого стоит. Если его там обнаружат и заблокируют, придется всю эту работу выстраивать заново.

Если они поймут, что за этим аккаунтом либо правоохранительные органы, либо мы, то они стараются от такого аккаунта избавиться. А мы стараемся все равно проникать. Если один человек проник, он другому присылает приглашения. Понятно, что мы это делаем, чтобы понимать, что там происходит, как это развивается и в конечном счете защитить пользователей и попытаться найти достаточно информации, чтобы прекратить деятельность этих группировок.

— А прекратить — это их поймать или каким-то образом заблокировать эти каналы?

— Поскольку я не отношусь к правоохранительным органам, то для меня блокировка канала была бы преступным поведением. Поэтому я здесь занимаю наблюдательную позицию. Я их изучаю и убеждаюсь, что наши продукты способны детектировать файлы, которые они создают.

— Правоохранительные органы просто блокируют соответствующий канал или они ищут людей?

— И блокируют, и ищут. Если удается определить, где находится сервер, то зачастую правоохранительные органы проводят операции по захвату серверов, получают информацию на серверах и потом могут поймать людей, которые там отметились.

Были даже случаи, когда правоохранительные органы, например, захватывали управление и анонимно управляли этими серверами под видом злоумышленников, собирали информацию, заставляли перерегистрироваться как можно большее количество пользователей, чтобы как можно больше информации у них собрать, чтобы потом попытаться накрыть разом как можно больше людей.

КИБЕРКРАЙМ ХАКЕР 2.png
Daily FT

 

Не пойматься на фишинг

— Преступные организации создают свои серверы? Или они куда-то внедряются и используют чужие?

— Они их обычно не создают, а арендуют. То есть теоретически можно купить оборудование, поставить сервер, заключить договор с провайдером, провести интернет-канал, но это очень все рискованно. Понимаете, сколько к ним сразу идет ниточек? Гораздо проще заплатить через криптовалюту какому-нибудь провайдеру во Вьетнаме, который предоставит вам хостинг.

magnifier.png Обычно они дубликаты карт отдавали совершенно посторонним людям, так называемым денежным мулам: им выдается карточка, они идут к банкомату, снимают деньги, какой-то процент забирают себе, а остальные кладут кому-то. И они не знают, кто это

И дальше этот сервер сможет рассылать вредоносные письма, может служить для того, чтобы обмануть пользователей фишингом, о котором я уже сказал, когда пользователь думает, что заходит на свою страничку, а на самом деле заходит на сайт злоумышленника, вводит свое имя пользователя, вводит свой пароль и отдает их злоумышленнику.

— То есть они дублируют странички?

— Да. Это называется фишинг. Дословно — «ужение на удочку»: вы «клюете» и сами им отдаете данные.

— А каковы основные виды компьютерных преступлений?

— Термин «компьютерные преступления», наверное, в данном случае лучше не использовать. Потому что понятие «компьютерные преступления» зависит от уголовного законодательства, а оно разное в разных странах. Например, то, что является уголовным преступлением во Франции, — обратная разработка программ — не является преступлением, например, в России.

— Обратная — то есть расшифровка программ?

— Да. Вы занимаетесь тем, что разбираетесь, как какая-нибудь программа работает. По аналогии: у вас есть автомобиль или истребитель, а вы их по деталям разбираете и понимаете, как они устроены. В программе на самом деле тоже есть такие модули, которые выполняют разные функции. И понимание, как эти модули работают, называется обратной разработкой. Так вот, эта деятельность во Франции в некоторых случаях карается по закону. Там нужно специальное разрешение на обратную разработку. Если вы просто так начали этим заниматься, то вы совершили преступление. А в России этого нет. Поэтому в данном случае лучше использовать термин не «компьютерные преступления», а «виды атак на пользователей».

— А какие виды атак самые распространенные?

— Вообще, их великое множество, и они меняются с изменением компьютерных систем. Компьютерные системы меняются быстро, поэтому и атаки меняются быстро. Но многие пользователи часто используют старые компьютерные системы, и атаки на них, от которых защищены новые системы, до сих пор работают. Есть организации, где до сих пор люди трудятся не то что на Windows XP, а на Windows 2000. И эпидемия вируса WannaCry это наглядно продемонстрировала. Сколько у нас оказалось фабрик обездвижено по всему миру, потому что они использовали старые версии операционных систем! И атаки на них до сих пор будут действовать, даже спустя десять-пятнадцать лет.

magnifier.png Поскольку я не отношусь к правоохранительным органам, то для меня блокировка канала была бы преступным поведением. Поэтому я здесь наблюдательную позицию занимаю. Я их изучаю и убеждаюсь, что наши продукты способны детектировать файлы, которые они создают

Из новых атак… Сейчас появилась новая технология — майнинг, добыча криптовалюты, то есть вычисления, которые позволяют получать блага внутри системы обмена валютой. Можно свои ресурсы тратить на добычу криптовалюты, а можно чужие ресурсы тратить. И появилось множество атак, которые связаны с захватом браузера. Вы заходите на свой сайт, а там вредоносный сайт начинает за ваш счет выполнять какие-то вычисления, то есть тратить ваше процессорное время. У вас все начинает, естественно, работать медленно, тормозить. Зато они какое-то количество вычислений просчитали и получили прибыль.

— Это какое-то время действует или злоумышленники захватывают ваш компьютер и могут пользоваться им постоянно, пока вы не очистили его?

— И так бывает, и так. В случае криптомайнинга, когда вы покинули страницу, это прекращается. А есть очень опасный класс атак — эксплойты, когда происходит эксплуатация уязвимости в вашем программном обеспечении. И злоумышленник выполняет действия на вашей машине, которые нужны ему.

По идее, программы, которые вы используете, должны быть написаны таким образом, чтобы они выполняли действия, которые нужны вам. Но при определенных обстоятельствах они становятся уязвимыми, зачастую за счет внутренних ошибок. И если злоумышленник поймет, как это эксплуатировать, он сможет этим воспользоваться. Если вы почему-то зашли к нему на вебсайт, он может заставить ваш браузер выполнить действия, нужные ему, например банковские транзакции, если компьютер, на котором вы работаете, является частью банковской системы. В этом случае у вас установлено программное обеспечение, которое позволяет вам делать транзакции, и, проникнув в ваш компьютер, злоумышленник при должной квалификации может делать это за вас — конечно, при условии, что он умеет обращаться с вашим браузером. И вот этим как раз занимаются преступные группы, которые грабят банки.

Получив доступ в сеть банка, они какое-то время ничего не делают, просто смотрят, как идет работа, как проходят транзакции, записывают экран пользователя, смотрят, что там пользователь нажимает, чтобы осуществить транзакцию, понимают, кто подтверждает эту транзакцию, чтобы раньше времени не выдать себя. Когда они собирают достаточно информации, они переводят быстренько деньги куда-нибудь в Бангладеш, из Бангладеш куда-нибудь еще. И пока люди в банке спохватятся, эти деньги уже выведены, потрачены.

Есть еще класс атак, где нужно действие пользователя, которого нужно обмануть: убедить открыть вложение в почте, кликнуть на ссылку. А есть класс атак на новостные сайты. Например, люди там с утра открывают такой сайт, а там размещаются рекламные сети других компаний. И пока вы будете читать с утра новости, как вы всегда делаете, у вас будет установлено вредоносное программное обеспечение.

КИБЕРКРАЙМ ХАКЕР.png
utahbusiness.com

 

Преступники тоже ленятся

— В чем заключаются основные ошибки злоумышленников, которые позволяют, их идентифицировать?

— Если их жертвы чрезмерно доверчивы, то главная ошибка самих злоумышленников — лень. Например, когда один и тот же e-mail используется и для регистрации в социальной сети, и для регистрации вредоносного домена. В этом случае к нему есть прямая дорожка.

Еще — повторное использование строчек. Так нам, например, удалось найти группу, которая занималась вредоносным программным обеспечением на POS-терминалах. Когда вы платите карточкой в магазине, вы прикладываете ее к POS-терминалу. Злоумышленники атаковали именно эти POS-терминалы, каким-то образом устанавливая на них вредоносные программы. Я подозреваю, что у них был какой-то инсайдер из обслуживающей компании, который устанавливал вредоносное программное обеспечение на эти POS-терминалы. И после этого, когда вы подключали свою карточку, с нее программа снимала так называемый дамп, то есть ее содержимое, и ПИН-код, который вы там вводили. То есть преступникам становился известен и ПИН-код, и данные. И они могли создавать дубликаты этих карт.

Обычно они эти дубликаты карт отдавали совершенно посторонним людям, так называемым денежным мулам: им выдается карточка, они идут к банкомату, снимают деньги, какой-то процент забирают себе, а остальное кладут кому-то. И они не знают, кто это. Если полиция их берет, то им некого сдать, они не знают своих хозяев.

magnifier.png Из-за того что злоумышленник использовал одно и то же имя пользователя, мы нашли другие его сайты. Мы нашли его YouTube-профайл и его отзывы на Google-картах, где он писал, что «здесь я купил свой Lexus IS-F, мне все понравилось, «здесь я отремонтировал свой BMW X6». Мы собрали достаточно информации и передали ее в Интерпол

Это вредоносное программное обеспечение, когда программа запускалась, создавало идентификатор, который обязательно присутствует в системе. Он называется mutex. Не буду вдаваться в подробности. Знающие люди поймут. При старте программа его проверяет. Так вот, злоумышленники этот mutex опубликовали в открытом виде на одном из форумов, посвященных разработке вредоносного программного обеспечения, где они обсуждали какую-то частную деталь его функционирования. И мы поняли, что это они.

А дальше, из-за того что злоумышленник использовал одно и то же имя пользователя, мы нашли другие его сайты. Мы нашли его YouTube-профайл и в конечном счете нашли его отзывы на Google-картах, где он писал, что «здесь я купил свой Lexus IS-F, мне все понравилось», «здесь я отремонтировал свой BMW X6». Мы собрали достаточно информации и передали ее в Интерпол. Оказалось, что он проживал в Соединенных Штатах Америки, в пригороде Лос-Анджелеса, а родом он из Молдовы.

А группа была вообще международная, в ней было тридцать шесть человек из Украины, России, Молдовы, Египта, Италии, Великобритании, Соединенных Штатов, Филиппин. Они друг друга зачастую не знали, а общались как раз через форум. И им всем было предъявлено обвинение, сейчас идет суд. Нанесенный ими ущерб оценен в 530 миллионов долларов прямого ущерба и 2,1 миллиарда долларов косвенного ущерба.

— А с вами банки как-то сотрудничают?

— Конечно. Тем более что в России им директивами Банка России положено иметь защитное программное и аппаратное обеспечение. И мы поставляем такие комплексы, они стоят весьма недешево.

— Это не только программа, но и какое-то «железо»?

— Да, конечно. Это фактически компьютер. В нем есть так называемые сэндбоксы — «песочницы». Когда приходит письмо с неизвестным вложением, из письма вложение достается, запускается в этой «песочнице» и смотрится его поведение. Если оно там пытается эксплуатировать другое программное обеспечение, значит, этот файл не пропускается к пользователю.

magnifier.png Если вы не хотели нанимать нового сотрудника, а вам приходит письмо с вложением «резюме», моя рекомендация — его не открывать. Вы же не объявляли вакансию. И вообще, если приходит любое письмо, которого вы не ждете, будьте осторожны

Но вообще то все пользователи должны понимать, что даже теоретически создать идеальное программное обеспечение невозможно. Есть такая теорема в математике о неполноте систем. Поэтому вы всегда уязвимы, и поэтому надо относиться с разумной подозрительностью ко всему, что вам попадает извне. Например, если вы не хотели нанимать нового сотрудника, а вам приходит письмо с вложением «резюме», моя рекомендация — его не открывать. Вы же не объявляли вакансию. И вообще, если приходит любое письмо, которого вы не ждете, будьте осторожны. Есть вероятность, что почту того человека, от которого пришло письмо, уже взломали и с его почтового адреса вам посылают письмо. Если у вас есть подозрение, лучше не полениться и с ним связаться как-то, позвонить, спросить: «Коллега, а вы мне присылали такой файлик?» То есть проявлять разумную осторожность. И второй совет: устанавливать обновления. Это существенно снижает риск.

— Обновление программного обеспечения?

— Обновление программного обеспечения. Внутри наших продуктов, например, есть такое сканирование FortiClient. Когда мы поняли, что основная проблема в том, что пользователи продолжают работать с уязвимым программным обеспечением, когда уже есть обновления, мы встроили в программу сканер уязвимостей, которая проверит версии программ на вашем компьютере, и, если есть более новые версии, она предложит вам обновиться. Даже есть автоматическое обновление, когда вы просто соглашаетесь и FortiClient делает это за вас. Это существенным образом повышает безопасность работы вашей системы.

Еще по теме