О другій годині дня 20 березня 2013 року з жорстких дисків десятків тисяч комп’ютерів у Південній Кореї одним махом стерли дані. Відбулася масштабна кібератака. Головними мішенями стали банки та інформагенції. На перший погляд це нагадувало акт кібервандалізму. Але коли служби інформаційної безпеки копнули глибше, то дійшли іншого висновку.
Операція, яку вони назвали «Темний Сеул», була ретельно спланована. Хакерам вдалося проникнути в комп’ютери майбутніх мішеней на кілька місяців раніше і встановити там програми для стирання даних із дисків. Безпосередньо перед атакою вони додали код, необхідний для її запуску. Проаналізувавши використані зловмисниками прийоми, експерти компанії McAfee (працює в галузі кібербезпеки) припустили, що електронну диверсію могла провести група, яка вже відзначилася спробами проникнення в мережі південнокорейської армії.
Але їм не вистачало фактів. Точно встановити джерело атаки майже неможливо, якщо хакери хочуть заплутати сліди. За останнє десятиліття розроблено різноманітні прийоми для маскування місцезнаходження користувачів. Технологія під назвою Tor, наприклад, дає змогу встановлювати анонімні з’єднання: вона «розкидає» дані по всій земній кулі, зашифровує і перешифровує їх по кілька разів так, що відправника визначити неможливо.
Інколи хакери, навпаки, самі рвуться повідомити світові про те, що накоїли. Групи Anonymous і LulzSec зламують комп’ютери для розваги або щоб привернути увагу до певної проблеми. Зазвичай це робиться через дефейс сайтів або DDoS-атаки, в яких на сайти надсилаються величезні обсяги трафіку, щоб довести їх до відмови. «Анонімуси» також неодноразово зливали в мережу кореспонденцію та інші матеріали декого з атакованих.
Злочинці-хакери відповідальні за переважну більшість атак у кіберпросторі й стали, мабуть, найбільшою загрозою для компаній. Деякі хакерські групи мають настільки добре продуману організацію, що нагадують мультинаціональні корпорації в мініатюрі. На початку цього року спільна операція правоохоронних органів цілої низки держав ліквідувала групу кіберзлочинців – розробників зловмисної програми під назвою Blackshades, яка інфікувала понад півмільйона комп’ютерів більш ніж у 100 країнах. Поліція виявила, що група мала оплачуваний штат і навіть наймала директора з маркетингу, щоб рекламувати своє програмне забезпечення хакерам. Була в неї і служба підтримки клієнтів.
Читайте також: Кому страшні українські хакери?
Таких організованих хакерських імперій стає дедалі більше. «Злочинність дуже змінилась завдяки інтернету», – каже керівник британського Національного управління боротьби з кіберзлочинністю Енді Арчибальд. Хакери – порушники закону діють загалом у двох напрямах. У першому вони допомагають скоювати «традиційні» злочини. Торік поліція в Нідерландах і Бельгії покінчила із групою наркоконтрабандистів, які найняли комп’ютерників, щоб покращити логістику. Злочинці ховали наркотики в партіях цілком законних товарів, які йшли в порт Антверпена. Для цього хакери зламували ІТ-системи транспортних компаній у порту і крали коди безпеки контейнерів. Так шахраї могли забирати вантаж раніше за реальних власників.
Комп’ютерна мафія і економіка
Другий вид злочинів відбувається виключно в мережі. У червні американська влада висунула звинувачення проти росіянина, автора ботнету GameOver Zeus – складної програми, яка краде із заражених комп’ютерів логіни та паролі до банківських рахунків і знімає з них гроші. ФБР оцінює завдані нею збитки у понад $100 млн. «Грабувати людей по одному з ножем чи пістолетом – це дріб’язковість. Зараз єдиним натиском клавіші можна обчистити мільйони осіб», – каже засновник Інституту злочинності майбутнього Марк Ґудмен.
За останній рік поліції вдалося здобути кілька помітних перемог над цифровими шахраями. Серед цих успіхів – арешт організатора скандального «Шовкового шляху» (інтер-
нет-ринку зброї, наркотиків і крадених даних кредитних карток), а також рейд на сервери, де розміщувалася зловмисна програма-вимагач Cryptolocker, яка зашифровує комп’ютерні файли й розкодовує їх тільки після сплати «викупу».
Кіберзлочини часто відбуваються в кількох юрисдикціях, що ускладнює розслідування й забирає багато часу. Крім того, важко знайти хороших веб-детективів, тому що таких фахівців із руками-ногами забирає бізнес, який зазвичай пропонує кращу оплату. Арчибальд каже, що намагається вмовляти приватні фірми посилати до нього обізнаних у комп’ютерних науках співробітників на стажування.
Шахраї зазвичай полюють лише на гроші. А от мотивацію хакерів, яких спонсорує чи толерує держава, класифікувати складніше: вона варіюється від бажання сіяти хаос до крадіжок промислових таємниць. Наприклад, Електронна армія Сирії забезпечує собі розголос, зламуючи сайти медіа-компаній. Торік вона вторглася в акаунт Associated Press і розмістила там твіт про підрив Білого дому.
Інші групи, які опинилися в полі зору служб безпеки, – це, зокрема, індійська Operation Hangover, яка здійснює кібератаки в Пакистані, й китайська хакерська організація Elderwood Group, що 2009 року організувала серію атак на американські технологічні компанії (Google та ін.). Такого роду групи тепер позначають скороченням APT (advanced persistent threats – постійні загрози високого рівня). «Це хакери високого класу, вони проводять довгострокові кампанії», – розповідає технічний директор McAfee Майк Фей.
Читайте також :Як кіберфронти переросли у кібермайдани
На відміну від «звичайних» злочинців, які запускають свої шкідливі програми де тільки можна, щоб заразити якомога більше мішеней, групи АРТ працюють над конкретними об’єктами. Вони часто вдаються до спірфішингу – виманюють у користувачів паролі та іншу критично важливу інформацію, щоб дістати доступ до мереж. А проникнувши туди, можуть зачаїтися на кілька тижнів або й місяців, перш ніж атакувати.
Державна розвідка зазвичай використовує ту саму тактику, тож відрізнити організоване урядом шпигунство від приватного буває важко. Компанія Mandiant, яка займається питаннями кібербезпеки, торік опублікувала звіт про промисловий шпіонаж КНР, назвавши його «АРТ-1». У документі йшлося про те, що китайські хакери з підрозділу № 61398 – частини Народно-визвольної армії Китаю в Шанхаї за кілька років незаконно проникли в десятки корпоративних мереж, особливу увагу звертаючи на такі галузі, як технологія і аерокосмічна промисловість, які Пекін уважає стратегічними (див. «Із Китаю без любові»). У травні п’ятьом китайським хакерам із цього підрозділу департамент юстиції США заочно висунув звинувачення в атаках на мережі кількох американських компаній та однієї профспілки.
Китай не єдина держава, яка активно займається кібершпигунством. Витоки інформації від Едварда Сноудена свідчать, що Агентство національної безпеки США вело програми стеження, які збирали інформацію просто із серверів великих технологічних компаній, серед яких Microsoft та Facebook, і прослуховувало директорів Huawei – телекомунікаційного велетня з Піднебесної. Американські офіційні особи заявляють, що шпигунство АНБ не має на меті прямо сприяти американським фірмам, хоча розвідка часто стосувалася питань на кшталт торгових перемовин, тож, очевидно, була корисна бізнесові Сполучених Штатів.
Заблокувати складні атаки, що точно влучають у ціль, надзвичайно важко. Це як захист у крикеті: гравець повинен відбивати кожен м’яч, який летить у ворота, тоді як хакерам достатньо просто один раз збити ворота, щоб виграти. Але за умови правильного виконання кількох базових моментів захист значно збільшив би свої шанси на успіх.