Русские хакеры - система отдыхает

Попробуем разобраться, можно ли верить тому, что русские хакеры - разработчики и непосредственные участники многих масштабных кибератак? Или это не имеет ничего общего с реальностью. Но сперва важно определиться, что для мирового сообщества есть понятие русскости в данном контексте?

С точки зрения истории сложилось так, что какое-то время назад, еще в постсоветский период появилось множество людей, чей уровень технической компетенции, талантов, умения и опыта был чрезвычайно высок, но волей обстоятельств они оказались не нужны рынку. поэтому их "переход" на темную сторону можно объяснить предоставленной им возможностью применения своих навыков и больших заработков. Наряду с качественным техническим образованием их копилка пополнилась и уникальным практическим опытом: пока кто-то постигал азы в лабораториях, хакерами на территории постсоветского пространства обкатывались технологии взлома на «живых», запущенных в действие системах. Еще 2-3 года назад их атаки ставили целью взломать российские активы — многие могут вспомнить о громких историях про взломанные порталы информагентств и раздачу через них троянских программ, организацию масштабных (до миллиона машин) ботнет-сетей и т.п. случаи.

Но в последнее время силовые структуры России, тесно сотрудничая с коммерческими компаниями, занимающимися расследованием киберпреступлений, смогли наглядно продемонстрировать, что их работа тоже может быть высокоэффективной, в итоге хакерам пришлось адаптироваться в новой реальности и прекратить работу на территории той страны, где они находятся. Произошло смещение фокуса в сторону «заграницы». В результате можно видеть, как схемы, реализовавшиеся 1-2 года назад на российской территории и в странах СНГ, сейчас весьма востребованы при атаках на активы европейских, североамериканских и др. стран.

И получается, что нет ничего удивительного в том, что сегодня на рынке хакеров велико влияние групп, вышедших с территории бывшего Советского Союза, внутри которых русский язык - основной в общении, и их принадлежность к России предпочитают указывать на основе, например, языка локальной машины, использованной при компиляции.

Но в реальности эти группы хакеров - интернациональны, а их костяк составляют выходцы с постсоветского пространства и тогда правильно говорить не о том, что это «русские», это - «русскоговорящие» хакеры. Часто западных коллег стоит поправить, когда они активно пользуются в разговоре словосочетанием «русские хакеры», ведь постсоветское пространство - это множество стран, жители которых очень неплохо владеют русским языком.

Но если говорить конкретно про русскоговорящих хакеров, то кроме обширного практического опыта, они отличаются еще и находчивостью, умением глобально, с анализом, мыслить, видеть наряду с отдельными уязвимостями их комбинации и т.п. К слову сказать, в штате компаний, которые занимаются Threat Intelligence (сервисы информирования об угрозах — Forbes), сегодня присутствуют и русскоговорящие сотрудники,  анализирующие русскоязычный сегмент интернета, и в том числе русскоязычные хакерские форумные площадки.

Еще одно своего рода косвенное «квалификационное» подтверждение уровня - разброс цен за хакерские «головы» — и здесь русскоязычные киберпреступники часто занимают первые строчки ценовых чартов, а суммы, которые объявляют иностранные силовые структуры, дотягивают до миллионов долларов. Именно во столько оцениваются их технические возможности, формирующиеся с учетом объема ущерба или оценки рисков от будущих атак. К примеру, если взломам интернет-банкинг отдельного частного лица ущерб невелик. А если говорить о восстановлении, то расходы на него и вовсе не столь значительны.

Если же говорить про целевую атаку на инфраструктуру, допустим, банка, то в этом случае компроментируется вся инфраструктура. Например, один из видов троянских программ может жить только в памяти, а когда компьютер выключается, он удаляется. Но беда в том, что пока компьютер находится во включенном виде, идет заражение соседних, и самое логичное из всех действий – единовременно отключить все машины или отключить поочередно, применив специально разработанную схему. Но, если вирус затронул сегмент платежной системы, то даже часовой ее простой может вылиться в потери на сотни тысяч долларов.

В целом киберпреступления бывают нескольких типов. Нельзя не сказать про атаки, которые совершали русскоговорящие хакерские группы. Их целью служили российские активы, расследования этих преступлений заканчивались успешно. Наверняка найдутся те, кто помнит нашумевшую историю о киберпреступной группе Carberp, одной из первых начавшей использование вредоносных программ для компрометации систем ДБО для мошенничеств против крупнейших российских банков. Примечательно, что, наибольшую активность группы зафиксировали весной и летом в 2012 году, а созданный ею ботнет быть активен даже после того, как члены группы были арестованы.

Второй тип - атаки, направленные против зарубежных активов, когда расследования проводили в России, но инициировали их западные организации. Яркий тому пример - история, имевшая место год назад, когда, благодаря управлению «К» МВД России, прекратила свою деятельность международная хакерская группировка, атаковавшая системы Visa и Mastercard. Что интересно, преступники были взяты с поличным – при попытке похитить 1,5 млрд рублей сразу из нескольких банков.

Третий тип: атаки, произошедшие по вине русских хакеров. Преступников арестовали в сторонних государствах. К примеру, Александра Панина арестовали в международном аэропорту Атланты, где и приговорили его к 9,5 годам тюрьмы. Панину вменили создание вируса, который атаковал свыше 250 финучреждений и нанес ущерб в $120 млн.

Четвертый тип — преступления, про которые уже известно, но преступников пока не удалось поймать и об их национальностях тоже нет никакой информации. Так,  примеру, существует группа под названием Armada Collective, шантажирующая DDoS-атаками компании, работающие в таких сферах как интернет-коммерция.

Пятый типу - все истории, в которых вину по ошибке признали за русскими хакерами. Если углубиться в эту тему недостаточно,  атаки нередко выглядят, как инициированные из России. Допустим, атакующим используется цепочка промежуточных узлов и по мнению жертв, местонахождение сервера, куда отправляется чувствительная информация, тоже - Россия. А в действительности, в России находится только промежуточное звено, за которым есть второе и даже третье, и при более тщательном расследовании вполне можно добраться и до дата-центра, скажем, в Дании. На такие случаи, когда кажется, что размещения сетевой инфраструктуры, указывает на "российский" след атаки, в общем количестве приходится более 50%.

Конечно, у многих уникальных идей и технологий - славянские корни. Но если подходить к проблеме хакерства с точки зрения технологий, то важно помнить, что современные коммуникационные способы не ставя границ между странами. Да и преступники в большинстве своем космополиты, успешно пользуются наработками, опытом и находками друг друга, не обременяя себя таким понятием, как границы между государствами.