Спецпроекты

Безопасность Стратегия безопасности

«Лаборатория Касперского» о практике расследования киберпреступлений

Недавно следственный департамент МВД сообщил о задержании хакерской группы, в состав которой входил знаменитый Paunch. Предположительно он отвечал за развитие и поддержку опасного набора вредоносных программ Blackhole. В прошлом году также было несколько крупных задержаний. О том, как происходит расследование подобного рода преступлений, и об особенностях российского киберкриминального рынка мы поговорили с руководителем отдела расследования компьютерных инцидентов «Лаборатории Касперского» Русланом Стояновым.

CNews: Можно ли сказать, что после ареста Paunch и других задержаний всех крупных дельцов в сфере киберпреступлений поймали и остались только мелкие сошки?

Руслан Стоянов: Арест Paunch и операция Microsoft против ботсети Citadel – знаковые события, которые оказали серьезное влияние на киберкриминальный рынок. Эти 2 события серьезно «попутали карты» действующим группам, потому что они потеряли до этого надежный канал доставки вредоносных программ на компьютеры пользователей. В общем, экономика этого подполья пострадала серьезно.

Другое дело, что, по нашим наблюдениям, большинство «игроков» этого рынка не отказалось от продолжения деятельности. То, что задержания подозреваемых в совершении киберпреступлений стали происходить чаще, – безусловно позитивная тенденция. Однако открытым остается вопрос о том, как сложилась судьба задержанных в дальнейшем. Кто-то получил реальные приговоры, кто-то – по разным причинам – еще нет. Мы думаем, что по-настоящему значимый перелом случится, когда расследования преступлений в сфере компьютерной информации поставят на поток. Сейчас на некоторых этапах расследования нет устоявшихся практик, и это мешает успешному доведению дел до конца.

CNews: Можно ли как-то определить количество криминальных групп, промышляющих киберпреступностью, и если да, то сколько их?

Руслан Стоянов: Это сложно определить, все очень сильно законспирировано. Злоумышленники не участвуют в переписи населения и не дают о себе данных, что они занимаются преступным бизнесом. У нас были такие случаи, когда мы во время работы находили информацию о мощных группах с собственным серьезным софтом и инфраструктурой. Они работают, например, с 2011 года, и мы понимаем, что все это время мы не подозревали об их существовании. И проблема в данном случае не в том, что мы чего-то не видим, а в том, сколько случаев мы можем расследовать одновременно. Как правило, не более десяти. Наши ресурсы задействованы не на 100%, но мы уже близки к тому.

CNews: Если сравнить ситуацию в сфере киберпреступлений сегодня, и, скажем, 2–3 года назад, есть ли какие-то тенденции? Как изменилась ситуация за последние два года? На чем раньше специализировались преступники и что они делают сейчас?

Руслан Стоянов: Под прицелом злоумышленников в течение последних 10–15 лет традиционно находятся банки – атаки на них приносят наибольший доход. Сейчас банки используют высокотехнологичные методы защиты, например антифрод-системы, анализирующие каждое платежное поручение, поступающее в банк. Тем не менее инциденты все же происходят. Киберпреступники продолжают играть на опережение, они меняют методы работы, технологии, ищут новые уязвимости в банковском ПО. Последний тренд, который отмечают практически все банки, – переход на создание мобильных ботнетов для Android, используя для кражи денежных средств SMS-банкинг.

Если же оценивать другие типы вредоносной активности, на которой зарабатывают злоумышленники, то мы видим своего рода «возвращение» DDoS-атак. Знаменитая атака на группу Spamhaus, организованная прошлой зимой, стала своего рода бесплатной рекламой для этого вида нелегальных услуг. Потенциальные заказчики воочию убедились в том, что такие атаки могут быть эффективными, и по миру прокатилась волна DDoS-атак, которая, собственно, продолжается и сейчас – мы уже несколько месяцев наблюдаем рост числа подобных инцидентов.

CNews: А кто сейчас основные жертвы киберпреступников?

Руслан Стоянов: Малый, средний бизнес, иногда даже крупные компании. Крупный бизнес более привлекателен для злоумышленников – у таких компаний можно украсть не только деньги, но и информацию. У нас были такие кейсы, когда объектом посягательств были не системы ДБО, а внутренняя информация. Во всех случаях злоумышленники действовали с помощью нанятых инсайдеров или бывших сотрудников, которые предоставляли им необходимые данные.

Руслан Стоянов: Наш выход на рынок расследования компьютерных инцидентов – закономерный шаг в развитии компании

Впрочем, малый бизнес тоже «в моде». Такие компании не всегда инвестируют достаточно ресурсов в обеспечение надежной защиты своих рабочих станций. Далеко не все проводят хотя бы базовый инструктаж в области информационной безопасности для бухгалтеров и других сотрудников, работающих с финансовой информацией. Это очень рискованно, учитывая, что, успешно атаковав бухгалтерский компьютер один раз, злоумышленник может буквально обескровить компанию, украв все деньги с ее счетов.

CNews: Поговорим о коммерческой составляющей. Можно ли как-то отследить, сколько стоила атака для злоумышленника? Грубо говоря, насколько должен быть большим куш, чтобы преступники стали рисковать своей свободой?

Руслан Стоянов: Если честно, сейчас злоумышленники не так сильно рискуют своей свободой, прежде всего из-за слабости действующего законодательства. Ценз вхождения в киберкриминал в последние годы значительно снизился. Возник настоящий черный B2B-рынок, на котором можно купить любую хакерскую услугу. Размер стартового капитала зависит от степени технической подготовленности злоумышленника, его организованности и амбициозности. Это очень грубые оценки, но в среднем на организацию небольшого преступного бизнеса сейчас тратят около $10 тыс. За эти деньги злоумышленник будет обеспечен всеми необходимыми инструментами и технической поддержкой специалистов. Схема действий простая – неофит заходит на специализированный форум, изучает доступные материалы, скачивает публичный софт или покупает приватный, там же находит сервисы, которые обеспечат его трафиком, хостингом и всем необходимым для строительства ботнета, после чего запускает свое дело. Конечно, рано или поздно каждый из таких «бизнесменов» будет наказан.

CNews: Как с этим бороться?

Руслан Стоянов: История с ботнетом Citadel – хороший ответ на этот вопрос. Как минимум, нужно сделать так, чтобы развитый рынок черных B2B-услуг перестал быть таким доступным, каким он является сейчас. Для этого нужно выводить из игры крупные элементы киберпреступной инфраструктуры.

Вот, к примеру, весной этого года закрыли платежную систему Liberty Reserve. До этого данная электронная валюта в течение долгих лет была чуть ли не основным способом оплаты и удобным промежуточным средством для «отмывания» украденных денег для киберпреступников по всему миру. Систему закрыли в один день, и преступники моментально лишились всех денег на своих LR-счетах и, что самое главное, удобного инструмента для бизнес-операций. Это был удар по киберкриминальной инфраструктуре. Отключение Citadel и арест Paunch – еще один мощный удар.

Подобные операции делают услуги по организации вредоносных атак дороже. А если они дороже, значит они менее доступны. Еще одно действие, которое необходимо предпринять, чтобы существенно снизить объемы киберпреступности, – это ввести суровое наказание для участников тех немногих преступных групп, которые останутся на рынке после того, как инфраструктура будет разрушена. Суровое наказание – это реальные сроки и штрафы, многократно превышающие объем украденных денег. Конечно, преступность как таковую мы подобными действиями не искореним, но, по крайней мере, сведем к минимуму повальное увлечение киберкриминалом со стороны подрастающего поколения.

CNews: Почему «Лаборатория Касперского» решила расследовать компьютерные инциденты?

Руслан Стоянов: У нас огромный опыт в анализе вредоносного ПО, противодействии фишингу и спаму. Однако все это реактивные действия. Детектируешь одну троянскую программу, появляется другая; идентифицируешь одну спам-рассылку – «на той стороне» уже готова новая. Другими словами, едва ли можно победить киберпреступность одними антивирусными технологиями. К тому же киберпреступления, в конце концов, являются обычными преступлениями, то есть деяниями, описанными в уголовных кодексах различных стран. Правоохранители должны расследовать такие преступления, но сам процесс расследования требует привлечения особых экспертов – то есть нас.

В общем, наш выход на рынок расследования компьютерных инцидентов – закономерный шаг в развитии компании. Мы боремся со всеми типами киберугроз всеми доступными легальными методами. И одновременно это наш бизнес.

CNews: Как происходит расследование инцидента? Что получает заказчик?

Руслан Стоянов: В результате нашей работы заказчик, прежде всего, получает понимание природы атаки на его компанию. Существует несколько этапов расследования компьютерного инцидента. Первый этап продолжается до 15 рабочих дней. Мы делаем оперативный анализ, вскрываем полную картину того, что произошло, показываем ее заказчику, рассказываем ему, какие у него могут быть перспективы и какие ожидают риски.

Если говорить о формате, то заказчику предоставляется отчет, содержащий результаты анализа технических аспектов инцидента, анализа вредоносного ПО, документы о фиксации цифровых свидетельств и т.д. Далее заказчик принимает решение, насколько он заинтересован в дальнейшем расследовании. Если да, на следующем этапе мы начинаем исследовать всю имеющуюся по инциденту информацию: техническую инфраструктуру вредоносного ПО, финансовые аспекты произошедшего инцидента, информацию по собственной базе данных инцидентов.

По результатам любого этапа заказчик может предоставить результаты работ в правоохранительные органы. После возбуждения уголовного дела мы в дальнейшем сопровождаем расследование уголовного дела, оказываем информационные и технические консультации. Полное расследование компьютерного инцидента занимает 2–6 месяцев.

CNews: Вы проводите анализ зараженного компьютера в ходе процесса. Часто ли вы там находите антивирусы?

Руслан Стоянов: Да, антивирус стоит практически всегда. Единственное, в большинстве случаев это либо необновленный, либо нелегальный антивирус, т.е. толку от его работы ноль.

CNews: В течение какого времени с момента инцидента компания может рассчитывать на расследование? Другими словами, бывают ли ситуации, в которых уже поздно что-либо расследовать?

Руслан Стоянов: По нашему опыту, с момента инцидента не должно пройти больше месяца. Это тот критический срок, в течение которого еще можно отследить и задокументировать действия, совершенные преступниками и найти какие-либо «ниточки», которые могли бы вывести сотрудников правоохранительных органов на непосредственных исполнителей. Безусловно, здесь есть свои нюансы, но в любом случае, если инцидент произошел 2 года назад и нужно разыскать что-то «электронное» – мы за это не всегда беремся. Это слишком трудоемко и в подобных делах нельзя быть уверенным в результате, срок хранения компьютерной информации слишком мал.

CNews: Что делать службе безопасности компании, чтобы не обращаться к вам?

Руслан Стоянов: Исследовать актуальные угрозы, готовить свою инфраструктуру к этим угрозам, формировать регламенты по реагированию на возникновение компьютерного инцидента, проводить аудиты информационной безопасности, использовать качественные защитные решения и, конечно, учиться, получать специальные знания и навыки.

Короткая ссылка