Российский рынок высокотехнологичных преступлений является российским весьма условно. Не поймав за руку хакера, уточнить его гражданство чаще всего невозможно, и в большинстве случаев исследователи вынуждены делать выводы о принадлежности преступника по косвенным признакам: выбору целей, используемому языку в коде вредоносной программы, географии расположения задействованных серверов. Из-за этого в российский рынок приходится записывать и рынки киберпреступлений стран СНГ и Прибалтики, туда же попадет все, что натворят выходцы из бывшего СССР, проживающие во всех странах мира.
По данным Group-IB, наибольшую долю российского рынка занимает спам – на этом виде незаконной рекламы злоумышленники заработали 841 млн долларов. Следом за ним следуют кардинг (680 млн долларов) и интернет-фрод, потери от которого оценены в 426 млн долларов. Объем внутреннего черного рынка (продажа вредоносного программного обеспечения и разного рода хакерские услуги) составил 288 млн долларов, отдельно учитываются DDoS-атаки (113 млн долларов).
Интернет-банкинг становится безопаснее
Статистика показывает, что интернет-банкинг в России становится в целом безопаснее. Точнее, киберпреступники стали зарабатывать на нем меньше. С 490 млн долларов в 2011 году объем хищений упал до 289 млн за последний год, что не слишком коррелирует с динамикой в других киберкриминальных отраслях. Group-IB стала оценивать рынок кардинга лишь в этом году, цифр за предыдущие периоды нет, но и тут, скорее всего, имеется определенный рост оборотов, за счет нашумевших взломов американских торговых сетей, в которых замешаны наши условные соотечественники.
В 2013 году на системах ДБО для юридических лиц активно кормились восемь кибербанд. Одна из них сошла со сцены после ареста лидера группы, часть остальных переключились на иностранные банки или работают по-прежнему. Девять групп занимаются счетами физических лиц, с ними никаких заметных изменений не произошло. Однако новых групп за этот год не появилось, да и средняя сумма хищения упала: с 56 тыс. до 40 тыс. долларов у юридических лиц, с 2,5 тыс. до 2,3 тыс. долларов у физических лиц. Специалисты Group-IB отмечают рост количества целевых атак на финансовые организации, но далеко не все они приводят к кражам денег – в ряде случаев целью злоумышленников является лишь информация о счетах и клиентах банков.
Эксперты выделили семь основных способов хищения денег в системах интернет-банкинга, три из них основаны на заражении троянской программой компьютера клиента, три – смартфона, один – и компьютера, и смартфона. Седьмой способ самый интересный – компрометация сети самого банка. Такого рода инциденты в нашей стране почти никогда не получают огласки, тем не менее, судя по отчету компании, специализирующейся в том числе и расследованиях таких преступлений, случается это регулярно.
Второе дыхание кардинга
Старейшая отрасль киберкриминала – кардинг – в этом году переживает заметное оживление. За годы работы кардеры выстроили четкие схемы работы. Вся торговля крадеными дампами (записями содержимого магнитной ленты карты) и данными с поверхности карты (номер, срок действия, имя держателя, CVV) ведется через автоматизированные электронные площадки. Поставщики, собирающие данные карт посредством скиммеров или путем взлома и заражения POS-оборудования торговых сетей, размещают миллионы записей, часть которых приобретают преступники, обналичивающие разными способами деньги со счетов держателей скомпрометированных карт.
Group-IB в своем исследовании рассмотрела работу лишь одного такого кардерского магазина – Swiped, работающего с 2008 года и считающегося одной из крупнейших торговых площадок. По состоянию на май 2014 года на Swiped продавались данные 6,78 млн карт из 148 стран мира. При этом за последний год в магазин были выгружены данные 5,5 млн карт. Исследователи считают, что большую часть этой волны составляют карты, скомпрометированные при взломе крупных американских ретейлеров Target и The Home Depot. По всей видимости, переварить такой объем кардерский рынок не в силах – так, на Swiped за весь год было продано лишь около 250 тыс. карт.
В своем исследовании Group-IB приводит следующие оценки: средняя стоимость карты в кардерском магазине составляет 20 долларов, покупателям удается украсть деньги лишь с одной из трех карт, средняя сумма хищения – 2 тыс. долларов.
Оптимизация под жертву
В этом году развитие получили так называемые целевые атаки, то есть атаки, разработанные и примененные против конкретной организации или отрасли. Злоумышленники проводят разведку против намеченной жертвы, выясняя уязвимые места в ее системе безопасности, закупают вредоносные программы, готовят инфраструктуру. Наиболее популярной целью таких атак является финансовый сектор – Group-IB, например, насчитала более 35 успешных целевых атак против российских банков. Сами банки не названы – вероятно, компания не хочет ссориться с настоящими и будущими клиентами.
Единственный случай, получивший огласку, касается компании QIWI. В январе 2014 года были выявлены подозрительные действия на 687 электронных кошельках. Как выяснилось, через эти кошельки злоумышленники похитили 88 млн рублей и обналичили их посредством терминалов. Об этом QIWI, являясь публичной компанией, была вынуждена упомянуть в своем готов отчете для иностранных инвесторов. Там же было указано, что, по мнению компании, конфиденциальные данные клиентов QIWI скомпрометированы не были.
Техника проанализированных Group-IB атак на банки основана на применении методов социальной инженерии и на соучастии сотрудников банка, передающих хакерам сведения о структуре сети кредитной организации и применяемом ПО. Основным вектором заражения является электронная почта: злоумышленник пишет письмо в адрес одного из сотрудников финансового учреждения, выдавая себя за потенциального клиента, причем в ряде случаев преступник сначала звонит в банк, а затем присылает письмо, которое не взывает подозрений у работника банка. В письмо вложен зашифрованный архив, в котором якобы содержится файл с реквизитами.
На деле файл в архиве заражен троянской программой, которая, в силу использования лишь в целевых атаках, чаще всего неизвестна антивирусным компаниям. Из-за чего антивирусные программы ее не обнаруживают. Функции зловреда обычно заключаются в предоставлении злоумышленникам удаленного доступа к компьютерам банка, перехвату нажатий клавиш и создания снимков экрана. Анализ одного из троянцев, получившего обозначение Anunak, показал, что он способен на прямое взаимодействие с системой ДБО iFOBS, предположительно речь идет об автоматическом проведении платежных поручений.
Помимо Windows-троянцев, берущих под контроль рабочие станции сотрудников банка, злоумышленники применяют и вредоносные программы для Unix и Linux. Специалисты Group-IB выявили бэкдор, заражающий банковские Unix-сервера. Подключение к серверам в обход сетевых экранов позволяет хакерам вмешиваться в работу важнейших банковских систем.
С троянцем в кармане
Классическая схема ограбления счета через интернет-банк заключается в заражении компьютера клиента и перехвата одноразовых паролей, приходящих ему на телефон. Теперь, с распространением мобильного банкинга, у злоумышленников в чести новый способ, при котором достаточно заразить смартфон. Мобильный троянец может воровать информацию о банковской карте или учетные данные для интернет-банка, красть деньги с помощью команд СМС-банкинга или имитировать интерфейс приложения мобильного банкинга.
Согласно исследованиям Group-IB, большинство мобильных троянцев создают и распространяют наши соотечественники, а их основными целями являются российские и украинские банки. При этом отмечено постепенное переключение на банки европейские, что, по всей видимости, и вызывает падение объемов хищений в России.
Одним из факторов, сдерживающих рост хищений через мобильный банкинг, является необходимость ручного управления этими троянцами – злоумышленнику приходится изучать все СМС жертвы, заполнять реквизиты мошеннических операций, перехватывать и вводить одноразовые пароли. Учитывая средний размер хищения в 400 долларов, хакерам приходится изрядно потрудиться, чтобы заработать приличную сумму.
Как полагают эксперты, мошенники активно ищут способы автоматизации своей работы, причем одна из преступных групп уже сумела внедрить автоматическое определение банка и баланса счета клиента, а также создала фильтры для выбора оптимальной схемы работы с тем или иным банком. Когда будут созданы и получат распространение полностью автоматические троянцы-банкеры, заработок каждой группы может исчисляться десятками миллионов долларов.
Банкомат с изъяном
За последний год возросло число компрометации банкоматов, что ранее было редкостью. Если ранее банкоматные троянцы занимались сбором дампов пластиковых карт, то зловреды нового поколения уже научились манипулировать выдаваемыми суммами и напрямую управлять диспенсером, что позволяет полностью опустошать банкомат в выбранный злоумышленником момент (когда его загрузка деньгами максимальна). В этом году Group-IB зафиксировали три преступные группы, заражающие банкоматы вредоносными программами.
Группа PinSkimmer использует программу, считывающую данные карт, вставляемых в банкомат и записывающую ПИН-коды. Зараженные банкоматы периодически навещает злоумышленник, который вставляет в ридер специальную карту. На эту карту троянец сбрасывает накопленные дампы и перехваченные ПИН-коды. Было обнаружено 12 банкоматов производства NCR, зараженных данным троянцем, сумма ущерба не разглашается.
Группа Zomb заражает банкоматы Wincor Nixdorf без физического к ним доступа, посредством скомпрометированной локальной сети. Злоумышленники загружают в систему вредоносные скрипты, изменяющие номиналы выдаваемых банкнот. Кроме того, группа применяет отладочную программу, которая выдает деньги при открытой двери сейфа банкомата. Хакеры модифицировали программу так, чтобы она работала и при закрытом сейфе. Выявлено 52 скомпрометированных банкомата, сумма ущерба превышает 50 млн рублей.
Группа DispDivaster использует троянца, напрямую манипулирующего диспенсером банкнот по команде. После набора специального кода на клавиатуре банкомата вредоносная программа запрашивает номер кассеты и выдает из нее банкноты. Заражение производится с помощью загрузочного компакт-диска. Обнаружено 30 зараженных банкоматов производства NCR, сумма ущерба превышает 9 млн рублей.
Темное будущее
По мнению экспертов Group-IB, банки предпринимают недостаточные действия для отражения целевых атак, несмотря на осведомленность о таких угрозах. Фактическая безнаказанность мотивирует злоумышленников активизироваться в этом секторе киберпреступного рынка.
Атаки на банкоматы становятся все более изощренными и, по всей видимости, получат еще большее распространение в ближайшие годы. Есть риск, что люди, ранее специализировавшиеся на взломах и похищениях банкоматов, переключатся на более тонкие методы с использованием вредоносных программ.
Автоматизация мобильных троянцев грозит многократным увеличением потерь от троянцев-банкеров. Этот сегмент имеет большой потенциал роста и ожидает лишь появления соответствующих технических средств.
И наконец, эксперты Group-IB ожидают, что в следующем году до России докатится волна атак на POS-терминалы торговых сетей. В этом году в США и Европе были зафиксированы утечки данных более 100 млн банковских карт – технология обкатана и приносит большую прибыль. Ожидается, что в 2015 году злоумышленники начнут активно применять POS-троянцев и в России.
Михаил ДЬЯКОВ, Banki.ru