Виртуальный грабеж: Рескатор из Одессы и другие «русские хакеры»
Объем международного рынка киберпреступности уже превысил $110 млрд. «Русские хакеры» заработали в прошлом году 2% мирового «общака». Виртуальный характер совершаемых преступлений делает киберкриминал неосязаемым и не только не формирует к себе негативного отношения в обществе, но даже, наоборот, некоторым образом романтизирует. Но эксперты и правоохранители в один голос убеждают: хакеры – обычные воры и грабители, ими движет лишь жажда наживы.
МВД России на днях сообщило о задержании группы хакеров, похищавших деньги с банковских карточек с помощью вирусной программы. Это не первый и, увы, не последний случай подобного мошенничества. Сетевой криминал развивается стремительно – хитроумные программы, отсутствие границ, коррупция, растущие позиции криптовалют позволяют грабить банки в любой точке мира, не выходя из дома. Только в России на банки ежедневно совершается в среднем пять киберналетов. Грабители, мафиози, наркобароны, пираты, карманники, скупщики, черный рынок – ко всем привычным криминальным терминам можно смело ставить приставку «кибер».
Киберкриминалистика
«Общество, государство и компании оказались не готовы к такому быстрому изменению технологий и преступной среды», – говорит основатель и гендиректор Group-IB Илья Сачков. Эксперты этой российской компании специализируются на раскрытии и профилактике киберпреступлений, они уже завоевали авторитет в Европе и США в качестве специалистов по разоблачению «русских хакеров».
Одно из крупнейших в мире исследований киберпреступности Norton Report компании Symantec оценивало общий мировой ущерб от киберпреступлений в 2013 году в $113 млрд. Россия, по этим данным, потеряла $1 млрд. Средний ущерб потерпевших в мире составил $298, у россиян – $87. По оценкам Group-IB, в России и СНГ русскоговорящие хакеры заработали $2,5 млрд, что составляет лишь 2% от глобального рынка, оцененного компанией Symantec.
Атак хакеров опасается подавляющее большинство компаний, показало исследование IBM, проведенное по итогам прошлого года в США. «Более 80% руководителей отделов информационной безопасности считают, что количество внешних угроз продолжает расти, в то время как 60% специалистов сходятся во мнении, что в условиях кибервойны их предприятия находятся в заведомо проигрышном положении», – говорится в исследовании. В 2013 году, по подсчетам IBM, у американских компаний было украдено свыше 500 млн данных, и каждое успешное проникновение обходится компаниям в среднем в $3,5 млн.
«Все большее количество традиционных видов преступлений перемещается в интернет, – отмечают в управлении «К» МВД РФ. – Этому способствуют массовость охватываемой аудитории, низкие финансовые затраты и широкие возможности анонимности». «С помощью высоких технологий совершаются мошенничества, преступления, связанные с коррупцией, продажа наркотиков, контрафактной продукции и поддельных медикаментов, экономические преступления и цифровое пиратство, – перечисляет Сачков. –
Также при помощи современных технологий ведут общение и координируют действия террористы и экстремисты». В 2013–2014 годах в России, по данным управления «К» МВД, среди компьютерных преступлений лидировало мошенничество, его доля составила 37% от общего числа преступлений. На втором месте – неправомерный доступ к компьютерной информации (19%), на третьем – распространение детской порнографии (16%), четвертое поделили распространение вредоносных программ и компьютерное пиратство (по 8%).
Жертвы сетевого криминала
Согласно отчету Group-IB, весной прошлого года хакерским нападениям подвергались: Сбербанк, Газпромбанк, Альфа-банк, «ВТБ 24», веб-сайты российских органов власти – Роскомнадзора, Центробанка, администрации президента, а также сайты СМИ – Lifenews, Первого канала, RussiaToday, «Комсомольской правды».
Всего эксперты выделяют семь основных методов хищений в системах интернет-банкинга. Это различные комбинации троянских программ, так называемых фишинговых сайтов (созданные мошенниками сайты, внешне копирующие ресурсы известных брендов либо завлекающие жертвы броскими рекламными объявлениями) и компрометация банковской сети (хищение любыми способами реквизитов владельцев банковских карт). Последний метод позволяет совершать хищения как со счетов самого банка, так и со счетов его клиентов.
«Злоумышленники не все собранные данные используют для совершения собственно мошеннических операций, – говорится в докладе Group-IB за 2014 год. – Часть вредоносных программ автоматически собирает сведения обо всех имеющихся счетах на компьютере и балансах на этих счетах. В частности, злоумышленники собирают информацию о счетах для клиентов системы Ibank2 и Сбербанка». Потенциальный объем ущерба от всех этих действий (учитывая, что лишь малая часть жертв киберпреступлений понимает, что их обокрали, и обращается в правоохранительные органы), по подсчетам экспертов Group-IB, составил 12 млрд 155 млн 785 тыс. 399 рублей.
Экспертами Group-IB впервые была проведена оценка черного рынка банковских карт. За последние 10 лет, согласно приведенным данным, он окончательно структурировался, что выразилось в «организации массовых автоматизированных каналов сбыта в виде электронных торговых площадок». Массовые хищения карточных данных в торговых сетях и онлайн-ритейле совершают профессиональные оптовые продавцы, оптом же и поставляют эти данные на виртуальный черный рынок.
На таком рынке можно купить либо текстовые данные о карточках (номер, срок действия, имя держателя, адрес, CVV), либо так называемые дампы – содержимое магнитных полос карт. Дампы стоят в 10 раз дороже, но зато с их помощью можно изготовить дубликат карты и пользоваться ею оффлайн, «приобретая дорогую электронику, люксовые товары, медикаменты и прочие товары, подлежащие впоследствии сбыту на вторичном рынке».
Один из крупнейших виртуальных черных рынков называется SWIPED. Как установила Group-IB, там продаются карточки из 148 стран мира. С большим отрывом лидировали США – похищенных оттуда карт насчитывалось 5 млн. На втором месте Малайзия с 225 тыс. похищенных карт, на третьем – Великобритания (101 тыс. карт). К счастью, Россия в топ‑10 стран с наибольшим количеством хищений не вошла.
Российский госсектор также подвергался нападениям хакеров. Так, в прошлом году отправленное электронной почтой письмо с вредоносным файлом привело к заражению компьютеров администрации Республики Башкортостан. Письмо замаскировали под ведомственную рассылку, и потому оно не вызвало подозрений. «Вредоносное программное обеспечение было обнаружено на пяти компьютерах, – говорится в отчете Group-IB. – Конечной целью злоумышленников являлась финансовая информация в системе «БашФин».
С прошлой весны был зафиксирован рост количества сетевых атак на банки. По итогам года достоверно было известно о нападениях на 35 банков и «несколько юридических лиц». Такие грабежи, отмечают эксперты, чаще всего совершаются при условии сговора кого-то из сотрудников банка с киберпреступниками – схемы отработаны четко и занимают минимальное количество времени.
Постоянным источником угроз для банков остается электронная почта. Мошенники отправляют письма с реквизитами «клиентов» для совершения каких-либо стандартных банковских операций, а во вложении находится файл с вирусом. Вредоносные программы маскируют и под письмо из Банка России с указанием всем сотрудникам кредитных и финансовых организаций провести проверку на предмет исполнения федерального закона «О противодействии легализации доходов, полученных преступным путем, и финансированию терроризма».
Эволюционировали также мобильные троянские угрозы. Если раньше использование онлайн-банкинга могло стать причиной хищения только в том случае, если заражен сам клиент банка, то теперь преступникам достаточно запустить троян на телефон или планшет. «Согласно исследованиям мобильных бот-сетей, 40% пользователей мобильных устройств имеют счет в банке, привязанный к зараженному мобильному телефону, – сообщают эксперты Group-IB. – Наличие бот-сети в 100 тысячах мобильных устройств позволит хакеру похитить 16 миллионов долларов в короткие сроки».
Рескатор из Одессы и другие «русские хакеры»
Виртуальный характер совершаемых преступлений делает киберкриминал неосязаемым и не только не формирует к себе негативного отношения в обществе, но даже, наоборот, некоторым образом романтизирует. Но эксперты и правоохранители в один голос убеждают: хакеры – обычные воры и грабители, ими движет лишь жажда наживы. И не за горами то время, когда рынок высокотехнологичной преступности по своему обороту сравняется с наркоторговлей, говорит Илья Сачков.
«Информационные технологии позволяют преступности действовать быстро и анонимно, – объясняет он. – У нее отсутствуют правила и бюрократия. Преступность получила возможность не смотреть на границы государств и беспрепятственно нарушать закон. Использование криптовалют и теневого интернета способствует развитию высокотехнологичной преступности».
«Русские хакеры» снискали себе «авторитет» и «славу» во всем мире. Правда, само это понятие сильно размыто. Для российских правоохранителей «русские хакеры» – это граждане РФ, совершившие преступления на территории РФ. Так предписывает им российский УК. Однако во всем остальном мире под «русскими хакерами» подразумевают людей, объединенных некогда страной происхождения – СССР. «В западных странах термином «русские хакеры» обозначают компьютерных злоумышленников, например, из Прибалтики, Украины или стран Средней Азии», – говорит Сачков.
Согласно исследованиям Group-IB, в 2013 году киберхищениями в системах дистанционного банковского обслуживания активно занимались восемь преступных группировок. Впоследствии две из них переключились на иностранные банки, одна после задержания главаря развалилась, и «в обойме» на данный момент остается пять банд. Именно столько киберграбежей в среднем совершается в банках ежедневно.
Средняя сумма успешных хищений уменьшилась с $54,7 тыс. до $40 тыс. Но при этом, подчеркивают эксперты, с 2013 года стали появляться все новые хакеры, «использующие в своей работе мобильные банковские троянские программы». Виртуальные их ипостаси известны. К примеру, группировки Cork, Lurk, Shiz, Infinity через атаки на операционную систему Windows с помощью троянских программ грабят юридических лиц, а физическими в Android занимаются Reich, Greff, March, Ada.
Первым в десятке лучших поставщиков украденных карточек на SWIPED, как установили эксперты, оказался тоже «русский хакер». Свыше 5 млн данных в период с декабря 2013‑го по февраль 2014‑го загрузил на черный рынок Rescator. Все карты объединены общей закономерностью – операциями в американской розничной сети Target. Расследование привело к раскрытию еще нескольких его виртуальных ипостасей – Rescator, он же Helcern, он же ikaikki. Он же, как говорится в докладе Group-IB, предположительно проживающий в настоящее время в Одессе Андрей Ходыревский.
Кибершерлоки и киберкопы
Частно–государственное партнерство – одно из ключевых условий раскрываемости киберпреступлений, уверены в управлении «К» МВД РФ. И оно уже принесло свои плоды.
12 апреля полиция сообщила о задержании группировки, участники которой, как подозревается, заразили вирусом 340 тыс. мобильных устройств, работающих на платформе Android. Вирусу дали звучное имя – «5‑й рейх». Расследование управление «К» проводило совместно с Group-IB и службой безопасности Сбербанка. Сумму предотвращенного ущерба в полиции оценили в 50 миллионов рублей.
В декабре 2,5 года условно получил 19‑летний житель Тольятти (его имя не было разглашено). PumpWaterReboot (как называл себя сам преступник) был признан виновным в хакерской атаке на банк «Тинькофф» и вымогательстве $1 тысячи за прекращение этой атаки. Расследование проводили сотрудники федерального и столичного управления «К» совместно со службой безопасности банка и Group-IB. «Преступной деятельностью он занимался с 2011 года, – говорится в отчете Group-IB, – был зарегистрирован на множестве хакерских форумов, в том числе посвященных кардингу, где использовал псевдонимы Gymlex, DTos, Dr.vantus, Merfy12 и kolip».
В марте–апреле прошлого года PumpWaterReboot совершил хакерские атаки на ряд других компаний, в том числе Альфа-банк, Промсвязьбанк, «Лаборатория Касперского», «Рутрекер», социальное СМИ об IT «Хабрахабр», онлайн-мегамаркет «Озон.ру».
В октябре прошлого года сотрудники управления «К» обезвредили группировку, которая с помощью вредоносных программ получала личную информацию граждан, а затем вымогала деньги, угрожая ее распространением. Преступники действовали на территории Москвы и Самарской области, суммы их требований достигали десятка миллионов рублей.
Автор: Екатерина Буторина, ПРОФИЛЬ