В 2022 году хакеры стали еще опаснее и хитрее
Чем это грозит простым россиянам?
Фото: Shutterstock
Специалисты по кибербезопасности заговорили о беспрецедентном росте числа хакерских атак на Россию почти сразу после начала спецоперации на Украине. На протяжении всего года хакеры, объявившие России кибервойну, придумывали новые способы обмана обычных жителей страны и предпринимали попытки атаковать российскую IT-инфраструктуру. И если вторые довольно быстро встретили отпор от хакеров-энтузиастов, которые принялись совершать ответные нападения, от первых их потенциальных жертв защищали лишь собственные бдительность и осторожность. «Лента.ру» выяснила, стал ли интернет в 2022 году опаснее для простых россиян.
Изощренные атаки
Практически каждый год эксперты констатируют, что киберпреступность стала еще умнее и технически оснащенней. 2022 год исключением не стал: аналитики считают, что атаки на россиян оказались еще более изощренными, чем прежде, а схемы социальной инженерии, которые используют мошенники, заметно усложнились. Одновременно с этим арсенал киберпреступников продолжил разрастаться. Именно с этим, а также со специальной военной операцией России на Украине специалисты и связывают то, что атаки хакеров стали все более массовыми, технически сложными и опасными. Преследование хакерами простых россиян стало одним из элементов давления на них. Несмотря на то что киберпреступность, как правило, не имеет границ, а этнический состав группировок крайне разнообразен, многие отмечают, что в 2022 году пользователей из России стали значительно чаще атаковать киберпреступники с Украины. Правда, чаще всего речь идет о банальном кибермошенничестве.
Фото: Shutterstock Главной видимой угрозой для россиян стали не элитные киберподразделения иностранных разведок, а простые мошенники
«Если говорить о физлицах, то это очевидный факт — основная киберугроза для россиян действительно идет с Украины. Мы видим интересную корреляцию: количество мошеннических звонков резко сокращается либо падает до нуля в то время, когда в Киеве пропадает электричество», — констатировал в беседе с «Лентой.ру» эксперт по информационной безопасности компании «Код Безопасности» Павел Коростелев. Он добавил, что количество мотивированных преступников, которые хотят нанести ущерб именно гражданам России, в 2022 году «увеличилось кратно». «Текущий геополитический кризис ожидаемо привел к росту активности как прогосударственных групп и хактивистов, так и традиционного криминала. Мы фиксировали рост фишинга и скама в России — мошенники используют и сведения из утечек баз данных, и информацию от инсайдеров, и новые технические решения IP-телефонии или Telegram-ботов», — рассказал «Ленте.ру» гендиректор компании Group-IB в России и СНГ Валерий Баулин.
На фоне проведения специальной военной операции наша страна столкнулась с беспрецедентной внешней агрессией в информационном пространстве. В 2022 году количество кибератак на Россию увеличилось на 80 процентов
В целом же за девять месяцев 2022 года эксперты центра СERT-GIB, входящего в структуру Group-IB, обнаружили в российском сегменте интернета около 18 тысяч фишинговых сайтов, что на 15 процентов больше, чем годом ранее. Чаще всего такие ресурсы имитируют сайты банков, онлайн-сервисы и платежные системы.
Россиян приглашают на несуществующие свидания и бронируют для них фейковые отели
Против россиян в 2022 году применяли как стандартные схемы атак, в том числе приуроченные к конкретным датам или событиям, так и несколько принципиально новых. «Многие мошенники переключились на кражу данных с компьютеров жертв с помощью программ-стилеров. Логины, пароли, данные карт жертв попадают на теневые рынки и могут использоваться для атаки как на самих пользователей, так и на организации, в которых они работают», — отметил Баулин. За последние два года аналитики Group-IB обнаружили в Telegram 34 действующие русскоязычные группы, участники которых либо принимают участие в распространении стилеров, либо пристально изучают этот вопрос. Такой высокий интерес к специфической, казалось бы, теме объясняется низким порогом входа в этот бизнес. Для использования стилера не нужно быть ни хакером, ни даже программистом. Можно вообще не обладать никакими техническими познаниями: весь процесс работы вредоносного ПО автоматизирован, управлять им можно с помощью Telegram-бота, а сами такие программы сдаются в аренду за 10-15 тысяч рублей.
Фото: Shutterstock Для использования программ-стилеров не нужно быть программистом
Ссылки на стилеры хакеры «зашивают» в обзоры популярных видеоигр на YouTube, в ПО для майнинга криптовалюты, в NFT-файлы, в различные розыгрыши и лотереи в соцсетях. При этом данные банковских карт россиян потеряли ценность на международных рынках, воспользоваться ими может лишь ограниченный круг преступников. Причина — в санкционном давлении на Россию, одним из элементов которого стала попытка финансовой изоляции страны. «Логично, что уход из России платежных систем MasterCard и Visa отчасти обесценил банковские карты россиян — теперь нет смысла красть данные, потому что воспользоваться ими нельзя нигде, кроме как в России и еще паре государств. И хотя на количестве атак финансовая изоляция не сильно сказалась, но если бы MasterCard и Visa остались, было бы намного хуже», — уверен Коростелев. Однако это не мешает распространению двух наиболее популярных схем обмана. Первая получила название «Мамонт». О ее существовании специалисты знают не первый год, и именно ее популярность, по мнению аналитиков Group-IB, стала основной причиной роста числа фишинговых сайтов в Рунете. Посетителям подобных мошеннических ресурсов предлагают самые разные услуги: курьерскую доставку, аренду недвижимости, бронирование отелей, банковские переводы, а также шопинг и даже поиск попутчиков для поездок. После того как пользователи оплачивают товар или услугу на таких сайтах, не происходит ничего, кроме разве что пополнения банковского счета злоумышленника.
Фото: Shutterstock Мошенники продолжают создавать сотни ресурсов, чтобы обманывать россиян
Вторая схема — Fake Date — поначалу была частным случаем первой, но после крайне удачного для хакеров старта в России она распространилась по всему миру как самостоятельное направление. Мошенники, которые используют этот способ, создают женский профиль на сайте или в приложении для знакомств и вступают в переписки с мужчинами. После непродолжительного общения притворяющиеся девушкой злоумышленники предлагают устроить свидание. «Девушка» рассказывает будущей жертве, что у нее уже есть билеты на концерт, спектакль или в кино, и предлагает мужчине купить соседнее с ней место, а заодно высылает ссылку на сайт, на котором это можно сделать. Ресурс оказывается фишинговым, а после оплаты переписка внезапно прекращается.
Фишинг остается наиболее массовой угрозой для пользователей в интернете, и его масштабы неуклонно растут. Именно фишинговые сайты составляют 98-99 процентов заблокированных ресурсов киберпреступников. Оставшиеся — сайты с вредоносным ПО
Эксперты пока не торопятся прогнозировать, как будет складываться ситуация с атаками на россиян в будущем году. В беседе с «Лентой.ру» аналитик одной из компаний на условиях анонимности подчеркнул, что глобальная геополитическая повестка и дальше будет оказывать заметное влияние на тактику как простых, так и политически ангажированных хакеров, а также на конкретные направления атак внутри страны и за ее пределами. Россиянам в этой ситуации рекомендуют повышать свою киберграмотность, а компаниям — максимально дистанцироваться от западных программных продуктов, которые внутри страны принято считать уязвимыми.
Хакеры превратились в хактивистов
Однако за прошедший год выросло количество не только идущих в Россию атак, но и тех, которые шли из России. До начала спецоперации главным событием в киберпреступном мире страны был разгром группировки REvil, которая ответственна за многие крупные атаки на инфраструктуру западных стран. В итоги крупной спецоперации в даркнете поверили не все (многие посчитали, что ФСБ задержала тех, кто обналичивал деньги группировки, но не самих членов), а спустя короткое время на пепелище REvil сформировалось новое объединение BlackCat, которое провело несколько запоминающихся атак на крупные международные компании в течение года. Впрочем, к тому времени весь мир заговорил о другой группировке, которая к концу года крепко ассоциируется на Западе с определением «русские хакеры», — Killnet. Ей удалось оперативно самоорганизоваться и перестроить работу своего ботнета в интересах России. Объединение фактически стало хактивистским, возглавив российский фронт кибервойны со странами Запада. «Мы круглосуточно мониторим ситуацию вокруг России… Если есть явная угроза или оскорбление и при этом мы понимаем, что нам есть чем ответить, то наши ребята приступают к сетевому сканированию потенциального врага. За этим может последовать не только DDoS-атака, но и другие механизмы, позволяющие повредить сетевую инфраструктуру жертвы», — говорил лидер объединения, известный под ником Killmilk, в своем первом большом интервью медиа, которое он дал «Ленте.ру».
Фото: Shutterstock «Русским хакерам», которых в странах Запада традиционно представляют в виде некой единой масштабной угрозы, удалось в очередной раз попасть на главные страницы иностранных медиа
Кибервойна, в которую вступили Killnet, была объявлена России практически сразу после начала спецоперации. Первыми это сделали хактивисты из группировки Anonymous, однако их противостояние с Кремлем получилось не таким эффектным, как они планировали, а порой киберпреступники откровенно подтасовывали факты. Например, после «взлома» российского Минобороны Anonymous выложили в открытый доступ «секретные документы», которые на поверку оказались установочными файлами популярного видеоплеера и небольшой компиляцией давным-давно засветившихся в старых утечках паролей от почт, приписанных к домену министерства. В другой раз Anonymous похвастались взломом российского Центробанка, но приведенные в качестве доказательства файлы были не чем иным как аудиторской отчетностью первой половины прошлого десятилетия, которая тогда же и была опубликована самим Центробанком. К концу года про Anonymous перестали вспоминать: в частных беседах представители хакерского сообщества России сообщили «Ленте.ру» о практически полном разгроме организации силами Killnet и их союзников, а действовавшее внутри страны крыло Anonymous фактически перешло на сторону Killnet.
Пророссийские хакеры не стесняются бить по США
По мере развития специальной военной операции расширялся и арсенал Killnet. Группировка начинала со взломов сайтов госорганов Украины, после чего всерьез увлеклась ее союзниками. В апреле были на сутки парализованы DDoS-атакой восемь аэропортов в Польше, май начался с падения сайтов Бундестага и Социал-демократической партии Германии, а в июне досталось блокировавшейКалининградЛитве, 70 процентов сетевой инфраструктуры которой не выдержали очередную DDoS-атаку Killnet. При схожих обстоятельствах Killnet парализовал платежные онлайн-системы Эстонии (мстили за принятое властями страны решение о демонтаже танка-памятника Т-34). К концу 2022 года «русские хакеры» перешли на удары по американским госорганам. И хотя иногда группировка совершала и откровенно мелкие шалости, например, кражу аккаунтов сотрудников Федерального управления безопасности автомобильных перевозчиков США, временами Killnet играл действительно по-крупному.
В состав Killnet входят более 120 человек, все они граждане России, относительно молодые. У нас есть не только аккаунты этих лиц, но, в некоторых случаях, и полные либо частичные персональные данные. Свои атаки они проводят из Москвы, Санкт-Петербурга, Магнитогорска, Владивостока и других российских городов
В ноябре 2022 года хактивистам удалось сначала обрушить сервисы принадлежащей Илону Маску компании Starlink, а потом на полчаса парализовать работу сайта Белого дома. Другим серьезным достижением группировки стало глубокое проникновение в инфраструктуру Федерального бюро расследований. Killmilk в беседе с «Лентой.ру» рассказал тогда, что хакерам удалось перехватить трафик более 10 тысяч сотрудников ФБР. Кроме того, в распоряжении Killnet оказались все пароли сотрудников от самых разных учетных записей: от интернет-магазинов и аккаунтов, связанных с компаниями Apple и Google, до порноресурсов, которыми в рабочее время интересовались сотрудники американских спецслужб.
Фото: Shutterstock Атаки Killnet во второй половине года приобрели действительно глобальный масштаб
Другим важным объектом атаки стала американская военная корпорация Lockheed Martin, производящая реактивные системы залпового огня HIMARS. Оттуда Killnet удалось получить критически важные сведения о сотрудничестве компании с НАСА. Эволюция Killnet, которых в феврале 2022 года никто не воспринимал всерьез даже в российском даркнете, теперь многими оценивается как стремительная. Сами же хактивисты не планируют сбавлять обороты: «Да, 100 процентов! Мы уничтожим это дерьмо!» — так в сентябре ответил Killmilk на вопрос о том, планируют ли хакеры в ближайшее время совершать атаки на инфраструктуру НАТО. Впрочем, эти успехи пророссийских хакеров не должны вводить в заблуждение относительно позиционирования сил на глобальном киберфронте. По России тоже бьют, правда, оценить, насколько успешны попытки западных хакеров, возможно не всегда. Отчасти это может быть связано с тем, что внутри страны просто не существует культуры предоставления отчетов об удачных действиях киберврага. А отчасти — с тем, что антироссийски настроенные хакеры давно стали частью информационной войны, в которой не всегда говорят правду.
По сути, против России развязана настоящая агрессия, война в информационном пространстве. В целом мы были готовы к этой атаке, и это результат той системной работы, которая велась все последние годы
«Мы наблюдаем все три составляющие информационной войны. Первая — кибервойна: кибератаки, направленные на дестабилизацию информационных систем и лишение доступа к ним. Вторая — непосредственно информационная война, когда вы баните чей-то контент в медиа и соцсетях и, напротив, массированно продвигаете свой. Третья — идеологическая, или же война идей, когда вы продвигаете свои исторические концепции и политическую повестку», — говорил в интервью «Ленте.ру» профессор кафедры прикладного анализа международных проблем МГИМОАндрей Безруков. При этом сведения об отдельных атаках с политической подоплекой все же добираются до простых россиян. Например, в октябре более суток держал оборону Сбер, а еще раньше с этим столкнулся Rutube. Российский аналог YouTube перестал работать в мае 2022 года: как заявляли взявшие на себя ответственность за атаку хакеры из Anonymous — навсегда; на самом же деле — всего на несколько дней. Позднее достижение именитого объединения, которое на несколько дней парализовало работу российского видеохостинга, министр цифровой трансформации Украины Михаил Федоров попытался приписать украинским хакерам. Правда, на профильных ресурсах скорее посмеялись над его словами, чем поверили в них.
3 дня был недоступен Rutube, хотя хакеры Anonymous уверяли, что ресурс исчез навсегда
Как и в случае с фишинговым мошенничеством, пока аналитики не спешат прогнозировать, как будет развиваться ситуация с политически мотивированной киберпреступностью в 2023 году. Понятно лишь, что действия и российских хактивистов, и их противников будут напрямую зависеть от того, как будет развиваться спецоперация на Украине.
Источник: