понедельник, 30 мая 2016 г.

Особенности национальной киберпреступности

Источник: http://www.pcweek.ru/security/article/detail.php?ID=184704

В 2010 году я начал профессионально заниматься киберпреступностью региона СНГ. Нет, не воровать и отмывать средства с кредитных карт, а систематически отслеживать основные схемы, тактики и инструменты поиска, эксплуатации и монетизации уязвимостей, с последующим выводом и отмыванием денежных средств. Мониторинг щедро оплачивался европейскими заказчиками из финансовой и ИТ сфер, и не один десяток исследователей анализировало киберпреступность по всему земному шару только в рамках управления Global Intelligence моего тогдашнего работодателя. Основными отслеживаемыми хабами киберпреступности были Россия\СНГ, Бразилия\Латинская Америка, Китай, США\Англосаксонские страны и Ближний Восток\Индия.

Двух посвященных Глубинам Интернета (Deep Web) аналитических отчетах («Below the Surface: Exploring the Deep Web» и «Cybercrime and the Deep Web») от ИБ-вендора TrendMicro хабами киберпреступности в Глубинах Интернетах (Deep Web) названы Россия, Китай, Бразилия, Северная Америка, Япония и Германия. Строго говоря Средний Восток всегда был хабом скорее кибертерроризма (не проходит и недели, что бы десяток-другой американских государственных или муниципальных веб-сайтов не был взломан одной из ближневосточных хакерских группировок и выложен на известном зеркале взломанных сайтов Zone-H), среди заметных группировок которого в 2009 Iranian Cyber Army (Иранская КиберАрмия),  Syrian Electronic Army, что в свое время украли доменное имя Twitter взломав регистратора доменных имен, взломали  Twitter аккаунт Обамы, атаковали американские банки и западные новостные агентства, чем заработали странички о себе в англоязычной Википедии. Поэтому я рекомендую организациям без клиентов и партнеров на Ближнем Востоке отдельно запретить на сетевом периметре все входящие соединения из ближневосточных сетей.
Преступность в Глубинах Интернета
Отчет TrendMicro основан на собранной информации из так называемых Глубин Интернета (Deep Web - недоступного поисковикам и обычно свободному доступу сегмента Интернет), в котором только за последние несколько месяцев нашли базы с десятками миллионов записей персональных записей избирателей США и граждан Турции. Если организации непонятно, зачем могут понадобиться ресурсы Глубин ее сотрудникам – их тоже стоит запретить, ведь в силу специфичности места там не работают полноценно встроенные в поисковики антивирусные сервисы Google Safe Browsing и Yandex Safe Browsing, да и в силу меньшего количества пользователей хуже работают сенсорные сети антивирусных производителей. А значит риск заразиться экзотической никем не детектируемой киберзаразой принципиально выше. Есть и другая угроза – заказ порно и наркотической продукции, заказ убийств людей через корпоративный ПК, потенциально ведущие к неприятному общению с правоохранительными органами – спецназом, следователями или судами. Кстати, ограничение корпоративной ответственности является понятной бизнес-целью для менеджмента организаций, и запрещение доступа в Глубины (для начала в I2P и Tor) будет поддержано как юридической службой, так и ИТ (снизится нагрузка на оборудование) и финансовой службой (снизятся непродуктивные затраты на Интернет-канал).
В отчете упоминаются различные типы пользователей Глубин:
  • ·      Покупатели и продавцы наркотиков, фальшивых документов, оружия, анонимных кредитных карт и других очевидно нелегальных товаров и сервисов
  • ·      Покупатели и продавцы запрещенных к продаже фармацевтических препаратов (в т.ч. generics), легких наркотиков и других не везде разрешенных товаров
  • ·      Легальных пользователей - любителей анонимности на форумах, радио и т.п.

Для исследований Глубин TrendMicro создала аналитическую систему, нашедшую около 22 тысяч серверов, 576 000 гиперссылок (из них 244 000 единиц HTML контента на 3 454 доменах доступных к индексации).
Среди доменов 62% были наполнены англоязычным контентом, и 7% русскоязычным. Однако, русскоязычные сайты оказались принципиально больше. Русскоязычный контент №1 в Глубинах Интернета с показателем в 41,40%. Англоязычный второй (40,74%). Это значит что более 100 тысяч единиц контента в Глубинах – на русском.
Другое измерение – кто чем торгует в Глубинах показывает, что примерно 85% всех продавцов и покупателей торгуют легкими наркотиками и запрещенными фармацевтическими препаратами. В киберкриминальном мире этот сегмент обычно называется «вебмастерским», и включает в себя так же спам, управление траффиком, мошенничество с рекламой и т.п. Два других, что я обычно выделяю – финансовое мошенничество (кардинг, хищение и отмывание денежных средств, мошенничества с онлайн-аккаунтами) и хакерство (разработка и продажа кибероружия, эксплойтов, поддержка других сегментов киберкриминальной экономики).
Среди почти 22 000 найденных серверов почти все относятся к HTTP\HTTPS, но есть и исключения
·      121 коммуникационный сервер (IRC, XMPP, Mumble, POP, SMTP, IMAP) – очень удобно для киберпреступников и преступности в целом
·      3 FTP сервера (скрытый обмен информацией)
·      2 сервера календарей Webcal (хотя в Интернет полно бесплатных сервисов календарей)
·      И даже Git cервер (кто-то очень хотел спрятать свою разработку)
Применив ко всем гиперссылкам технологию TrendMicro Web Reputation исследовали обнаружили почти 9 тысяч (8 707) подозрительных ссылок, примерно по трети которых вело к заражающим серверам или позволяло обходить прокси-сервер (анонимайзеры и аналогичные сервисы). Обнаружили и 25 C&C серверов, управляющих ботнетами. Ввиду большей анонимности Глубин (в частности Даркнета – Tor и I2P сетей) они являются идеальным местом для размещения управляющих центров ботнетов. Именно там правоохранительным органам и исследователям гораздо труднее отключить управляющие центры.
Основными источниками подозрительных ссылок было 3 ресурса – Hidden Wiki (44%), страница ссылок New Hidden Wiki 2015 (28%) и клон Hidden Wiki (18%).
Среди серьезных нелегальных сервисов возможно выделить следующие:
·      «Отмыва» биткойнов (стандартного средства оплаты в Глубинах).
·      Вывода биткойнов во все популярные платежные системы (Western Union, Paypal и др.).
·      Покупки поддельной валюты за биткойны – «идеального отмыва».
·      Полуфабрикаты киберкриминальной экономики - краденые аккаунты пользователей (PayPal, Skype, кредитные карты – «СС» на жаргоне киберпреступников) для дальнейшей монетизации и отмыва денежных средств.
·      Фальшивые паспорта и удостоверения личности (США, Англия, Финляндия и много других).
·      Хранилища персональных данных о знаменитостях.
·      Сервисы физических атак – заказные избиения, взрывы, изнасилования, убийства (включая симуляцию несчастного случая и убийства политиков).
Отдельно упомяну краудсорсинговый сервис заказных убийств. Сервис предлагает всем желающим скинуться на финансирование убийства персоны в списке. В списке фигурируют Барак Обама, Бен Бернанке, Джастин Бибер и другие известные личности.
Из отчета очевидно, что у рядового пользователя растут возможности “подставить” организацию. Что возможно предпринять для контроля такого вида риска:
  • ·      Ограничить возможности пользователя минимально необходимыми правами. Правами на установку ПО, на просмотр ресурсов Интернет, на скачку файлов.
  • ·      Организовать запись и мониторинг действий пользователей, ранее подписавших согласие на мониторинг их работы. Это предоставит организации доказательства, что действия пользователя совершались без приказа руководства.
  • ·      Не допускать в сеть организации устройства не соответствующие стандартам безопасности – как минимум последним обновлениям, антивирусу и агенту системы управления конфигурацией. Допуск такого устройства создает проходной двор – пользователь сможет искать путь в Интернет мимо прокси-сервера не имея минимальных средств защиты, становясь фактически магнитом для разнообразной заразы.

Перед организациями встают все новые вызовы защиты корпоративных активов и обеспечения законности использования корпоративных активов сотрудниками. Киберпреступность развивается быстро, в том числе за счет перекрестной помощи и обучения новичков. Организациям следует больше обсуждать проблемы кибербезопасности внутри индустрий и делиться информаций об эффективных практиках.
Непонятно, почему доступ к Даркнету до сих пор не запрещен на национальном уровне в России и других странах. Возможно, Даркнет наносит больше урона российской и мировой экономике (особенно учитывая то, что более 41% индексируемого контента в нем на русском, хотя доля Рунета в Интернет всего 6,5%) чем нелегитимный и экстремистский контент, доступ к которому запрещен Реестром запрещенных сайтов. Технологическая сложность запрета не оправдание для сохранения возможности заказа убийства, оружия, поддельных документов, кибероружия и других недопустимых товаров.
Другой возможностью разрушения структуры киберкриминальной экономики является уголовная ответственность за использование анонимных валют (в первую очередь биткойна). Разрушая возможность пользоваться деньгами мы разрушаем рынок нелегальных услуг Даркнета. Конечно, подобная стратегия должна включать расследования в отношении обменников с биткойна на другие валюты и платежные системы.
Бездеятельность национальных правительств и оцифровка заказа убийств и других недопустимых товаров и услуг создает потенциал для новых бизнес-моделей киберкриминальной экономики. Технологически возможно за 1-2m USD создать «Яндекс.Такси для убийц», что консолидирует «рынок», повысит доступность услуг убийц и их утилизацию. Вместе с уничтожающим рабочие места экономическим кризисом и удешевлением доступа в Интернет это может иметь катастрофические социальные последствия.
      Для справки – всего одна успешная атака на ДБО юридического лица может принести нужный миллион долларов.
Особенности национальной киберпреступности в глубинах Интернета
Исследователи TrendMicro выделили особенности различных рынков киберпреступности:
  • ·      Русский рынок функционирует с высокой степенью автоматизации, игроки конкурируют между собой и снижают time-to-market.
  • ·      Немецкий рынок является «вещью в себе» предоставляя сервисы для атаки немецких пользователей и продавая аккаунты немецких сервисов. Прослеживаются связи с русским рынком, вероятно немецкие преступники учатся у своих «больших братьев» из России.
  • ·      Латиноамериканский рынок функционирует как экспресс-университет, быстро обучая новичков киберкриминальному делу.
  • ·      Американский рынок отличается открытостью как для киберпреступников всех уровней (поддерживая новичков) так и для правоохранительных органов.
  • ·      Китайские рынок предлагает не только ПО и услуги но и оборудование, выступая мировой «железной» лабораторией для киберкриминала.
  • ·      Японский рынок отличается высокой степенью закрытости и анонимости.
  • ·      Канадский рынок поменьше других но достаточно заметен, фокусируется на фальшивых или украденных документах, удостоверениях личности, кредитных картах и аккаунтах. Ориентирован не только на внутреннего потребителя но и на США и Ближний Восток.
Каждый рынок в целом способен обеспечить себя всеми видами киберкриминальных товаров и услуг, но некоторые являются более популярными на конкретных рынках, например, услуги отмывания денег и биткойнов особенно востребованы в Японии. Особенно популярными продуктами являются краденые базы данных и поддельные документы (детальнее – см. картинки).
Сервисы и продукты, пользующиеся особой популярностью на отдельных рынках
Сервисы и продукты, пользующиеся популярностью глобально
Сервисы и продукты со смешанной популярностью


Киберкриминальная экономика уже не просто хорошо функционирующий механизм, но теневая часть традиционной экономики. А это значит что разъединить их будет чем далее тем более непросто…

Комментариев нет:

Отправить комментарий