Прогосударственные кибервойска, и почему много хакеров — это хорошо

«Знать своего врага нужно всегда. То есть довести расследование до точки, когда вы понимаете, кто конкретно произвел атаку, какие у взломщика мотивы, случайна атака или нет», — заявил CEO и основатель Group-IB Илья САЧКОВ на CyberCrimeCon 2018, посвященном проблемам кибербезопасности. Ландшафт киберпреступлений чрезвычайно неоднороден, то есть отследить источник атак трудно, а значит, под угрозой взлома находятся компании в любой стране. Отследить мошенников невероятно сложно, особенно если атака происходит в первый раз, однако эксперты уверены: окончательная победа над хакерами — это лишь вопрос времени.

По словам экспертов Group-IB, киберпреступники совершенствуют свои методы. За последние два года хакеры облюбовали криптобиржи и мощно атаковали цифровой рынок. Причина в том, что, как правило, криптобиржи используют код, скомпилированный из разных открытых источников. Кроме того, зачастую это всего лишь небольшая команда единомышленников, а не серьезная штатная структура.

Последний масштабный взлом японской биржи Zaif оставался незамеченным четыре дня, и лишь 18 сентября текущего года представители компании сообщили о потере $60 млн. А до этого пострадала южнокорейская Bithumb, которая потеряла около $30 млн 20 июня текущего года. Случай с Bithumb заслуживает отдельного внимания ввиду того, что это одна из самых больших азиатских криптобирж с объемом торгов $196,823 млн за сутки. Атака на биржу серьезно сказалась на курсе биткоина, который упал на 1,4%.

Bithumb — не единственная биржа в Южной Корее, пострадавшая в июне 2018 года. Убытки биржи Coinrail оцениваются на сумму $40 млн. Киберпреступники изъяли 1927 ETH, 831 млн токенов DENT, 2,6 млрд PundiX (NPXS0) и прочие валюты. В общей сложности украдено 30% всего альткоин-портфеля криптобиржи. Как и в случае с Bithumb, атака хакеров сказалась на курсе биткоина, упавшего на 5-10%. Южную Корею действительно можно считать лакомым куском для злоумышленников, и, к сожалению, не всем компаниям удается оправиться от удара. 19 декабря 2017 года криптобиржа Youbit обанкротилась после потери 17% активов. Компания сохранила 75% средств пользователей и обещала минимизировать потери клиентов.

Когда криптобиржа закрывается после хакерской атаки, она попадает под подозрение о мошенничестве: сами себя взломали, чтобы присвоить активы. «В расследованиях, связанных со взломом криптобирж, иногда встречаются такие случаи самовзломов. Это происходит при содействии некоего инсайдера, активность которого приводит к якобы взлому и к якобы потере денег», — рассказывает CTO Group–IB Дмитрий ВОЛКОВ.

Стоит ли паниковать?

Невзирая на то, что хакеры, словно акулы, почуявшие кровь, ринулись рвать молодой крипторынок, паниковать определенно не стоит. По словам экспертов, с каждой атакой у киберсекьюрити появляется больше материалов для анализа и создания универсальных методов защиты. Причем чем более масштабные преступления совершают хакеры, тем проще разрабатывать стратегию защиты. Теперь правоохранительным органам намного проще отслеживать кибератаки и наказывать преступников: на основе предыдущих кейсов разработаны универсальные автоматические алгоритмы для контрмер против хакеров. «С 2010 по 2018 мы с нашими партнерами из разных стран сделали для правоохранительных органов много автоматизированных аналитических систем для помощи в расследованиях», — сказал Илья САЧКОВ. Данная технология уже была успешно использована против «групп смерти» «Синий кит» в российских социальных сетях.

Проблема криптобирж связана, скорее, с новизной отрасли, нежели с патологическими признаками. «Почему службы безопасности криптобирж не справляются с атаками? Одна из самых распространенных проблем — нехватка человеческих ресурсов», — уверен Дмитрий ВОЛКОВ.

На сегодняшний день возможности специалистов кибербезопасности существенно расширяются, а хакеры продолжают просто использовать оставшиеся слабости криптоэкономики. Настанет время, и количество этих слабостей сократится до незначительного количества, и тогда взломы будут наносить не такой существенный ущерб, а потери станут более локальными, перестанут серьезно влиять на рынок.

Национальные кибервойска

Одной из самых первостепенных задач становится борьба с прогосударственными кибергруппами. Анализ их деятельности осложняется политическим фактором. Не всегда власти готовы сотрудничать и помогать в расследовании кейсов, где замешаны киберпреступники, работающие в национальных интересах. «Атаки с целью шпионажа — это действительно существующая проблема. Самое сложное — правильно атрибутировать атаку, то есть связать с определенными спецслужбами, поэтому иногда приходится полагаться на результаты ранее проведенных исследований других компаний», — поделился Дмитрий ВОЛКОВ.

Хакеров уже давно вербуют в самые настоящие «кибервойска», их роль в информационной войне незаменима. Достаточно вспомнить скандал с «русскими хакерами», которые якобы вмешались в американские президентские выборы в 2016 году. К слову, хоть «популярность» русских хакеров небезосновательна, имеет место подмена понятий. Дмитрий ВОЛКОВ объяснил происхождение стереотипа: «Как только исследователи видят русский язык, они автоматом связывают это с Россией. Русский язык — один из самых популярных языков в интернете, он занимает сейчас второе место после английского. К примеру, злоумышленник может иметь гражданство Белоруссии, Казахстана или Украины».

Заметные перемены в войне с хакерами появятся, когда законодательства разных стран синхронизируются. В ближайшее время это вряд ли случится: не стоит ждать союзнических отношений государств, которые активно используют кибергруппы друг против друга. Илья САЧКОВ убежден, что только действительно масштабный прецедент способен переломить ситуацию в отношении межгосударственного сотрудничества. «Произойдет атака на объект критической инфраструктуры в какой-нибудь стране, которая приведет к человеческим жертвам, возможно, и к экологическим нарушениям. И после этого политики поймут, что нужно чуть-чуть ускорить процесс синхронизации законодательства».

Несмотря на то, что деятельность хакеров стала глобальной, и различные государства активно используют их в информационной войне, отслеживать преступников стало гораздо легче. Во-первых, конкуренция между возросшим числом кибергрупп помогает их засечь, когда они атакуют одну цель. Во-вторых, каждый день разрабатывается новое программное обеспечение для защиты, совершенствуются методы для проверки потенциально взломанных систем. Так, по словам экспертов из Group-IB, на сегодняшний день пик финансовых угроз уже миновал. На международном рынке первую позицию занимают фишеры, нацеленные на облачные хранилища, а не на финансовый сектор.