Информационная безопасность как политический пинг-понг

Мы продолжаем цикл материалов с CyberCrimeCon 2018 — конференции, посвященной кибербезопасности. Мероприятие, собравшее более 2000 посетителей, организовала компания Group-IB — официальный партнер Interpol и Europol. За 15 лет работы более 1000 уголовных дел закончились успешным заключением преступников в США, России, странах Азии и Ближнего Востока, а также Евросоюзе.

Основной мишенью хакеров с 2017 года стали криптовалютные биржи. Эксперты Group-IB, которые занимаются расследованиями взломов крупнейших криптобирж, считают одним из основных хакерских инструментов последних двух лет фишинговые письма. В качестве примера исследователи приводят случай с китайской криптобиржей Binance, когда злоумышленники отправили фишинговые письма некоторым трейдерам, и затем на две минуты полностью завладели торгами и запустили многочисленные итерации покупок тогда малоизвестной валюты MyCoin, после чего уже через полчаса курс вырос на 143%.

Не менее опасным видом атаки считается Атака 51% (о которой мы писали ранее). Она позволяет злоумышленникам полностью остановить торги или нарушить систему, отвергать транзакции других участников и, что самое важное, — осуществлять повторное списание средств. На начало 2018 года обнаружено 5 таких атак.

Ну и, конечно, рассматривались всем известные кейсы целевых взломов криптобирж, ущерб от которых в 2017 и 2018 годах составил более $882 млн. За этот период атаковано 14 криптовалютных бирж —  преимущественно северокорейскими хакерами из группы Lazarus. Как известно, жертвами стали, в основном, биржи Южной Кореи и Японии.

По прогнозам Group-IB, вслед за Lazarus, вероятнее всего, атаковать криптобиржи начнут группировки Silence, MoneyTaker и Cobalt, и они выберут в качестве основного инструмента для атаки целевой фишинг.

Мы пообщались с генеральным директором Group-IB Ильей САЧКОВЫМ, чтобы узнать о причинах, которые приводят к возможности взлома криптобирж.

BNT: Сейчас много говорят о том, что биржи недостаточно защищены, не внимают рекомендациям регуляторов. Что является основной причиной — человеческий фактор или технические инструменты для защиты?

ИС: Факторы могут быть разными, есть три основных. Первый — большая скорость бизнеса, где о деталях не всегда думают, не все успевают предусмотреть. В других случаях значительную роль играет высокая мотивация преступников: несмотря на то, что биржа все сделала правильно, хакеры оказались профессионалами, потратили много ресурсов, и атака увенчалась успехом. Третий тип случаев  — когда биржа совсем не уделяет внимания вопросу безопасности. Такое также бывает, люди вообще не думают о рисках и считают, что их это просто обойдет стороной.

По всем взломам бирж у нас идут открытые уголовные дела, где преступники еще не задержаны. Поэтому когда мы скажем, что занимаемся какими-то кейсами, это будет некая подсказка, и с точки зрения оперативно-розыскных мероприятий это будет действие вне закона. Поэтому пока, до ареста, мы не можем озвучить названия. Но я могу сказать так: 3 из 10 крупнейших взломов расследуем мы.

BNT: Что вы можете сказать относительно фальсификации взломов, когда биржа инициирует атаку на себя?

ИС: Я знаю один такой случай, где взлом был фальсифицирован. Могу порекомендовать, чтобы инвесторы и пользователи бирж запрашивали независимое расследование, которое покажет вероятность фальсификации взлома.

BNT: Каковы временные рамки на раскрытие киберпреступления? Допустим, в кейсе, показанном представителем полиции Нидерландов, была информация, что расследование заняло 6 месяцев, прежде чем хакеры были пойманы.

ИС: Расследование — это долгий процесс. Но первые действия нужно осуществить уже сразу: правильный сбор логов, доказательной базы, отслеживание транзакции. К тому же у каждой биржи должен быть incident response plan на случай увода денежных средств. Также в некоторых юрисдикциях стоит рассмотреть процесс страхования рисков. Если у биржи нет incident response plan, то в первые часы и даже минуты после взлома будет предпринято огромное количество неправильных действий. Во-первых, нужно проверить наличие такого плана, а во-вторых, чтобы все события правильно логировались и дублировались, чтобы расследование было в принципе возможным. Потому что в одном из случаев, с которым мы работали, не хватало данных, что значительно затруднило расследование.

Киберпреступность быстро развивается, и уникальный ландшафт угроз для региона и страны постоянно меняется. Это говорит о том, что универсальные инструменты для обнаружения целевых атак найти невозможно. Кроме того, продвинутые злоумышленники стараются использовать широко распространенные методы и инструменты, затрудняя тесты на проникновение. Поэтому исследователи киберугроз всегда готовы к открытиям и экспериментам, наращивая свои базы данных.

BNT: Какое законодательство определяет меру наказания для преступника, например, в спорных интернациональных расследованиях?

ИС: Вопрос законодательной базы для рассмотрения киберпреступлений международного уровня я считаю на сегодняшний день открытым. Очень важно для человечества, не побоюсь этого высокопарного слова, — максимально быстро синхронизировать законодательство в этой сфере. Потому что одни страны считают, что применимо законодательство той страны, где находится сам злоумышленник, другие — той, где находится цель атаки.

Притом есть понятие завершения преступления, оно может начинаться в одном месте, инфраструктуру иметь в другом, деньги выводятся через третью страну, а обналичиваются в четвертой. Сейчас синхронизация законодательства представлена довольно слабо. На мой взгляд, требуется некоторое усилие со стороны ООН, но, к сожалению, этого не происходит. Никто из политиков не может договориться.

Все может закончиться для человечества классической историей: произойдет атака на объект критической инфраструктуры в какой-либо стране, которая приведет к человеческим жертвам, а возможно, и к экологическим нарушениям природы, и после этого политики, может быть, поймут, что нужно ускорить процесс синхронизации законодательства.

BNT: Приходится ли Вам расследовать такого рода киберпреступления с участием нескольких стран одновременно? В чем основная сложность?

ИС: В этом году наша компания участвовала в расследовании дела, где рассматривалась территория сразу трех стран — Россия, США и Украина. Расследование завершилось приговором преступника на территории Украины. Однако на это потребовалось около двух лет очень сложной юридической синхронизационной работы, что явно не идет на пользу экономике ни одной из стран.

Политики должны понимать, что компьютерное преступление — это самое вероятностное преступление, которое может произойти. Потому что когда происходит одно ограбление квартиры на территории ЕС, а оно случается каждые 1.5 минуты, за это время происходит более трёх тысяч атак, которые приводят к финансовым последствиям гораздо большим, чем ограбление этой квартиры.

BNT: Есть ли, по Вашему мнению, какие-то шаги или предпосылки, чтобы был создан единый интернациональный орган или комиссия по расследованию таких преступлений?

ИС: Никаких таких предпосылок нет. Они будут, если, как я уже говорил, умрет большое количество людей. Государства начинают договариваться, когда случается гибель, массовая гибель населения, и они понимают, что по-другому уже никак. Обратите внимание: Лига Наций создана после Первой Мировой войны, ООН — после Второй Мировой Войны, Договор о нераспространении ядерного оружия — после Карибского Кризиса, Конвенция о биологическом оружии — после того, как в России была утечка в Сибири во времена Советского Союза, и Россия начала выполнять требования, потому что люди начали умирать.

К сожалению, видимо, что-то должно «бахнуть», вызвать колоссальный массовый резонанс, после которого люди начнут договариваться. Сейчас я вижу большое количество политиков, далеких от технологий, которые сильно недопонимают, что такое технологии, и используют информационную безопасность как какой-то политический пинг-понг.

BNT: Как могут кибератаки привести к летальному исходу, к тому, что вызовет тот самый массовый резонанс?

ИС: К примеру, можно взять гидроэлектростанцию и увеличить скорость движения турбин, например, или открыть плотину, и тогда вода затопит город. Это может быть интересно террористам или же просто сумасшедшим, маньякам. Они в нашем обществе, к сожалению, существуют.

По данным отчета Group-IB, 2018 год ознаменовался новым видом атак, который может полностью изменить уровень киберугроз. В январе стало известно о таких вредоносных программах, как Meltdown и Spektr. По словам технического директора GIB Дмитрия ВОЛКОВА, «Это аппаратные уязвимости, их невозможно исправить программным способом. Более того, они затрагивают все линейки существующих процессоров. Идентифицировать их на реальной машине очень сложно». Для того, чтобы устранить эту уязвимость, необходимо отключить некоторые технологические составляющие пораженных мультиядерных процессоров.

«И никаких решений по безопасности, которые могли бы объективно делать это на момент обнаружения, естественно, не было. Индустрия была не готова», — сообщил Дмитрий ВОЛКОВ

BNT: Есть ли вообще смысл локализовать киберпреступность по странам, и каково влияние глобальной политики на ход расследований международного уровня?

ИС: Политика существенно мешает. Не стоит думать, что преступность расселась по странам, она сейчас трансгранична. Большинство расследований требует плотного сотрудничества правоохранительных органов разных уровней и стран для того, чтобы комбинировать действия на разных территориях и одновременно проводить правильные оперативно-розыскные мероприятия. Этого не происходит, в первую очередь, из-за политических разногласий между странами, чем, естественным образом, пользуются преступники.

Топ-3 стран-источников наиболее активных прогосударственных хакерских групп — это Китай, Северная Корея и Иран. Азиатско-Тихоокеанский регион (APAC) по итогам последних двух лет стал самым активно атакуемым: только за год здесь была зафиксирована активность 21 различной группы, что больше общего числа атак на США и Европу

BNT: Что Вы можете сказать о блокчейне, который сейчас многие считают панацеей в решении разных проблем, может ли он решить глобальные вопросы кибербезопасности?

ИС: Есть некий подход, о котором пока рано говорить, но он действительно может решить многие политические проблемы в области информационной безопасности. Это касается, в первую очередь, обмена данными по киберугрозам. Над ним сейчас ведется работа, в которой мы также принимаем участие. Пока рано делать анонсы. Возможно, произойдет некая саморегуляция технологических компаний, что позволит унифицировать процесс обнаружения угроз, чтобы каждый мог использовать эту систему. Как это будет реализовано, мы пока не можем сказать, но это будет сделано именно на блокчейне.