Киберпреступники атакуют, жертвы молчат: отравленные флешки, убитые данные и зараженные сайты

25 декабря в домах половины жителей Ивано-франковской области погас свет. На этот раз причина была необычной: кибератака на компьютеры "Прикарпатьеоблэнерго". Удивительно, но в мире этому событию придали гораздо больше значения, чем в Украине. И не зря – оно наверняка породит целую цепочку важных изменений в сфере безопасности и обороны многих стран мира. В чем же глобальная значимость этого события?

На этот вопрос ясно ответил старший исследователь компании Trend Micro Кайли Вилойт: "Впервые мы имеем доказательства и можем связать наличие программ-вредителей с конкретным отключением электроэнергии. Это очень пугает".

Дело в том, что до этого момента подобные апокалиптические сценарии киберударов по электросетям существовали только в фантастических блокбастерах и … абсолютно реалистических сценариях развития кибервойны вооруженных сил ведущих держав. В США, например, в таких сценариях кибератаки рассматриваются наравне с ракетными и авиаударами. Но теория – это все-таки теория. А киберинцидент с "Прикарпатьеоблэнерго" на практике подтвердил реальность этой угрозы.

Однако атака на "Прикарпатьеоблэнерго" – это яркий, но отнюдь не единственный эпизод кибервойны в отношении Украины. Правда в том, что кибератаки происходят постоянно, но эти факты – в силу причин, подробнее о которых чуть ниже – часто скрываются и замалчиваются. За примерами далеко ходить не надо – взять хотя бы то же вредоносное ПО "BlackEnergy", которое было обнаружено  при анализе кибератаки на "Прикарпатьеоблэнерго". По словам генерального директора "Сайбер секьюрити центрум" Николая Коваля, «данная угроза не сходит с "экранов радаров" уже около двух лет, очень успешно осуществляя атаки на достаточно важные информационно-телекоммуникационные сети нашей страны. Основная направленность – кибершпионаж, сбор информации и как можно более долгое скрытое пребывание в сети атакуемой организации».

О подлинных масштабах происходящих за кулисами информационных баталий можно узнать только на специализированных мероприятиях – например таких, как ежегодная международная конференция Украинской группы информационной безопасности UISGCON11, которая состоялась в Киеве в декабре прошлого года. Она показала, что  2015-й можно считать особенным для Украины в сфере информационной безопасности. Почему?

Прежде всего потому, что в этом году Украина оказалась в центре внимания мировых специалистов по информационным войнам – для них особый интерес представляют изучение технологий инфовойны и кибершпионажа, применяемые Россией против Украины. Эта тема интересует их настолько, что Центр передового опыта в области совместной киберобороны НАТО выпустил целую книгу "Cyber War in Perspective: Russian aggression against Ukraine" под редакцией Кеннета Гирза (ее можно совершенно бесплатно и легально скачать здесь). Похоже, что для многих стран мира Украина стала полем для изучения потенциальных сценариев и технологий войн в киберпространстве для выработки адекватных ответов на них.

А изучать есть что. Прежде всего, беспрецедентная психологическая война и ведение пропаганды в Интернет. Арсенал велик – тут и создание фейковых сайтов и аккаунтов в соцсетях, дезинформация, распространение слухов, дистанционное манипулирование эмоциональным состоянием аудитории. Рассылка на телефоны украинских бойцов СМС с подавляющим психику контентом. Атаки на сайты госорганов и силовых структур с целью разрушения или кибершпионажа, в которых активно использовались методики социальной инженерии. И даже подбрасывание бойцам в зоне АТО флешек с предустановленным вредоносным ПО. Чтобы заразить компьютер, достаточно вставить такую флешку в устройство.

Также предпринимались атаки, направленные на инфицирование сайтов госорганов вредоносным кодом. Пользователи, заходящие на зараженный сайт, автоматически перенаправлялись на сайт с вредоносным ПО. В качестве примера таких атак Николай Коваль привел сайт Госпогранслужбы.

Представители украинских служб безопасности утверждают также, что распространение вирусов происходит среди украинской аудитории через известные российские соцсети. Они убеждены, что кибератаки производятся группами, объединяющими в себе хакеров и представителей спецслужб.

Разумеется, угрозы кибербезопасности не ограничиваются военными конфликтами. Киберпреступники тоже не дремлют, а всячески совершенствуются. Характерный тренд – курс на тотальную коммерциализацию, наблюдавшийся последние пару лет, стремительно набирает обороты. Бескорыстных хакеров, взламывающих что-нибудь, чтобы посмотреть «как оно устроено» или ради повышения собственной самооценки, становится все меньше. Сегодня киберпреступность – это мощная, хорошо организованная структура, главной целью которой является финансовое обогащение. ПО для взлома стало коммерческим продуктом, пользующимся повышенным спросом. Даже среди «хактивистов», ранее действующих по политическим мотивам, наблюдается тенденция к переходу на «работу» ради прибыли. А декларируемые благородные цели остаются отличным прикрытием.

И это общемировая тенденция. Спикер из Латинской Америки Хосе Торихос, рассказывая о ситуации, сложившейся в этом регионе, привел тому многочисленные примеры. Отсутствие адекватного законодательства способствует стремительному развитию киберпреступности в этом регионе. Интересно, что, по его словам, в последнее время наблюдается союз латиноамериканских киберпреступников с российскими – они все чаще "дружат" на форумах, и латиноамериканцы активно используют для взлома российское ПО.

Один из главных объектов киберпреступников – банки. И Украина в этом, разумеется, тоже не исключение. В кибератаках по-прежнему доминирует печально знаменитый троян ZeuS, в результате заражения которым преступники получают доступ к управлению банковским компьютерам, в том числе и счетам клиентов.

Есть и новые объекты атак. 25 октября 2015, в день выборов в местные советы, пострадали два украинских телеканала – значительное количество их данных было уничтожено в результате мощной кибератаки.

Впрочем, обильно страдали и обычные пользователи. Например, от известного, но все еще эффективно находящего новых жертв трояна с ласковым именем Pony, который успешно ворует пароли. Но хитом прошлого года, безусловно, стало использование зловредов –шифровальщиков (ransomeware). Попав на компьютер пользователя, такая программа шифрует все содержимое диска, лишая доступа к своим данным. За восстановление доступа вымогают плату (обычно в размере около 300 долларов). Разумеется, даже если вы переведете деньги, восстановление отнюдь не гарантированно. Но находятся люди, которые платят…

Отдельно стоит отметить бурный всплеск методов социальной инженерии – взлома не компьютера, а человеческого мозга. Собственно говоря, именно люди, а не техника являются главной уязвимостью, распахивающей двери взломщикам. Поэтому неудивительно, что эти методы эти становятся как более распространенными, так и более изощренными. Их используют повсеместно – в кибервойнах, политических, криминальных кибератаках…

Основным путем доставки «заразы» к цели остается e-mail. Получив сообщение с инфицированной ссылкой, пользователь кликает по ней – и вуаля: зловред оказывается в его компьютере, а оттуда заражает всех собратьев по сети и так далее. Для того, чтобы заставить пользователя сделать этот роковой клик и используются техники социальной инженерии – психологического воздействия на получателя вредоносного письма. Подробнее я расскажу о них в отдельной статье.

Итак, масштаб и степень киберугроз стремительно растут во всем мире, а в Украине даже во много раз больше в силу целого ряда факторов. И не только объективных – таких, как военный конфликт, но и субъективных. Причем последние, на мой взгляд, более угрожающие – но и более доступные для коррекции. Здесь назову только два из них.

Во-первых, это явный недостаток знаний в сфере кибербезопасности у абсолютного большинства людей, независимо от их социального и материального статуса. Политик, высокопоставленный чиновник, олигарх, топ-менеджер бизнеса и учитель, полицейский или врач в одинаковой степени уязвимы перед киберугрозами, если они не владеют хотя бы базовыми знаниями в этой сфере.

Во-вторых, это странное стремление пострадавших от кибернападения всеми способами скрыть этот факт от широкой общественности. Они как правило, предпочитают понести убытки, заплатить вымогателям, но ни в коем случае не допустить огласки киберинцидента. В некоторых случаях это стремление объясняется страхом потерять репутацию – а с ней клиентов. Кто-то не хочет пускать в свои компьютерные сети представителей правоохранительных органов и расследователей со стороны, опасаясь еще большей утечки данных. Кому-то стыдно признаться, что он стал жертвой хакеров. Но каковы бы ни были мотивы, такое поведение всегда ведет к усилению и распространению киберпреступности. Невежество в сочетании со страхом создают убойно-привлекательный аромат для преступников – ибо что может быть соблазнительнее легкой наживы практически без риска быть наказанным?

Создание в Украине киберполиции, которая должна в полную силу заработать уже в феврале, дает надежду на улучшение ситуации. В то же время надо понимать простую истину: реальная кибербезопасность может быть обеспечена только при активном участии и поддержке со стороны широких масс. И каждый руководитель должен заботиться о том, чтобы на его предприятии или ведомстве уделялось должное внимание организации кибербезопасности и обучению персонала. Однако пока это остается мечтой: как рассказали на конференции практикующие специалисты, многим из них приходится решать проблемы иного уровня. Например, как заставить сотрудников перестать приклеивать бумажку с паролем к экрану своего монитора. Сотрудники упорно сопротивляются…

Важно понимать, что рано или поздно хотя бы азы кибербезопасности придется осваивать всем. Но, учитывая природную человеческую склонность наступать на собственные грабли, а не учиться на примерах других, это процесс привыкания к новой реальности для многих будет очень болезненным. Но неизбежным.

Впрочем, есть и приятные исключения. В Администрации Президента Украины фактически поставили сотрудникам ультиматум: либо вы за несколько месяцев изучаете все прописанные правила кибербезопасности, либо увольняетесь. В результате неспособных практически не оказалось – уволились лишь единицы.

Если подобный подход распространить на все предприятия, структуры и организации, это сильно омрачит настроение хотя бы части киберпреступников и убережет многих честных граждан от крайне неприятного жизненного опыта.

Сергій Нестеренко, експерт з інформаціонно-психологічної безпеки