Group-IB представила отчет о хакерских атаках

Одним из главных трендов киберпреступности эксперты компании Group-IB, представившие на мероприятии собственный доклад, назвали захват зарубежного рынка вирусописания русскоязычными программистами. Статистика свидетельствует, что 16 из 19 троянов для компьютеров, наиболее активно использующихся для хищений, связаны с русскоговорящими преступниками.

В отчете Group-IB говорится, что пять группировок, атаковавших российские банки, украли в общей сложности 2,5 млрд руб. за период с апреля 2015 года по март 2016 года. Их успех, прогнозируют эксперты, приведет различные хакерские команды к поиску жертв в других странах.

При этом участники конференции несколько раз подчеркнули, что у хакеров, как и в случае с террористами, нет национальности.

Вице-президент ICANN по Восточной Европе и Центральной Азии Михаил Якушев и вовсе считает, что нет киберпреступников-патриотов. Однако представитель корпорации, отвечающей за работоспособность критической инфраструктуры интернета, настаивает на запрете использования кибероружия на национальном уровне.

Атрибуция нереальна


Специалисты отмечают, что атаки на банки СНГ, Западной и Восточной Европы, Азиатско-Тихоокеанского региона и Ближнего Востока выполнялись по схожему шаблону, который позволяет добраться до критических систем и атаковать их без разработки специального программного обеспечения.

Говоря о том, что власти США увидели российский след во взломе ресурсов кандидатов в президенты Дональда Трампа и Хиллари Клинтон, генеральный директор компании Group-IB Илья Сачков заявил, что не верит в атрибуцию кибератак (приписывание авторства конкретным хакерам). 
Взломщики, которые совершают преступления, обладают высоким уровнем IQ, полагает эксперт.

«Они читают все публичные криминалистические отчеты и легко могут подделать любые методы атрибуции, вводя аналитиков в заблуждение»,

— отмечает Сачков.


Он уверен, что делать выводы можно только после ареста хакера вместе с изъятием у него техники, проведения экспертизы и опроса свидетелей, как и в случае с «любым другим преступлением».

Кроме того, российская организованная киберпреступность, по мнению основателя Group-IB, в настоящее время нацелена на получение материальной выгоды, которая отсутствует в случае вмешательства в ход президентских выборов в США.

Эксплойты для китайцев

Отвечая на вопрос корреспондента «Газеты.Ru» об участившихся атаках со стороны китайских хакеров на российские предприятия, Сачков обратил внимание, что предположительно атаки специалистами из КНР происходят и происходили всегда. «Но в настоящее время в современном мире среди криминалистов хакеров уже не принято разделять по географическому принципу», — добавил спикер.

В случае с покупкой одной китайской компанией эксплойтов Android и iOS у российских специалистов, о которой ранее писали СМИ, по мнению Сачкова, должно работать законодательство. Так, согласно статьям 272 и 273 УК России, использование эксплойтов может считаться уголовным преступлением, так как обычно их функционал используется для нарушения работы и получения неправомерного доступа к информации.

В то же время не все специалисты согласны с тем, что эксплойт является вредоносной программой. Директор департамента сетевой безопасности Group-IB Никита Кислицын заявил, что торговля сведениями об уязвимостях представляет собой большой рынок и проявляет себя в разных сторонах.

Существуют светлые стороны, к ним относятся так называемые bug-bounty-программы, в рамках которых разработчики того или иного продукта выплачивают вознаграждения обнаружившим «дыру». Есть и темные проявления рынка эксплойтов.

«Они могут быть использованы проправительственными структурами. Любая крупная страна, которая мнит себя великой державой, так или иначе заинтересована в том, чтобы покупать эксплойты и уязвимости нулевого дня», — считает Кислицын. Тем не менее не всегда это носит нелегальный характер.

В России есть большое количество исследователей, которые зарабатывают на этом деньги, полагает спикер. Закон же нарушается в использовании найденных уязвимостей для преступных целей.

Планктон для Apple

Согласно отчету Group-IB, владельцы Android-устройств в России потеряли от действий хакеров с апреля 2015-го по март 2016-го 348,6 млн руб., что на 471% больше, чем в прошлом периоде. Ежедневно их жертвами становятся 350 пользователей Android, которые теряют в среднем 4 тыс. руб. Эксперты компании убеждены, что трехзначный прирост объема хищений с помощью Android-троянов ждет и другие страны.


Сачков полагает, что рост числа атак на девайсы под управлением этой ОС связан с тем, что Android позволяет установить приложение из любого источника, а не только из официального магазина Google Play.

«В большинстве случаев проблема заключается в том, что пользователи сами, следуя мошенническим инструкциям, устанавливают вредоносные программы на свои защищенные и обновленные устройства»,

— добавляет эксперт.

Глава Group-IB не призывает пользователей отказываться от Android, но обращает внимание, что концепция установки приложений на iOS-устройства отличается от системы Google.

Кислицын назвал своего рода уязвимостью джейлбрейк, который можно совершить на девайсах корпорации Apple, «предоставляя рутовые привилегии системе устройства».

В целом же, по словам эксперта, экосистема iOS более защищенная благодаря тщательной модерации каталога приложений. «Система в рамках философии компании изначально строилась как изолирующая пользователя от получения каких-либо проблем», — подчеркнул Кислицын.

В случае с Apple отсутствуют легитимные способы установки приложений на невзломанные iPhone и iPad. Все это, как указывает Сачков, создает ореол защищенности для «яблочных» устройств.

При этом для Apple существуют примитивные атаки, направленные на похищение учетных записей — Apple ID — с дальнейшей блокировкой смартфона ради вымогания денег или же похищения резервной копии телефона, если она находится в iCloud.

«Но обычно этим занимается некий планктон. Это достаточно непрофессионально и редко встречается в России», — подытожил глава Group-IB.