Современная киберпреступность превратилась в полноценный теневой рынок услуг с подпольной экономикой, которая, однако, работает как часы – часто даже эффективнее, чем экономика легальная. По данным IT-аналитиков, заказы на проведение взломов и кибератак обрабатываются на специальных форумах и через площадки-агрегаторы в дарквебе («темная сеть» – скрытая часть глобальной сети, к которой невозможно получить доступ через стандартные поисковые системы). Там внедряются цифровые кошельки, платные подписки на хакерские услуги и системы гарантирования сделок. Противостояние этой мощной индустрии может потребовать соответствующего повышения эффективности всей отрасли информационной безопасности (ИБ).
Киберпреступность – теперь это цифровой сервис, поставленный на поток. «Как правило, преступные сделки совершаются на специализированных форумах дарквеба», – сообщается в материалах обнародованного исследования от компании Positive Technologies. В его основе анализ сведений с теневых форумов, из открытых источников, Telegram-каналов хактивистов (это хакеры, которые проводят атаки по политическим мотивам, а не только ради финансовой выгоды) и от правоохранительных органов.
Судя по выводам аналитиков, главной особенностью подпольных онлайн-площадок теперь стала их гибридная и распределенная архитектура. Сегодня такие платформы могут функционировать одновременно в публичном интернете и скрытых сетях, что затрудняет их полную блокировку и отчасти запутывает следы.
Основой теневой деятельности служат развитая подпольная экономика и инструменты для торговли. На таких платформах внедряются внутренние цифровые кошельки, предлагаются платные подписки на хакерские услуги. Допустим, это может быть в том числе аренда ботнетов (сетей из «зомби»-компьютеров, зараженных вредоносным программным обеспечением, о чем их владельцы не подозревают; ботнеты участвуют в рассылках спама, в массовых кибератаках на предприятия и инфраструктуру, в скрытом майнинге криптовалют).
Кроме того, на таких платформах функционируют автоматизированные эскроу-сервисы – имеется в виду механизм безопасной сделки, при котором заказчик и исполнитель взаимодействуют друг с другом через посредника (гаранта сделки) за определенную комиссию. А на одном из теневых форумов ИБ-специалисты обнаружили даже отдельный раздел для арбитража – разрешения арбитром споров между участниками сделки, недовольными ее условиями или результатами.
Как итог – все это повышает для заказчиков доступность готовых решений и позволяет им масштабировать кибератаки, сводя личное участие к минимуму. «Теневые форумы дарквеба – это уже не просто точки обмена данными, а сложные платформы с собственной экономикой, которые делают запуск атак массовым и доступным бизнесом», – пояснил старший аналитик Positive Technologies Артем Белей.
По его словам, именно такая сервисная модель стала катализатором всей индустрии, превратив дарквеб в источник киберугроз для компаний любого размера. «Понимание устройства этого рынка – основа для проактивной защиты, способной предугадывать угрозы, а не просто реагировать на инциденты», – считают авторы исследования.
Проактивный подход к организации киберзащиты предполагает также анализ гипотетических цифровых угроз. В «Лаборатории Касперского» их называют сценариями «серых лебедей» – возможных событий, которые в будущем могут существенно изменить сферу кибербезопасности (термин вводится по аналогии с концепцией «черных лебедей» Нассима Талеба – трудно прогнозируемых событий с колоссальными и нередко негативными последствиями). Некоторые такие сценарии были обнародованы экспертами лаборатории в конце минувшей недели.
Уточним, то, что сейчас кажется лишь интеллектуальным упражнением, в будущем вполне может лечь в основу очередной хакерской услуги, предоставляемой по платной подписке в дарквебе заказчикам любого масштаба.
Мозговые штурмы специалистов по информационной безопасности как раз и призваны помочь подготовиться к таким рискам заранее.
Заказы на проведение взломов и кибератак
обрабатываются на специальных
подпольных площадках.
Иллюстрация Vecteezy В качестве одного из вариантов «серого лебедя» главный технологический эксперт «Лаборатории Касперского» Александр Гостев назвал киберэкотерроризм. «Это атаки не ради выкупа или остановки работы какого-то предприятия, а для скрытого нанесения долгосрочного ущерба. Например, взлом систем управления на химическом заводе может привести к незаметным, но постоянным выбросам веществ в небольших количествах в природные экосистемы, – пояснил он. – Это может оставаться незамеченным в течение длительного времени, пока ущерб окружающей среде уже не станет явным».
Помимо этого, по его словам, атаки на вторичные или вспомогательные системы, такие как системы климат-контроля в центрах обработки данных, могут вызвать каскадные сбои. Перегрев и отключения в дата-центрах могут нарушить работу облачных сервисов, которые важны для функционирования логистики, городской инфраструктуры, коммунальных услуг и государственных служб.
Еще один сценарий – рассинхронизация времени: «Практически все современные цифровые операции – от финансовых транзакций и промышленной автоматизации до мониторинга безопасности и реагирования на инциденты – зависят от точного и синхронизированного времени». Его обеспечивают серверы Network Time Protocol (NTP).
Как пояснил Гостев, злоумышленники могут атаковать первичные источники времени, например атомные часы в лабораториях или спутники GPS, что создаст новую категорию системных цифровых рисков. Не искажая время сильно, они могут вносить минимальные, нерегулярные аномалии, которые через NTP будут распространяться на миллионы серверов и устройств по всему миру. Даже незначительные отклонения чреваты сбоями.
Также Гостев упомянул «внезапный коллапс криптографии из-за математического прорыва». Эксперт напомнил, что сейчас все внимание сообщества кибербезопасности пока приковано к отдаленной угрозе со стороны квантовых компьютеров, которые потенциально смогут однажды взломать современные алгоритмы шифрования и полностью перечеркнут существующие сегодня подходы к киберзащите. К этому заранее готовятся, разрабатывая и внедряя постквантовую криптографию, что само по себе тоже важная стратегия.
Однако, по мнению Гостева, в этом случае «серым лебедем» может стать вовсе не ожидаемый в будущем квантовый прорыв, а внезапное математическое открытие в области теории чисел, которое кардинально упростит решение определенных задач даже на обычных классических компьютерах.
Если такой алгоритм будет опубликован, он может мгновенно подорвать математические основы широко используемых сейчас подходов к шифрованию: «Весь защищенный трафик, когда-либо перехваченный и сохраненный, станет потенциально расшифрованным. А организации окажутся в ситуации, для которой нет готового плана – и тогда начнется хаотичный и поспешный переход на альтернативные криптографические алгоритмы, которые еще не стандартизированы и не проверены».
Но такие потенциальные угрозы не отменяют работы и по уже выбранным направлениям – в частности, по развитию и внедрению квантовых технологий, которые не только представляют угрозу сфере кибербезопасности, но и могут одновременно с этим открыть для нее новые возможности защиты данных.
Как сообщил в конце минувшей недели глава Минцифры Максут Шадаев, ведомство готово взять на себя 80–90% расходов на конкретные внедрения квантовых решений в реальный бизнес при условии софинансирования со стороны компаний.
