Нещодавно, два роки тому хакерські атаки зайняли шосте місце в рейтингу глобальних ризиків, складеному експертами Всесвітнього економічного форуму. Сьогодні зломщики шпигують на користь урядів, знеструмлюють цілі міста і стають загрозою куди більш реальною, ніж глобальне потепління або ядерний конфлікт.
Нещодавно, два роки тому хакерські атаки зайняли шосте місце в рейтингу глобальних ризиків, складеному експертами Всесвітнього економічного форуму. Сьогодні зломщики шпигують на користь урядів, знеструмлюють цілі міста і стають загрозою куди більш реальною, ніж глобальне потепління або ядерний конфлікт.
Звичайна багатоповерхівка на околиці Петербурга. Стихійна парковка у дворі, дитячий майданчик під вікнами. Сьогодні тут трохи більш шумно, ніж зазвичай, — залізні двері на п’ятому поверсі ріже болгаркою поліцейський спецназ. В цей же час по іншу її сторону брати-близнюки Дмитро та Євген Попелыши намагаються змити в унітаз півмільйона рублів готівкою, флешки і сім-карти.
Менше ніж за два роки брати-хакери зламали кілька тисяч рахунків клієнтів російських банків і зняли 12,5 млн рублів. В їх підпорядкуванні перебували програмісти, трафферы (розповсюджувачі шкідливих програм, за допомогою яких хакери заволодівали рахунками), дропи — фахівці з переведення в готівку викрадених грошей, прозвонщики, які представлялися співробітниками банків.
На крадені гроші Попелыши купили кілька квартир, машини — Porsche Cayenne і BMW X5, яхти. Але керувати операціями воліли з квартири на околиці Петербурга — такий же, як і будь-яка інша в цьому районі, якби не потужна електромагнітна гармата, встановлена тут — для моментального знищення інформації на жорстких дисках на випадок візиту поліції. Такого, як сьогодні.
Залізні двері нарешті піддалася, і в квартиру увірвалися спецназівці. Слідом за ними разом з оперативниками та слідчими увійшли ще дві людини. Їх імена і зовнішність засекречені, як у співробітників спецслужб. Вони фахівці компанії Group-IB, мабуть, найвідомішою команди борців з кіберзлочинністю в країні. Їх завдання — зібрати цифрові докази для кримінального переслідування хакерів. Так, щоб і електромагнітна гармата не допомогла.
«Довгий час кіберзлочинці відчували себе в безпеці. Вони отримували незначні терміни за гігантські крадіжки. Комп’ютерний злочинець, хакер, не викликав у суспільстві негативних емоцій, на відміну, наприклад, від наркодилера. Зараз ситуація змінюється», — це цитата з блогу співзасновника та генерального директора Group-IB Іллі Сачкова.
За підсумками суду брати отримали вісім років ув’язнення. Їх справа — одна з тисячі, проведених командою Сачкова за останні 16 років. Півтори сотні справ завершилися для кіберзлочинців в’язницею.
Співзасновник Group-IB Ілля Сачков
Московський офіс Group-IB займає чотири поверхи бізнес-центру в Южнопортовом районі Москви. На скляному столику в холі акуратно розкладені журнали, на обкладинках — Ілля Сачков. Поруч чорні папки з логотипом, що нагадує емблему «Людей в чорному». Це для потенційних клієнтів — як правило, власників великого бізнесу, людей з фінансового сектора.
Захист міжнародних банків та корпорацій від кіберзлочинців — сьогодні головне джерело доходу Group-IB. При цьому, коли хакерів потрібно відправити за грати, команда Сачкова щільно співпрацює з російськими правоохоронними організаціями, Інтерполом та Європолом.
Ми йдемо по довгому коридору, повз приміщень, що нагадують одночасно і Центр управління польотами (великий екран на стіні, ряди комп’ютерів перед ним), і кімнату в студентському гуртожитку: на стінах — плакати з героями коміксів і рок-музикантами, звідкись лине голос Дженіс Джоплін.
Коли офіс тільки відкривався, Сачков особисто брав участь в його оформленні — розвішував маски Гая Фокса, борця проти режиму з фільму «V — значить вендета», а згодом — одного з найпопулярніших символів інтернет-опору; плакати з написами Hole to Another Universe («Дірка в іншу всесвіт») та «Правил успішних людей».
На одній зі стін плакат «Корисні тварини». На ньому — милі, наче намальовані для дітей-дошкільнят звірі. Під кожним — підпис. Заєць: «Не забувай піклуватися про себе». Їжачок: «Ти мило виглядаєш сьогодні». Каченя: «чини опір темряві всередині себе і вийди переможцем, укутавшись внутрішніми демонами, возродись знову».
— Це якийсь новий, недавно Ілля повісив, — усміхається один із співробітників компанії, помічаючи, що я роздивляюся плакат. Ми йдемо на зустріч з Рустамом, спеціалістом департаменту киберразведки.
На Рустама звичайні футболка і джинси. Він виглядає трохи сором’язливим.
— За останні п’ять років майже 98% відомих нам кіберзлочинів були фінансово мотивованими. Головною метою кібератак були банки та їх клієнти, — каже Рустам. — Але сьогодні тенденція змінюється. Все частіше ми спостерігаємо, як проурядові хакерські групи з різних країн здійснюють кібератаки на інші держави. Їх завдання — шпигунство або саботаж.
Якщо забити в пошуковик слова «Натанзі» і «Іран», то перша посилання приведе вас на TripAdvisor, сайт з порадами для мандрівників. Відгуки про ресторанах, музеях і готелях, тисячі фотографій — в основному мальовничі види і знімки стародавніх мечетей. Але Натанзі цікавіше, ніж здається на перший погляд. В парі годин їзди від міста, глибоко під солончакової пустелею, — завод з виробництва збагаченого урану. У величезному підземному цеху 5000 центрифуг з ураном обертаються зі швидкістю 1000 оборотів в секунду. Пізніше його використовують, наприклад, в боєголовках ядерних ракет. Територію охороняють комплекси ППО і вертольоти, озброєна охорона і бронетехніка, встановлена складна система паролів. Підприємство повністю ізольовано від інтернету.
Але коли в січні 2010-го один із співробітників заводу вставив у свій робочий комп’ютер USB-флешку, всі заходи безпеки виявилися безглуздими.
Центр реагування на інциденти інформаційної безпеки CERT Group-IB
Власник флешки не підозрював, що на ній записано вірус Stuxnet. Програма проникла в систему, перехопила управління центрифугами з ураном і прискорила їх обертання — до 1400 оборотів в секунду. Цех почав руйнуватися. Іранцям вдалося повернути собі управління, але 1000 центрифуг були знищені.
За лічені хвилини іранська ядерна програма була відкинута на кілька років назад. Про те, що це була операція американської та ізраїльської розвідки під кодовою назвою Olympic Games («Олімпійські ігри»), світ дізнався випадково — після злому серверів хакерської групи Equation Group, яка вважалася тісно пов’язаної з АНБ (Агенство національної безпеки США).
«Олімпійські ігри» стали поворотним моментом в кібервійні, що йде між державами. Медіа заговорили про хакерів як про зброю, про проурядових хакерських угруповань, які працюють за вказівкою спецслужб, і про небезпеку, яку вони можуть представляти для всього світу.
У 2017 році експерти Всесвітнього економічного форуму назвали кібератаки, які «досягли безпрецедентних масштабів», одним з головних глобальних ризиків після екологічних і геополітичних проблем. «Поки кібератакам відведено шосте місце в десятці технологічних ризиків, — прокоментував тоді засідання ВЕФ Ілля Сачков. — Але не мине й п’яти років, як ця загроза може зайняти першу сходинку». До 2019 року кібератаки увійшли в п’ятірку.
Два роки тому засідання ВЕФ минуло після атаки вірусу-шифровальщика WannaCry, однією з наймасштабніших хакерських атак в історії. За три дні програма атакувала 200 000 комп’ютерів в 150 країнах світу, включаючи мережі університетів в Китаї, заводи Renault у Франції і Nissan в Японії, телекомунікаційної компанії Telefonica в Іспанії та залізничного оператора Deutsche Bahn в Німеччині.
Атака WannaCry ледь не обернулася техногенною катастрофою, і стурбованість експертів ВЕФ легко зрозуміти. Збитки від вірусу оцінили в $1 млрд, а експерти страхового ринку lloyd’s of London вважали, що світ легко відбувся — втрати могли досягти $121 млрд. Це було б більш руйнівними, ніж шторм «Сенді» в 2012 році (збиток — $70 млрд) або ураган «Катріна» в 2005-м ($108 млрд).
Хто стояв за глобальної хакерською атакою — невідомо, але ряд світових експертів, включаючи Group-IB, вважають, що це справа рук північнокорейської проурядової групи Lazarus.
«Встановити приналежність тієї чи іншої країни до злому не просто, — розповідає Рустам. — Іноді розробники програм помилково залишають артефакти в коді, які дозволяють встановити їх рідну мову. Іноді ми проводимо так званий частотний аналіз — якщо атак було безліч, дивимося, в який час вони були здійснені і у скільки починався робочий день у тій чи іншій країні. Дані дозволяють зробити якийсь висновок».
Північнокорейські хакери з Lazarus і до цього атакували світові фінансові центри, наприклад, роком раніше — центробанки низки країн світу, включаючи російський. Але з меншим успіхом.
«У 2016 році Lazarus атакували фінансові установи Бангладеш, Росії, країн Південної Америки, Європи, — перераховує Рустам. — Вони цілилися в банки 30 держав. Нам вдалося пройти по їх сліду, що було досить складно — вони використовували тришарову структуру, поетапно заражаючи комп’ютери в різних куточках світу».
Незадовго до появи WannaCry група хакерів The Shadow Brokers опублікувала архів файлів, що належать АНБ. Згідно з документами, АНБ проводили атаки на ряд великих банків. Але не з метою розкрадання грошей. Вони хотіли простежити фінансові потоки.
Крім цих документів The Shadow Brokers опублікували інструменти для злому, якими користувалися американські хакери. Саме їх використовували Lazarus в одній з найбільш руйнівних хакерських атак в історії.
На шкіряному дивані в лабораторії комп’ютерної криміналістики Group-IB — найбільшої в Східній Європі за кількістю розкритих злочинів — сидить її керівник, 32-річний Валерій Баулін. На відміну від Сачкова, що віддає перевагу гарні костюми, Баулін не переймається зовнішнім виглядом — на ньому світлі джинси, футболка, на руці прості спортивні годинник.
У відділі Бауліна працюють 16 чоловік, в основному чоловіки, середній вік — 28 років. Основні вимоги при прийомі на роботу, не рахуючи профпідготовки, — чіткі моральні та етичні принципи. «Колишніх хакерів на роботу не беремо, якими б талановитими не були. Спокуса велика. Потрібно мати залізну силу волі, щоб відмовитися від мільйони доларів, які тобі можуть пообіцяти злочинці», — Валерій згадує про реальний пропозиції, яка надійшла одного з його підлеглих.
Чим комп’ютерна криміналістика відрізняється від звичайної? Докази — цифрові. Фахівці встановлюють, як проводилася кібератака, які інструменти використовували хакери, як викрадали і переводили в готівку гроші. У пошуках доказів доводиться перелопачувати терабайт інформації. Не так давно співробітникам Group-IB довелося розбирати дані з двох тисяч жорстких дисків з банку, в якому йшло фінансове розслідування. Фахівці лабораторії регулярно виступають на судах в якості експертів. «Жодного разу за всю історію суд не відхилив наші доводи», — з гордістю каже Валерій.
«Сьогодні ймовірність стати жертвою комп’ютерного злочину вища, ніж шанс постраждати від звичайних злочинців», — ще одна цитата з блогу Сачкова. Валерій каже, сьогодні це тренд: світові відомі випадки, коли злочинці, які займалися рекетом або розбоєм, переключаються на хакерські атаки. Для цього не обов’язково розбиратися в IT — можна найняти команду фахівців і направляти їх.
Увечері 7 березня 2019 року Венесуела почала занурюватися в пітьму. В цілих районах країни виникли перебої з електрикою. За лічені дні без світла виявилася і столиця, Каракас. У місті і окрузі почалися масові грабежі, ситуацію ускладнили виникли проблеми з водопостачанням. У повній темряві люди з смолоскипами грабували магазини.
У п’ятницю, 9 березня, міністр інформації Венесуели Хорхе Родрігес зробив заяву: проблеми з електрикою виникли в результаті кібератаки з боку США на систему управління ГЕС «Гурі». З ним не погодився Хуан Гуайдо, лідер опозиції, який звинуватив у виниклих проблемах уряд.
«Ми не можемо однозначно сказати, що сталося у Венесуелі, нам не передавали технічні дані, — каже Рустам, — але те, що такі атаки реальні, — факт. Уряди різних країн тестують такі можливості, вони цікаві їм, а отже, в ці області вливаються гроші. І світові відомі випадки, коли такі атаки проводилися».
У грудні 2015 року після атаки хакерської групи Black Energy залишилися без світла 1,4 млн осіб в Івано-Франківській області України.
«Енергетичний сектор зараз — це тестовий полігон для зломщиків, — пояснює Рустам. — Те, що ми бачимо сьогодні, — тільки перевірка можливостей. У майбутньому такі групи зможуть залишати без світла і води цілі мегаполіси».
Коли зловмисники почали працювати на спецслужби, сказати неможливо. Є дані, які вказують, що хакери діяли в інтересах США ще під час американської операції в Югославії в 1999-му, виводячи з ладу інфраструктуру і ускладнюючи зв’язок в регіоні.
До 2017 року метою вірусів-шифрувальників в основному були фізичні особи і невеликі компанії. Потім все змінилося — шифрувальники почали атакувати великі корпорації і стратегічні об’єкти — аеропорти, метро. «Сьогодні хакери — це цифрове зброю», — повторює Рустам.
Методи атак провладних угруповань все витонченішими — діючи разом зі спецслужбами, вони придумують все більш складні ходи. Якщо розвідку цікавить конкретна людина — вони можуть встановити за ним зовнішнє спостереження і визначити коло нових знайомств. А потім написати від імені нового знайомого лист. Людина його відкриє, будучи впевненим, що знає одержувача, і пройде за вказаними посиланнями. На його пристрій проникнуть шпигунські програми, здатні вести стеження, записувати аудіо і відео, заражати інші комп’ютери та керувати ними.
З Рустамом і Павлом Седаковым ми обговорюємо Китай. На сьогоднішній день у цій країні одна з найбільш розвинених систем відеоспостереження з функцією розпізнавання осіб На китайських серверах формується база даних з детальним досьє на кожного громадянина країни. «Наскільки я пам’ятаю, Китай зараз намагається зібрати всю інформацію про своїх мешканців. У тому числі у них особлива контртерористична база, — міркує Рустам. — На сервері будуть дані про всіх, включаючи військовослужбовців і людей з держсектора. Страшно уявити, що з цією інформацією можна зробити, якби вона потрапила не в ті руки».
Ми згадуємо додаток Get Contact, отримало вірусну популярність в Росії минулого літа. Забивши в програму будь-який телефон, ви могли побачити, як адресат записаний в телефонних книжках десятків інших людей. «Додаток сливало вашу адресну книгу в загальну базу. Відомі випадки, коли чоловік вводив ім’я свого знайомого — умовно, Антона — і бачив, що у кого-то він записаний «Антон СВР» (СЗР — Служба зовнішньої розвідки Росії). На цьому прикладі я хочу показати, наскільки сумні можуть бути наслідки зливу для людей, наприклад, що працюють під прикриттям».
В одній зі своїх лекцій Сачков говорить про розвиток системи «розумних» міст — коли різні функції, починаючи від водопостачання та електрики, закінчуючи системою світлофорів і вивезенням сміття, будуть контролюватися через інтернет автоматизованими алгоритмами. Складно уявити, в який хаос може занурити це місто ретельно спланована хакерська атака.
Що може захистити нас від можливої технологічної катастрофи?
«Ми часто говоримо власникам компаній, що співробітників необхідно навчати цифровий гігієни, — каже Рустам, — в найближчому майбутньому навчати дітей комп’ютерної грамотності буде так само логічно, як вчити дивитися по сторонах, переходячи дорогу. Коли проти хакерів ніщо не спрацює — ні залізо, ні фахівці, — останнім, хто зможе запобігти катастрофі, буде людина.»
Матеріал був вперше опублікований на сайті Esquire.ru.
Thanks!
Our editors are notified.