«В ситуации с Colonial Pipeline вину на «интерна» свалить не получится»
Кооперация спецслужб России и США позволит решить большую часть криминальных проблем в киберпространстве, сказал в интервью «Известиям» эксперт-аналитик американской компании Recorded Future, специализирующейся на информационной безопасности, Дмитрий Смилянец. В прошлом он был участником хакерской группировки из России, а сейчас — представитель разведывательного сообщества и занимается сбором информации о киберпреступниках из открытых источников. Эксперт считает, что атака на нефтепровод Colonial Pipeline в США может стать поворотным моментом в отношении государств к хакерам. Власти стран должны объединить усилия для предупреждения подобных и более страшных инцидентов, уверен специалист. Ведь, если верить некоторым злоумышленникам, у хакеров может быть доступ к более важной инфраструктуре, в том числе к пусковым ракетным установкам и атомным электростанциям, рассказал Дмитрий Смилянец.
— Говорят, хакеры-вымогатели стали киберугрозой номер один. Что стало переломным моментом, после которого этот метод стал столь популярен?
— В прошлом году весь мир увидел, как крупные интернациональные компании по итогу вымогательских атак были вынуждены заплатить злоумышленникам большие суммы, чтобы вернуть свои данные и возобновить работу компьютерных сетей. Крупнейшие группировки вроде REvil, Conti, NetWalker только в прошлом году суммарно «заработали» сотни миллионов долларов. Информация об успешных атаках сильно раскручивалась в медиа. Глядя на успехи коллег, многие киберпреступники быстро перепрофилировались и создали что-то вроде индустрии, ядром которой стала модель Ransomware as a Service (RaaS) — «вымогательство как сервис». По ней вымогательские инструменты хакеров распространяются как платная услуга. Также молодые и талантливые ребята, которые, возможно, ранее не переступали черту закона, начали и продолжают подключаться к преступной деятельности. Ведь RaaS обеспечивает относительно низкий порог входа в этот «бизнес».
— Можете кратко описать сценарий вымогательской кампании?
— Начинается всё с заражения сети через, например, фишинг или купленный в маркете VPN-доступ к удаленному управлению компьютером. Дальше от имени администратора домена запускается вирус и шифруются данные на всех устройствах в сети. Затем оставляется записка формата readme.txt с рекомендуемыми для жертвы действиями, где ей предлагается пройти по ссылке на сайт. Там можно пообщаться с оператором — главным участником атаки, а также получить ключи для расшифровки после оплаты.
— Случаются ли атаки по недосмотру партнеров оператора, как в случае с DarkSide и Colonial Pipeline (крупнейший нефтяной трубопровод на восточном побережье США атаковали 7 мая, система остановила работу на пять дней)?
— Я сомневаюсь, что инцидент с Colonial Pipeline на самом деле случился по недосмотру. Операторы шифровальщиков дают хакерам доступ в свою инфраструктуру, за которую они отвечают. Криминальная инфраструктура, в данном случае панель администрирования, показывает текущие активные соединения: видно, кто что из партнеров делает. Также проводится аналитика по годовому обороту компании, чтобы выставить максимальную цену выкупа. В этом ключе Colonial Pipeline не похожа на случайную жертву. К тому же все участники процесса постоянно общаются друг с другом. В такой ситуации вину на «интерна» свалить не получится.
— Как долго будет расти индустрия вымогательства?
— Думаю, эта отрасль уже достигла своего пика. В начале мая преступная группировка DarkSide парализовала компьютерную сеть Colonial Pipeline. Это мощная атака на критическую инфраструктуру большой страны. Вполне вероятно, этот инцидент станет поворотным моментом в отношении государств к шифровальщикам и вымогателям. Частично этот поворот можно наблюдать прямо сейчас. После инцидента с Colonial Pipeline президент США выступил с обращением к нации и утвердил ряд законов, направленных на укрепление информационной инфраструктуры государственных и частных организаций.
— Как к растущему вниманию относятся сами хакеры?
— Операторы программ-вымогателей не слепые и не глухие. Уже закрылись такие крупные группировки, как Maze, Egregor и DarkSide. Последние после атаки на Colonial Pipeline попутно заявили, что аполитичны и вообще «хорошие ребята». Babuk после хищения сотен гигабайт данных из сети полицейского департамента города Вашингтон заявили о смене деятельности и просят другие группировки не выяснять отношения публично — не мешать «бизнесу». Другие на теневых форумах призывают отказаться от вирусов-шифровальщиков и признать закат короткой эпохи вымогателей. Однако в подобные заявления с трудом верится, поэтому они нередко вызывают недоумение и смех у всего разведывательного сообщества.
— Какое самое мощное и в то же время сомнительное заявление вы слышали от хакеров?
— В марте я брал интервью у представителя REvil. Хакер заявил, что несколько его партнеров имеют доступ к системе запуска баллистических ракет, крейсеру ВМС США, атомной электростанции и оружейной фабрике. Не знаю, сколько правды в этих словах, но, принимая во внимание эпатажность REvil, не исключаю, что оператор приукрасил свои возможности для привлечения внимания.
— Часто ли среди группировок бывают упомянутые вами публичные разборки?
— Не скажу, что часто, но бывает. Особенно любопытно наблюдать за перепалками, когда они выходят за рамки приватного чата и публикуются на закрытых форумах. Любая утечка такого рода является ценной для исследователей информационной безопасности, так как дает понять, как складываются отношения внутри группировок и каких трендов они придерживаются. Причиной конфликта часто являются невыполненные условия: неоплаченная работа или непредоставленная услуга. В этом плане деятельность хакеров ничем не отличается от традиционного бизнеса.
— Можете привести пример такой разборки?
— В конце апреля на Conti пожаловался партнер — Signature (здесь и далее речь о жалобах в администрации закрытых хакерских форумов. — «Известия»). Оператор не оплатил работу подельника и получил претензию на сумму $2 млн. Следом в разборку вмешался Unknown, представитель REvil, и выставил «иск» против Signature на $7 млн. В итоге автор первого «иска» подал еще один — против Unknown — на те же $7 млн.
Еще один пример. Буквально на днях четыре партнера DarkSide выставили претензии к darksupp, представителю и оператору DarkSide. По той же причине: партнерам не выплатили проценты за оказанные услуги. DarkSide получила биткоины от жертв, но не оплатила работу тех самых хакеров, которые взламывали жертв.
— Кто следит за этими выплатами?
— На каждом крупном закрытом форуме есть гарант и арбитр, доверенные лица, которые следят за распределением денег и добросовестностью участников криминальных операций. Когда сделка идет вопреки оговоренным условиям, недовольная сторона может устроить публичное разбирательство на форуме. Для пользователей с хорошей репутацией получение такой претензии немыслимо. Обычно выплаты вымогателям проходят автоматически, из «горячего» кошелька, где лежит выкуп до его распределения между участниками атаки.
— Почему российские компании реже страдают от вымогателей, чем американские и европейские?
— Есть старое доброе правило: не работать по «ру», а то придут по утру. Оно было сформировано российскими киберпреступниками в начале 2000-х годов. Правило продолжает действовать и сейчас. Большинство группировок внедряют его принцип в свой софт, исключая тем самым случайные атаки на бизнесы России и СНГ. Например, часть программ-вымогателей не срабатывает на компьютерах с включенными кириллическими раскладками клавиатуры.
— Почему даже после таких совпадений сложно доказать причастность той или иной группировки к России?
— Главная проблема — в отсутствии рабочей группы, которая объединяла бы усилия американских и российских спецслужб в поисках киберпреступников. При этом я верю, что ФСБ способна оперативно идентифицировать и остановить вымогателя, если такая задача будет поставлена. Гипотетически озвученная задача может быть поставлена, если США выдвинут новые санкции из-за шифровальщиков. Но я сомневаюсь, что Россия будет работать из-под палки. Чтобы решить проблему, двум странам нужно начать сотрудничать, а не давить друг на друга.
Президент США Джо Байден во время выступления по поводу ситуации с трубопроводом Colonial Pipeline, 13 мая 2021 года
— Силовики курируют хакеров, работающих из России?
— Не знаю. Но могу обратить ваше внимание на следующую корреляцию. Спустя сутки после обращения [президента США Джо] Байдена к нации, в котором он связал атаку на Colonial Pipeline с Россией и рекомендовал Москве обратить на это внимание, администратор хакерского форума XSS запретил размещение рекламы шифровальщиков на своей площадке. За ними последовали администраторы площадок Exploit и Raid Forums. Примерно в то же время инфраструктура DarkSide ушла в офлайн. Вероятно, таким образом администраторы решили отвести от себя подозрения в случае визита специалистов силовых структур на форумы. A DarkSide заявили, что сами подверглись атаке.
— Операторы вымогателей — это только русскоязычные группировки?
— Конечно, нет. На радаре — Иран, Северная Корея, Латинская Америка. Но самую большую активность проявляют выходцы из бывшего Советского Союза. Я связываю это с тем, что на территории постсоветского пространства прекрасное техническое образование и низкая занятость специалистов. Другие немаловажные факторы — сложившаяся геополитическая обстановка и отсутствие рабочей группы и взаимодействия по вопросам компьютерных преступлений между Россией и другими государствами.
— Почему в СМИ редко обсуждается деятельность американских киберпреступников?
— Во-первых, их гораздо меньше. Во-вторых, там, где они обитают, до них можно дотянуться и арестовать. К примеру, в январе в Канаде был пойман и осужден член группировки Netwalker. Ну и, раз уж на то пошло, одна из первых группировок-вымогателей — thedarkoverlord — родом из Европы.
— Что должно случиться, чтобы популярность вирусов-вымогателей сошла на нет?
— Должны начаться кооперация по линии Интерпола и партнерство между США и Россией. Это решило бы большую часть криминальных проблем в киберпространстве.
