Взлом на продажу: в Сети появились маркетплейсы для хакеров

Киберпреступникам предлагают арендовать заранее зараженные гаджеты
Дмитрий Булгаков
Фото: ИЗВЕСТИЯ/Сергей Лантюхов

Киберпреступники стали предлагать своим «коллегам» в аренду зараженные устройства для проведения атак — об этом предупредили эксперты. Предложения об аренде скомпрометированных гаджетов размещаются на так называемых прокси-маркетплейсах, причем в течение всего десяти минут с момента заражения устройства. Подробности о том, как работают хакерские маркетплейсы и какие опасности несет в себе подобный теневой бизнес, читайте в материале «Известий».

Маркетплейс для хакера

О появлении в Сети прокси-маркетплейсов сообщили специалисты компании Trend Micro. Эксперты выяснили, что хакерская группа Water Barghest превращает тысячи уязвимых IoT-устройств (смартфонов, компьютеров и других гаджетов) в прокси-сети всего за несколько минут с момента их компрометации. Начиная с 2020 года злоумышленники при помощи автоматизированных инструментов смогли заразить более 20 тыс. устройств.

Причем хакеры из Water Barghest не просто заражают гаджеты: они предоставляют их в аренду другим киберпреступникам при помощи так называемых прокси-маркетплейсов. От изначального заражения устройства до размещения на маркетплейсе проходит менее десяти минут. После установки программа соединяется с серверами управления и проверяет соединение.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Затем гаджет автоматически добавляется на прокси-маркетплейс, где им могут воспользоваться другие хакеры как для атак, так и для похищения данных с гаджета. Плюс такой схемы для киберпреступников состоит в том, что они получают анонимизацию с географически правдоподобными IP-адресами. Правда, поскольку вредоносное программное обеспечение запускается в оперативной памяти устройств, это заражение легко устранить — достаточно всего лишь перезагрузить гаджет.

— Суть работы прокси-маркетплейсов в том, что за сравнительно небольшие деньги можно получить доступ к множеству прокси/ботнету, — говорит в беседе с «Известиями» начальник отдела по информационной безопасности компании «Код безопасности» Алексей Коробченко. — То есть злоумышленнику не нужно самому готовить инфраструктуру, заражать большое количество уязвимых устройств, а можно просто прийти на специализированный сервис и взять ботнет в аренду.

Удобная атака

По словам Алексея Коробченко, аренды, подобные той, о которой рассказали эксперты Trend Micro, в настоящее время очень популярны в мире мошенников и хакеров, поскольку позволяют совершать преступления даже при невысоком уровне знаний. Например, модель Ransomware-as-a-Service (Raas) работает по тому же принципу: желающие покупают уже готовые и проверенные вредоносные программы, за счет чего растет количество и качество атак по всему миру.

Фото: ИЗВЕСТИЯ/Сергей Лантюхов

— Наличие прокси-маркетплейсов существенно экономит время злоумышленникам, а самое главное, снижает уровень «шума» от них, — говорит руководитель Лаборатории стратегического развития продуктов кибербезопасности аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников. — Достаточно просто купить доступ и использовать его, а при необходимости повторить, сменив проксирующее устройство.

Собеседник «Известий» дополняет, что прокси-маркетплейсы помогают хакерам максимально анонимизировать свое присутствие в Сети и проводить атаки с удобством. В свою очередь, директор центра компетенций по информационной безопасности «Т1 Интеграция» Виктор Гулевич указывает на то, что растущая популярность прокси-маркетплейсов среди хакеров объясняется упрощением процесса анонимизации и способностью менять геолокацию IP-адреса под нужный регион, что особенно привлекательно для атак на конкретные страны или регионы. Это устраняет необходимость в разработке собственных прокси-решений, облегчая работу злоумышленников.

— Ранее в даркнете велась торговля доступом к межсетевым экранам, криптошлюзам и взломанным корпоративным сетям, — отмечает в беседе с «Известиями» Дмитрий Овчинников. — Услуги, аналогичные прокси-маркетплейсам, скорее всего, оказывались в частном порядке, но, видимо, спрос на них в последнее время вырос — и они стали монетизироваться максимально широко.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Предшественниками прокси-маркетплейсов Виктор Гулевич называет атаки ботнетов типа Mirai, которые также использовали IoT-устройства для создания прокси-сетей. Такие сети использовались для DDoS-атак и анонимизации действий злоумышленников.

Возможности взлома

Такие модели аренды, как прокси-маркетплейсы, делают хакерские атаки более доступными и снижают порог вхождения в сферу киберпреступности, говорит Алексей Коробченко. Если раньше типичный портрет хакера предполагал, что это довольно сведущий в технологиях человек, то сейчас им может быть любой — достаточно иметь определенную сумму денег.

— Кроме того, использование прокси-маркетплейсов создает повышенные риски безопасности, ведь взломанные устройства могут определенное время находиться в «спящем» режиме, а затем разом превратиться в ботнет и подключиться к мощной атаке, — отмечает собеседник «Известий». — Таким образом, ее будет сложнее отразить, не говоря уже о том, что модель аренд осложняет идентификацию организаторов модели.

Фото: ИЗВЕСТИЯ/Андрей Эрштрем

Дмитрий Овчинников дополняет, что возможность быстро купить взломанное прокси-устройство в любой точке мира позволяет достаточно хорошо снизить уровень «шума» и открывает большие возможности для ведения преступной деятельности. Подобные устройства не внесены в списки скомпрометированных, а значит, трафик от них будет восприниматься нейтрально на системах защиты информации. Кроме того, это отлично помогает хакерам запутать следы своей деятельности и географически разнести их.

Механизмы защиты

Рекомендации по защите от таких угроз, как прокси-маркетплейсы, в первую очередь относятся к пользователям IoT и других подключенных к Сети устройств — важно не допускать их компрометации, говорит в беседе с «Известиями» эксперт Kaspersky ICS CERT Владимир Дащенко.

— Важно регулярно обновлять прошивки умных устройств, менять пароли на сложные, а также проверять в настройках умного устройства наличие базовых механизмов защиты — от перебора пароля, сканирования портов и так далее, — рассказывает специалист.

Фото: ИЗВЕСТИЯ/Александр Казаков

Дмитрий Овчинников дополняет, что, если это не требуется по работе, не стоит выставлять устройства в сеть интернет. Кроме того, если есть возможность, гаджеты должны находиться за межсетевым экраном. Помните, что любое устройство, выставленное в Сеть, становится объектом внимания хакеров и нуждается в защите.

В свою очередь, компаниям Алексей Коробченко рекомендует выстраивать эшелонированную защиту корпоративной сети, а также свои (или отдавать на аутсорсинг) процессы мониторинга и реагирования. А с точки зрения государства необходимо более пристально смотреть за деятельностью таких сервисов, как прокси-маркетплейсы, и в случае обнаружения фактов работы на «темной стороне» своевременно проводить определенные мероприятия по их нейтрализации, заключает эксперт.