© ComNews
12.10.2018

В Москве прошла ежегодная конференция CyberCrimeCon. Данный форум состоялся уже в шестой раз и в этом году поменял место проведения и формат.

Как отметил в своем выступлении сооснователь и генеральный директор Group-IB Илья Сачков, цель конференции прежде всего просветительская. Илья Сачков указал на то обстоятельство, что он не видит парадокса в том, что атаки на, казалось бы, хорошо защищенные компании оказываются успешными. Но не все видят цепочку событий, за которыми стоят те или иные сообщения технических средств защиты. Оставляет желать лучшего и обмен информацией об инцидентах, как между компаниями, так и между странами.

"Финансовая мотивация по-прежнему превалирует среди APT-групп (advanced persistent threat - Прим. ComNews), однако хищение денег - не самое страшное, что может случиться с финансовой организацией, - говорит Илья Сачков. - Поскольку во многих странах мира банки являются объектами критической инфраструктуры, они оказались в числе мишеней для прогосударственных хакерских групп, специализирующихся на диверсиях и саботаже. Одна успешная кибератака может привести как к ликвидации самой кредитно-финансовой организации, так и к коллапсу финансовой системы государства. В связи с этим банки должны пересмотреть подход к системе защиты от киберугроз: оборонительная стратегия уже себя исчерпала. Пора стать охотником, а не мишенью для атак".

Group-IB выделяет четыре преступных хакерских группы, представляющих реальную угрозу для финансового сектора: они способны не только проникнуть в сеть банка, добраться до изолированных финансовых систем, но и успешно вывести деньги через SWIFT, АРМ КБР, карточный процессинг и банкоматы. Речь идет о группах Cobalt, MoneyTaker, Silence, состоящих из русскоговорящих хакеров, а также о северокорейской Lazarus.

При этом в России, по данным экспертов Group-IB, не осталось ни одной группы, которая бы занималась хищениями у физических лиц с использованием банковских троянов для персональных компьютеров. Снижение угроз со стороны банковских троянов для ПК в России продолжается с 2012 г. В отличие от России, на мировой арене ландшафт киберугроз изменился значительно сильнее. Появилось шесть новых банковских троянов для ПК - IcedID, BackSwap, DanaBot, MnuBot, Osiris и Xbot.

Значительно выросло количество преступлений, совершенных с использованием web-фишинга, фейковых сайтов банков, платежных систем, телеком-операторов, интернет-магазинов и известных брендов. С помощью web-фишинга злоумышленникам удалось похитить 251 млн руб., что на 6% больше по сравнению с показателем прошлого периода.

Фишинг также активно используется для продвижения сайтов, распространяющих разного рода контрафактную продукцию. И в целом задача защиты бренда является крайне актуальной для российских компаний в последние несколько лет. Всего же объем онлайн-рынка торговли контрафактной продукцией в России за год вырос на 23% и составил свыше 100 млрд руб. в 2017 г., по сравнению с 81 млрд в 2016 г.

Как отмечает Илья Сачков, для победы над киберпреступностью необходима синхронизация законодательства на уровне государств, удар по экономической базе и каналам финансирования злоумышленников, введение моратория на разработку и продажу цифрового оружия, которое может оказаться в руках у киберпреступников. "Кибербезопасность должна стать приоритетом, парадигмой для граждан, бизнеса и государств. Считается, что противодействие киберугрозам - типичное соревнование брони и снаряда. Именно поэтому сейчас изменилась сама парадигма защиты: главная идея - быть на несколько шагов впереди киберпреступников и не допустить преступления вообще".

В целом такую же позицию высказал офицер по расследованию цифровых преступлений Интерпола Реймонд Чао. Особенно на фоне того, что киберпреступность эволюционирует очень быстро и за этим процессом не успевает законодательство, правоприменительная практика и приемы работы правоохранительных структур. Тем не менее Интерпол меняет практику своей работы с реактивной на проактивную, направленную на предотвращение угроз, а не на запоздалое реагирование на них.

Появляются и новые угрозы, некоторые из них просто не детектируются техническими средствами защиты. "Сегодня производители продуктов для кибербезопасности предлагают эффективные способы борьбы с вредоносными программами, проникающими в компьютерные системы, однако никакая антивирусная программа не поможет, когда проблема находится на уровне прошивки, на уровне оборудования. Во-первых, заражение оборудования через существующую уязвимость сложно детектировать. Во-вторых, эту проблему сложно устранить. Комбинация side-channel атаки с аппаратной уязвимостью, которая позволяет выполнять множество действий в операционной системе, открывает новые возможности заражать устройства незаметно. Если устройство скомпрометировано таким образом, то переустановка операционной системы или даже выброс жесткого диска не решит проблему. Неважно, где вы находитесь, как только вы подключите устройство к интернету, преступник будет иметь над ним полный контроль", - предупреждает технический директор, руководитель Threat Intelligence, сооснователь Group-IB Дмитрий Волков.

И готовые наборы инструментов, эксплуатирующих уязвимости BIOS/UEFI, уже есть и активно применяются, а появление аналогичных средств, которые позволят воспользоваться обнаруженными в начале года серьезными прорехами в защите процессоров x86 и ARM, является делом самого ближайшего времени.