Специалисты ведущей российской антивирусной компании «Лаборатория Касперского» подробно рассказали о том, что представляет из себя мировое хакерское сообщество.
По их словам, оно состоит из 14 групп с чёткой специализацией.
Самая многочисленная – это финансовые киберпреступники, организаующие атаки на банковскую инфраструктуру, бизнес и физических лиц. Самая технически продвинутая – группа, занимающаяся созданием шпионских программ.
Всего в мире несколько десятков тысяч хакеров. Большинство из них взаимодействуют на полузакрытых или закрытых форумах, попасть куда крайне непросто – нужно заплатить немаленькую сумму или получить рекомендацию от человека с «репутацией». В компаниях, которые занимаются разработкой антивирусных технологий, принято направлять на такие форумы своих сотрудников. Например, в «Лаборатории Касперского» есть люди, в задачи которых входит мониторинг разговоров в дарквебе. Учётные записи, которыми сотрудники «Лаборатории» пользуются для мониторинга этих форумов, тщательно оберегаются.
На таких площадках обсуждаются темы обхода антивирусной защиты, появляются базы данных, хакеры делятся образцами кода. На самых популярных полузакрытых форумах сидят тысячи пользователей. Ежедневно там появляется 20–30 новых тем. На совсем закрытых площадках, куда можно попасть, только обладая определённой репутацией, одновременно пребывают сотни человек.
Хакеры, которые переходят из категории «единомышленников» в категорию «сообщников», собираясь в группы для взломов банков и аналогичных операций, общаются между собой уже не на форумах. Обычно в такой группе 5-7 человек, которые связываются через анонимные мессенджеры.
Хакеры «высшей категории», разработчики шпионского ПО, на форумах, как правило, вообще не появляются, хотя иногда заимствуют инструменты взлома у финансовых группировок.
Расследование «Лаборатории Касперского» показало, что вредоносное ПО входит в топ-4 наиболее часто продающихся в дарквебе продуктов, а услуги, связанные с его разработкой, находятся на втором месте по популярности.
Элитный эшелон хакерской массы включает несколько сотен человек – высококвалифицированных программистов, обладающих серьёзным техническим обеспечением. В отличие от рядовых хакеров, они способны находить уязвимости нулевого дня (неустранённые уязвимости, против которых еще не разработаны защитные механизмы).
В каждом конкретном «проекте» по похищению средств, как правило, фигурирует «менеджер», определяющий инструменты и векторы, наиболее подходящие для решения поставленной задачи. Он изучает инфраструктуру объекта, выбирает нужные технологии и людей с соответствующими компетенциями.
Например, при атаке на банкоматы координация – важнейшая часть операции, гораздо важнее технической составляющей. Координатор следит за каждым этапом операции и решает, когда перейти к следующему, кому из команды и в какой момент действовать, что именно делать. Он должен оперативно реагировать на изменение ситуации. Чтобы за несколько минут собрать с десятков банкоматов одновременно выдаваемые наличные, логистическая схема должна быть доведена до совершенства. Успех операции полностью зависит от координатора.
Другой важный для цепочки человек – инсайдер, который, находясь внутри атакуемой компании, «сливает» информацию или выполняет инструкции на месте.
Существуют и компании, которые занимаются легальным хакингом. Они ни от кого не прячутся, активно рекламируют и продают разработанные программы в другие страны. В учредительных бумагах этих фирм, как правило, указано, что они занимаются «продажей и сопровождением ПО». Самые известные компании такого рода – Hacking Team и FinSpy. Они занимаются разработкой программного обеспечения, предназначенного для оценки защищённости и инструментов для проведения тестов на проникновение. Однако это всего лишь инструментарий, и ответственности за то, как его будет использовать конечный потребитель, изготовитель не несет. Поэтому в ряде случаев эти вполне легитимные инструменты могут быть использованы злоумышленниками.
Больше всего в хакерском бизнесе рискуют «дропы» — люди, взаимодействующие с физическим миром. Они могут заниматься обналичкой или обменом украденных данных на реальные товары. Например, такой человек может доставлять по определённому адресу ноутбук, который куплен на деньги с краденой кредитной карты.
Интересный вопрос – численность хакеров в России. Когда в январе 2018 года была создана рабочая группа МВД России и Сбербанка, то зампред банка Станислав Кузнецов рассказал, что хакеров, которые совершают киберпреступления на постоянной основе, в РФ насчитывается приблизительно 800-900 человек.