ENGПо разным оценкам, в поисковую выдачу «Яндекс» и Google попадает не более 4% сайтов. От поисковых машин скрыто множество ресурсов — тематических форумов, торговых площадок и корпоративных порталов, образующих так называемый DeepWeb. Ограничений по доступу к большинству нет, просто необходимо знать прямой адрес сайта и быть зарегистрированным на заветном ресурсе. Но есть в сети и более закрытые территории — это DarkWeb, ресурсы которого нередко посвящены контрафактным товарам, торговле оружием, наркотикам и иным незаконным сферам деятельности. Что ищут в DarkWeb хакеры и реально ли бизнесу защититься от угроз из «интернет-глубин», мы спросили у аналитика информационной безопасности компании Positive Technologies Вадима Соловьева.
— Вадим, DarkWeb и DeepWeb часто путают, а существует еще и DarkNet… Что есть что в современном интернете?
— Тематические сайты и торговые площадки в DeepWeb, посвященные оружию, хакерству и т.д. , образуют множество ресурсов DarkWeb. DarkNet (или даркнет) — это, в свою очередь, технология. Вообще, термин появился в 1970-х гг. и использовался для обозначения сетей, изолированных от ARPANET, которая впоследствии эволюционировала в интернет. Даркнеты могли получать данные от ARPANET, но имели такие адреса, которые не появлялись в списках сетей и не отвечали на запросы извне. Если доступ к сайтам DarkWeb можно получить через обычный браузер, зайти на ресурсы DarkNet получится лишь с помощью специального ПО. Вспомните, например, Tor-браузер или сайты с доменом .onion, на которые не зайти привычным способом.
— Для чего создавались эти сети?
— Изначально технология задумывалась как безопасная среда для передачи информации, но в итоге нашла признание в криминальных кругах из-за высокого уровня анонимности. Сегодня теневые сети используются в том числе частными лицами для защиты частной жизни, журналистами — для безопасного общения с информаторами и пр. Преступные группировки используют возможность создания в DarkNet анонимных скрытых серверов: здесь могут размещаются нелегальные форумы и торговые площадки.
— Рядовые пользователи в курсе, что есть DarkNet?
— Если мы говорим о технологии, то, к примеру, сеть Tor и Tor-браузер, который обеспечивает к ней доступ, получили популярность на фоне скандала вокруг Эварда Сноудена и последующего всплеска озабоченности собственной анонимностью. Но пользователи вкладывают в понятие и другой смысл: нередко для них это некое виртуальное место, где обитают киберпреступники, в том числе финансовые мошенники и др. Здесь даркнет сильно пересекается с дарквебом, поскольку нередко закрытые сайты имеют копии в сети Tor. В последние несколько лет к ним добавились закрытые группы и каналы в мессенджерах, среди которых наибольшее распространение получил Telegram.
— Что можно найти в даркнете?
— Например, в 2017 году на волне роста криптовалют широкое распространение получило ПО для скрытого майнинга. Его доля на теневом рынке была около 20%, а доля кибератак с применением этого типа вредоносного ПО (ВПО) в первом квартале 2018 г. составила 23%. Рост интереса к криптопроектам привел к большому распространению троянов для кражи данных, направленных, в частности, на хищение средств с криптокошельков. В общем объеме предложений о продаже ВПО на долю стилеров приходится 11%, при этом они входили в тройку наиболее распространенных видов троянов по числу киберинцидентов, зарегистрированных в третьем квартале 2018 года. Наибольшим же спросом в дарквебе пользуются услуги, связанные с созданием и распространением вредоносного ПО (55%), а также взлом почты, сайтов и удаленных серверов (17%). Предложения чаще всего связаны с ВПО (28%). В то же время значительное количество предложений приходится на хостинги и VPN-сервисы (26%), сервисы по накрутке просмотров, лайков, постов и т.п. , использующие ресурсы ботнетов (16%), а также на услуги по обналичиванию денег (10%). Всего на этом рынке представлено более 50 различных категорий товаров и услуг, которые в совокупности могут быть использованы для организации любой атаки.
— Получается, киберпреступники заглядывают в дарквеб, как в супермаркет. Наверное, и атаки стало проводить проще?
— В 2018 году мы провели детальный анализ рынка преступных киберуслуг и попытались оценить, нужны ли вообще киберпреступнику специализированные знания? Или для реализации атаки достаточно обратиться к представителям теневого рынка? Мы пришли к выводу, что сегодня практически стерлась грань между преступностью и киберпреступностью: провести кибератаку может едва ли не каждый. При этом современный киберпреступник — это в большинстве случаев группировка; одиночек, организующих атаку от начала и до конца, нет. Современные кибератаки стали сложнее, основываются на использовании купленных и арендованных у третьих лиц разработок и серверов, что заставляет кооперироваться. Успешный киберпреступник — это хороший управленец, который набрал команду, а сам, возможно, вообще не является программистом. Все это существенно затрудняет атрибуцию атак при расследовании, а также увеличивает общее число вовлеченных в киберкриминальную деятельность субъектов.
— Какие инструменты для атак на черном рынке самые дорогие?
— Наиболее дорогим оказалось ВПО для банкоматов — цены начинаются от $1500. Это неудивительно, ведь его изготовление крайне трудозатратно: разработка требует не только хороших навыков программирования, но и знания внутреннего устройства банкоматов разных производителей. К тому же с его помощью преступники могут получить существенную прибыль. Так, в один банкомат помещается порядка 8000 купюр разного номинала, что эквивалентно примерно 8 млн рублей. Одно ВПО можно использовать для атак сразу на множество однотипных банкоматов.
— Есть ли способы борьбы с даркнетом?
— Бороться стоит не с даркнетом: скорее, нужно эффективнее противодействовать растущей активности киберпреступников и усложнившимся атакам. Пока всеобщая безопасность спотыкается о грабли несоблюдения основ кибергигиены: в пугающем количестве аудитов мы сталкиваемся с необновленным ПО, с отсутствием культуры патч-менеджмента, с дырявым периметром. В сухом остатке мы имеем общий рост числа инцидентов (по нашей оценке, в этом году число инцидентов ежеквартально увеличивалось на треть). Нередко производители в погоне за скоростью вывода новых продуктов на рынок и выпуска обновлений не уделяют достаточного внимания вопросам кибербезопасности. Сегодня компании скорее не готовы выявить и остановить целевую атаку в момент ее проведения из-за несовершенства систем информационной безопасности и неготовности персонала. Но важно как минимум остановить атаку на последующих шагах, пока нарушители еще не похитили данные, деньги, не вывели из строя критически значимую систему. Тут может помочь ретроспективный анализ: он выявит пропущенные инциденты, воссоздаст последовательность событий и определит вектор атаки, которая была пропущена.
— Может компания справиться с этим в одиночку?
— Расследование киберпреступлений — комплексная задача, которая требует большого числа компетенций. Поэтому распространенной практикой в России и мире является привлечение к расследованию экспертов из крупных компаний рынка информационной безопасности. К сожалению, часто пострадавшие компании не проводят расследования должным образом. Но в случаях, когда высококлассная команда выполняет подобные работы и по их итогам предлагает рекомендации по защите инфраструктуры, это на порядок повышает защищенность организации, а также усложняет и удорожает ее взлом для злоумышленников. Отметим, что высокая сложность расследования киберпреступлений в большей степени связана с тем, что злоумышленник и жертва могут находиться в разных странах — даже на разных континентах. Для успешной поимки преступников правоохранительным органам разных стран необходимо обмениваться информацией по расследованию и проводить совместные операции. Существующими недочетами такого обмена, в свою очередь, активно пользуются международные группировки киберпреступников.
Беседовала Ольга Блинова
