11 Июня 2016, 10:00

The Atlantic: как организованы сети российских хакеров и сколько они зарабатывают

Чаще всего современные киберпреступления — просто примитивная работа за небольшие деньги. Это обнаружила команда специалистов по компьютерной безопасности, внедрившихся в российскую хакерскую сеть. Об их расследовании пишет в The Atlantic Кавех Уодделл


В полутемной комнате над ноутбуком склонился человек. Пристальный взгляд из-под черной лыжной маски, руки в перчатках. Освещает его только мертвенное сияние компьютерного экрана.

Так в кино и на телевидении то и дело изображают зловредных хакеров. Добавьте к этому разноголосицу сенсационных новостей о том, как кибератаки потрясли американское правительство, как в заложники взяли информационную сеть больниц целого города, как обманули международную банковскую систему, — и хакеры покажутся всемогущими суперзлодеями.

Но реальность, как обычно и бывает, не столь драматична. Хотя некоторые из крупнейших кибератак были работой групп хакеров с государственной поддержкой — например, взлом базы данных Службы управления персоналом США, затронувший миллионы американцев, или атака на сервера Sony Pictures Entertainment, в результате которой были раскрыты интимные тайны голливудских звезд, — огромное большинство постоянно происходящих в мире компьютерных правонарушений совершают самые обычные люди.

Для многих киберпреступников взлом — просто работа, в которой нет ничего романтичного.

Это выяснила группа специалистов по компьютерной безопасности, которым в начале этого года удалось внедриться в хакерскую сеть, базирующуюся в России, и отслеживать ее деятельность в течение пяти месяцев. Расследование организовала американская компания Flashpoint, которая занимается исследованием угроз, исходящих из «темного» интернета.

Операция под прикрытием началась, когда обнаружили запись на русском хакерском форуме в «темной сети» — части интернета, недоступной для обычных пользователей, — которая очень напоминала посты типа «стань богачом моментально», какие можно встретить в соцсетях.

«Добрый день. Это предложение для тех, кто хочет заработать много денег, скажем так, не самым праведным способом — так, согласно отчету Flashpoint, начиналось объявление. — От вас не потребуются никакие вступительные или авансовые платежи, только большое и чистое желание заработать деньги в ваше свободное время» (русский оригинал записи сейчас недоступен, текст приведен в обратном переводе с английского на русский. — Открытая Россия).

Дальше говорилось, что какой-либо особенный опыт от кандидатов не требуется. Задания мог выполнить «даже школьник», и за работу, не сопряженную с большим риском, можно было получить большое вознаграждение. Исследователи из Flashpoint создали фальшивый аккаунт и ответили.

Они получили работу и оказались внутри маленькой сети киберпреступников. В этой сети не было жесткой организационной структуры — был один босс, который перепоручал большую часть своей черновой работы группе из 10-15 «компаньонов». Специализацией группы было кибервымогательство с помощью вируса, который заражает компьютер или сервер и зашифровывает содержащуюся на нем информацию.

После заражения хакеры требовали выкуп — от нескольких сот до нескольких тысяч долларов — в обмен на ключ, который восстановит зашифрованные файлы.

Бизнес-связи в хакерской группе были четко очерчены: босс создавал новые версии вирусов и снабжал ими компаньонов, те заражали компьютеры жертв и требовали выкуп. После этого боссу оставалась легкая часть работы — он связывался с жертвами, получал выкуп в биткоинах и отдавал 40% суммы выкупа компаньону.

Чтобы убедить босса в том, что они действительно русские хакеры, команда Flashpoint подыгрывала ему. «Он думал, будто мы на самом деле совершаем преступления, — сказал директор по восточноевропейским исследования и анализу Flashpoint Андрей Барысевич. — Будто мы заражаем компьютеры случайных людей и получаем от них выкуп. На самом деле все происходило внутри нашей группы: мы заражали свои собственные компьютеры и платили свои собственные деньги».

Барысевич не рассказал, много ли компьютеров они заразили и сколько денег перевели боссу-вымогателю.

Выступая в качестве одного из 10-15 компаньонов босса, исследователи обнаружили, что им предоставили удивительный уровень независимости. Компаньоны должны были сами находить жертв и сами определять сумму выкупа. Некоторые хакеры предпочитали пользоваться ботнетами — сетями компьютеров, зараженных вредоносными программами, которые выполняют свою работу незаметно для владельцев компьютеров, — чтобы заразить как можно большее количество компьютеров сразу. Другие тщательно выбирали жертв, с которых можно потребовать крупный выкуп за восстановление доступа к их компьютерам, — это были или богатые люди, или важные службы: например, больницы или государственные агентства.

Flashpoint обнаружил, что средний выкуп, который запрашивали хакеры, составлял около $300. Но не каждое заражение приносило желаемые деньги: как рассказал Барысевич, платили 5-10% жертв. Группа из 10-15 хакеров-компаньонов получала в среднем один выкуп в день.

При таком обороте рядовые участники не разбогатеют, но босс вымогателей, по оценке Flashpoint, получал неплохие деньги — около $7500 в месяц, что примерно в 17 раз больше средней зарплаты в России.

Даже компаньонам, которым перепадало меньше половины выкупа, доставались довольно ощутимые суммы — в среднем по $600 месяц, на 40% больше, чем получает средний российский наемный работник.

Это неплохая плата за работу, не требующую высокой квалификации. Барысевич рассказал, что большинство компаньонов получали от других людей инструменты, нужные для заражения компьютеров, например, покупали уже готовые ботнеты. Модели сотрудничества, освобождающие хакеров от необходимости самостоятельно создавать вирусы, позволяют привлечь к этому криминальному бизнесу самых разных людей.

«Сейчас для человека без технических знаний, без инженерной квалификации стало значительно легче стать киберпреступником, чем, скажем, пять лет назад, — отметил Барысевич. — И в ближайшие годы станет еще легче».


Оригинал статьи: Кавех Уодделл,
«Как управлять сетью российских хакеров», The Atlantic, 9 июня

util