По словам ведущего исследователя по вопросам кибербезопасности компании «Лаборатория Касперского» Сергея Ложкина, программы, которыми пользуются преступники для нападений на банки и другие финансовые организации, получают всё более широкие возможности по нанесению вреда и новые способности по обходу защиты.
«Для финансовой индустрии, особенно для крупных и средних корпораций, наступил самый темный час», — сказал Ложкин во время дискуссии об угрозах для финансовых организаций.
BlackLotus, руткит для прошивки Unified Extensible Firmware Interface (UEFI), используемый для создания бэкдоров на компьютерах под управлением Windows, является одним из таких продвинутых инструментов. По словам Ложкина, в начале октября он появился в продаже на форумах киберпреступников за 5000 долларов.
Этот вредоносный код позволяет злоумышленникам обойти функцию безопасной загрузки компьютера, которая должна предотвратить запуск несанкционированного программного обеспечения. Вместо этого вредоносная программа BlackLotus нацеливается на UEFI и загружается раньше всего остального в процессе включения компьютера, ещё до запуска операционной системы и любых других инструментов безопасности, которые могут ее остановить.
«И если злоумышленник получит доступ к сети или компьютеру, то он может установить этот инструмент, и его будет абсолютно невозможно обнаружить. И код будет всегда сохраняться на уровне UEFI», — предупреждает Ложкин.
BlackLotus и другие продвинутые вредоносные программы обычно используются специалистами, работающими на спецслужбы, которые может позволить себе щедро им платить и держать в штате высококвалифицированных разработчиков. Но теперь и обычные мошенники также могут получить подобные инструменты в свои руки.
«Раньше эти программы и технологии были доступны в основном правительствам, — утверждает Ложкин: Теперь такие инструменты находятся в руках преступников, и их можно найти на любом форуме.»
Как только он увидел BlackLotus на одном из таких форумов, то сразу же захотел его приобрести, потому что исследователю нужно было провести реинжиниринг и немедленно предупредить своих клиентов.
Ложкин проводит большую часть рабочего дня, отслеживая форумы киберпреступников и занимаясь реинжинирингом вредоносных программ, распространяемых по этим каналам. Ранее он был вице-президентом по кибербезопасности в JPMorgan Chase.
Ложкин не хочет называть имена группировок киберпреступников, так как это может повредить его расследованиям. Но он отмечает, что они стали действительно хороши в использовании созданных правительствами инструментов кибершпионажа для масштабных ограблений банков. По такой системе были похищены средства на 1 миллиард евро из 100 финансовых учреждений в 40 странах. Ложкин был одним из исследователей из частного сектора, участвовавших в операции по поимке злоумышленников, проводившейся Национальной полицией Испании при поддержке Европола, ФБР США, а также властей Румынии, Молдовы, Белоруссии и Тайваня.
«Современное вредоносное ПО очень сложное, и ребята, которые кодят эти инструменты очень и очень умны, — отмечает Ложкин: А иногда им даже не нужно ничего кодить. Зачем писать свой собственный код, если его можно легко купить в Интернете?»
В качестве примера можно привести группировки, занимающиеся распространением программ-вымогателей, и Cobalt Strike. Он представляет собой инструмент тестировировщиков в области кибербезопасности. Однако это ПО стало излюбленным методом киберпреступников для сканирования сетей жертв, проникновения в них, загрузки и выполнения вредоносных инструкций.
«Кроме того, у нас есть Brute Ratel», — напоминает Ложкин.
Это инструмент для работы с уже взломанной сетью или компьютером, который создал бывший сотрудник команды по кибербезопасности компании Mandiant. Эту программу практически невозможно обнаружить, она способна обходить антивирусы. Раньше она продавалась за 3000 долларов, но сейчас взломанную версию можно найти бесплатно на подпольных форумах.
«В последний год я наблюдаю огромный рост использования легальных инструментов для атак на финансовые учреждения , — отмечает Ложкин: Cobalt Strike — повсюду. Brute Ratel — везде.»
Он добавил, что его наблюдения прекрасно иллюстрируют самую большую проблему с подобными программными инструментами. Они созданы, чтобы имитировать в ИТ-среде злоумышленников, и предназначены для того, чтобы оставаться незамеченными.
«Когда вы создаете оружие — а я считаю такое ПО кибероружием, действительно опасным инструментом, который может быть использован для проникновения в любую организацию, в каждую компанию — то киберпреступники немедленно получают этот инструмент и используют его против организаций», — предупреждает Ложкин.
Кроме того, все эти оказавшиеся на свободном рынке вредоносные инструменты также способствуют процветанию экономики торговцев первоначальным доступом. Это преступники, которые предоставляют путь к сети той или иной организации за определенную плату или долю в будущей прибыли. Этот доступ затем используется другими киберпреступниками для выкачивания конфиденциальных данных, шифрования файлов с помощью программ-вымогателей и требования платы за молчание о произошедшем инциденте или за устранение последствий.
«Эти ребята повсюду: они взламывают организации и продают доступ», — сказал Ложкин и добавил, что цена за первоначальный доступ к корпорациям с высокими доходами, которые, по мнению преступников, согласятся заплатить выкуп, может достигать 50000 долларов.
«Конечными потребителями этих услуг являются группы, занимающиеся программами-вымогателями, — отмечает он: У таких групп есть свои форумы, и они тоже становятся всё лучше в своем деле, используя современные языки программирования для написания кода, нестандартную криптографию для шифрования файлов и даже профессиональные модели ведения бизнеса.»
Разработчики программ-вымогателей тоже становятся все более профессиональными. Недавний спад на рынке и большие увольнения в технологической отрасли способствуют этому, считает Ложкин. Многие люди переходят на «темную сторону», потому что на ней хорошо платят.
Тем не менее, он не теряет оптимизма. "Самый темный час — перед самым рассветом. Свет есть. Свет есть всегда", — говорит Ложкин.
Трудно разделить его оптимизм, когда на первую половину октября пришелся целый ряд крупных нападений кибер-вымогателей, целью которых стали школы, больницы, а крупные аэропорты стали жертвами DDoS-атак.