Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Эксплуатируемые уязвимости содержатся в операционных системах компьютеров и мобильных устройств, программах-браузерах, многочисленных прикладных программах и т. п. Поиск таких уязвимостей и написание кодов для их эффективного использования являются отдельной сложной задачей, которой занимается большое количество специалистов и любителей по всему миру. Информация о выявляемых уязвимостях чаще всего публикуется в открытых источниках, но иногда продается за весьма крупные суммы в узком кругу заинтересованных лиц, в том числе разработчикам эксплойтов.
Поскольку каждый компьютер или мобильное устройство имеет свой индивидуальный набор программ, заранее неизвестно, какие именно уязвимости у него имеются и могут быть успешно использованы. Для увеличения вероятности пробива эксплойты объединяются в пакеты – так называемые связки эксплойтов (сплойтов), или сплойт-паки.
Подбор эксплойтов, их объединение в связки и предоставление их на платной основе для целей распространения вредоносных программ являются отдельной криминальной специальностью. Подобная деятельность ведется как многофункциональный сервис: клиенту продается или сдается в аренду сама связка (набор эксплойтов) и предоставляется специальный веб-интерфейс для контроля работы связки (административная панель, «админка»). В этом интерфейсе клиент может настраивать раздачу вредоносных программ и контролировать статистику работы связки. Эксплойты в коммерческих связках постоянно контролируются, зачищаются (перешифровываются – «криптуются») и обновляются для поддержания их эффективности. Хорошим показателем считается пробив не менее 10–20 % от поступившего трафика, однако, если в связке имеются эксплойты, направленные на недавно выявленные и еще не закрытые уязвимости, уровень пробива может достигать 80–90 %.
В наиболее распространенном случае со связки на пробитые компьютеры доставляется специальная небольшая вредоносная программа-загрузчик (лоадер), которая затем запускается и устанавливает основную вредоносную троянскую программу. Однако факт пробива защиты целевого компьютера или устройства еще не означает успешной установки вредоносной программы в систему, так как эта установка может не состояться по техническим причинам, в том числе и в результате работы антивирусных программ. В связи с этим имеет значение итоговый параметр «отстука ботов со связки», показывающий процент успешных установок в общем числе пробитых компьютеров. Нормальным считается «отстук» на уровне 60–80 %. Впрочем, за этот показатель поставщик связки эксплойтов уже ответственности не несет, так как устанавливаемая вредоносная программа предоставляется заказчиком.
Аренда коммерческой связки у поставщика или приобретение ее с последующей технической поддержкой – наиболее удобный вариант для ботнетчиков. По данным аналитиков компании «Группа информационной безопасности»[83], до 2013 г. активно использовались следующие связки эксплойтов, имеющие российское происхождение: Nuclear, Black Hole (только до октября 2013 г.[84]), Styx, Liberty RedKit, связка «от Крыса», связка «от Гранда». Другие известные и актуальные в настоящее время связки: Sweet Orange, RIG, Neutrino Exploit Kit и ряд иных.
Кроме того, в сети доступны бесплатные (или бывшие платные, выложенные в публичный доступ) связки, эффективность которых невысока. Наиболее же продвинутые преступные группы работают со своими собственными («приватными») связками эксплойтов.
4.3. Совершение типового хищения денежных средств с использованием вредоносных компьютерных программ
Возможность украсть создает вора.
Фрэнсис Бэкон, английский государственный деятель, философРассмотрим типовой случай организации преступной деятельности от момента ее начала до совершения результативного хищения денежных средств. Предлагаемая модель преступной группы базируется на изучении материалов ряда уголовных дел, возбужденных на основании результатов оперативно-разыскной деятельности, представлявшихся в следственные органы Управлением «К» БСТМ МВД России.
Итак, первым вопросом, подлежащим разрешению организатором (или организаторами) подобной группы, является создание или приобретение специализированной банковской троянской программы либо установление взаимодействия с лицом (лицами), уже обладающим (обладающими) такой программой.
Самостоятельная разработка банковской троянской программы организатором преступной деятельности является редким случаем, так как требует незаурядного таланта, навыков программирования и больших временных и финансовых затрат. Если и встречаются такие «таланты», то ими обычно создаются и лично используются узкоспециализированные вредоносные программы, нацеленные на одну-две определенные системы переводов денежных средств. Как уже было сказано, банковские трояны являются сложными многофункциональными компьютерными программами и разрабатываются квалифицированными программистами, чаще всего объединенными в коллективы. Разработка троянов такими коллективами напоминает работу фирм-разработчиков, создающих легальное программное обеспечение. Они могут обеспечивать покупателям долговременную поддержку, предоставляя регулярные обновления вредоносной программы, услуги по настройке и поддержанию центра управления ботнетом и любые иные сопутствующие услуги.
Чаще всего организаторы преступных групп обращаются к имеющимся на рынке предложениям со стороны вендоров вредоносных программ и приобретают тот или иной комплект. Поставщики могут предоставить заказчику троян в виде скомпилированного и сконфигурированного под его нужды исполняемого файла, готового к распространению, с услугой последующего периодического обновления (для сокрытия от антивирусных программ). Более платежеспособный заказчик получает в свое распоряжение программу-компилятор/конфигуратор, при помощи которой он может самостоятельно «пересобирать» распространяемый исполняемый файл. Троян и сопутствующие компоненты могут стоить от $500 до 50 000 в зависимости от типа трояна, условий продажи и обслуживания.
Организатор, не имеющий достаточных средств для покупки современного банковского трояна, может воспользоваться имеющимися в свободном доступе в интернете исходными кодами троянов типа «Зевс», SpyEye, «Карберп» и др. Компиляторы для этих троянов также доступны. Однако эффективность бесплатных, устаревших и не имеющих технической поддержки программ невелика, так как они гораздо лучше обнаруживаются антивирусными программами и имеют устаревший функционал. Тем не менее, для начального этапа деятельности их использование иногда оказывается единственным возможным вариантом.
Следующий вопрос, подлежащий разрешению при организации преступной деятельности, – создание и настройка центра управления ботнетом. Если приобретается коммерческий троян с поддержкой, решение обычно предлагается поставщиком за дополнительную оплату. На сервере покупателя устанавливается программное обеспечение, настраиваются веб-интерфейс и базы данных. В конфигурации поставляемого трояна прописываются настройки, требуемые для взаимодействия с центром управления. Для старых троянских программ, распространяющихся в сети свободно и бесплатно, также доступны различные скрипты и программы, необходимые для создания центров управления ботнетами.
Хостинг для размещения управляющего сервера организатор обычно должен приобретать самостоятельно – желательно у поставщиков абузоустойчивого хостинга. Стоимость обычно составляет от $200 до 500 и более за аренду одного физического сервера в месяц. В некоторых случаях хостинг предоставляется заказчику поставщиками трояна, опять же за дополнительную плату.
Если квалификации, возможностей или желания для самостоятельного создания и поддержания работоспособности ботнета у организатора преступной деятельности недостаточно, ботнет с уже настроенным центром управления и определенным количеством ботов может быть куплен или взят в аренду. Соответствующие предложения постоянно присутствуют на тематических веб-сайтах. Однако качество передаваемых таким образом готовых ботнетов обычно низкое, в то время как риск обмана со стороны продавцов, наоборот, высок.
Криминальной индустрией была выработана более совершенная схема взаимоотношений участников преступной деятельности. Появились крупные ботнеты, создатели которых приглашают одиночных или организованных в группы заливщиков для работы по так называемой партнерской схеме. Ботнетчик в такой