Киберпреступность превратилась в сложную, высокоорганизованную иерархию, включающую лидеров, инженеров, пехоту и наемных денежных мулов.
Monkey D. Cybercrime as a service: A very modern business
Среди ученых нет единого подхода к классификации киберпреступности. Для этого есть две причины.
1. Нет возможности отделить друг от друга государственные разведывательные конторы и частные корпорации, занимающиеся разведкой и киберпреступниками.
Последних в простонародье называют хакерами. Примеры группировок можно посмотреть на сайте Positive Technologies: https://www.ptsecurity.com/ru-ru/research/hacker-groups/
2. Нет понимания реальной структуры хакерских групп, потому что она постоянно меняется. Появляются корпорации хакеров.
В данной статье представлена обобщённая информация. Не существует реальной возможности оценить средний уровень хакеров. Многие кибератаки проходят без шума в СМИ. Организации могут работать по 10–20 лет, привлекая к себе минимальное внимание.
И хакер — офицер армии, и хакер черного рынка и хакер частной разведки действуют одинаково. Однако первых мы будем называть офицерами армии по кибербезопасности, вторых — просто хакерами, а третьих — сотрудниками службы информационной безопасности компаний частной разведки.
Также у хакеров существует разделение на белых (законников) и черных (киберпреступников). Когда белый хакер нарушает закон, то может даже не осознавать этого. У большинства из них знание законов находится, в лучшем случае, на бытовом уровне. Обычно такие люди говорят: «Дак все ж так делают! Что я нарушаю?» Сколько раз я слышал эту фразу!.. Особенно удивляло, что человек преступает закон и не осознает это. «Ну, все ж так делают…» Запомните: незнание законов не освобождает от ответственности.
Хакеры существуют и в информационной безопасности. Как правило, они находятся в Red Team (красной команде). Их цель: тестировать безопасность собственной или клиентской компании. Находятся они, разумеется, на стороне законников.
Стоит оговориться, что в этой статье мы затронем только момент, касающийся службы безопасности. Нас волнуют лишь атакующие хакеры. О том, кто они такие, будет написана другая статья.
Атакующих хакеров можно классифицировать по типам атак и их урону. Не важно, на кого они работают. Например, знаменитая история про международный шпионаж: https://habr.com/ru/news/673132/
Самые страшные. Таргетированные или целевые кибератаки
Такие атаки могут проходить с широким освещением в СМИ и социальных сетях. Телефоны службы безопасности будут разрываться от звонков, а почта — ломиться от писем. Запомним этот момент.
У таргетированных атак есть четкая цель, которая будет вам неизвестна и, возможно, останется таковой даже после завершения. Её могут скрыть, например, за шифрованием всех ваших данных и требованием выкупа. Также атакующие хакеры могут мимикрировать под другую группировку, чтобы расследование пошло по ложному пути. При самом страшном исходе вы никогда не узнаете, что были атакованы.
Велика вероятность того, что группа, работающая по подобной модели, будет состоять из профи, будет иметь чёткую структуру состоящую из: отделов исследователей, инженеров, безопасников и других узконаправленных специалистов, вертикали власти, а также будет включать в себя разделение отделов и уровней управления.
Также такая группа может иметь горизонтальную структуру, если находится в начале существования, а посему не может иметь всего цикла. Приходится тратить больше средств на заказ дополнительных услуг, покупку софта, аренду мощностей и так далее. Но, несмотря на финансовые трудности, хакеры всё равно будут заниматься таргетированными атаками, потому что это их бизнес.
Следующий уровень. Non-targeted attack (нецелевая атака)
Боль системы информационной безопасности. В данном случае, атакой заведует не человек, а программный комплекс, который в автоматическом или полуавтоматическом режиме идет по списку адресов и тестирует их на уязвимости.
Также имеются комплексы, специализирующиеся на атаках по персоналу. Их цель: получить данные с компьютеров ваших сотрудников. Что может сделать служба безопасности? Для начала обязать сотрудников сообщать, что у них украли аккаунт в социальных сетях или электронную почту. Если это окажется массовой проблемой, лучше знать заранее. Вы же не представляете, кому все эти доступы продадут, какую из них извлекут информацию, верно?
Служба безопасности совместно с информационной безопасностью могут просмотреть состав и структуру системы реагирования. Что очевидно оперу или следователю, не всегда понятно программисту. Это вопрос времени и опыта.
В целом развернуть систему нон-таргета можно и в одиночку, но это достаточно трудоёмкий процесс, который необходимо разделять, как минимум, между парой системных инженеров (сисадмин — более простой вариант для понимания, но по факту там, DevOPS), парой программистов, а также менеджером, занимающимся продажей доступов, данных и покупкой новых уязвимостей. Такие команды могут разрастаться до внушительных размеров, начиная не только ломать, но и эксплуатировать, создавая вокруг своих мощностей полноценный сервис. Чем мощнее и быстрее система, тем больше нужно серверов. Чем больше серверов, тем больше нужно человек для обслуживания инфраструктуры и так далее. Структура увеличивается по принципу снежного кома.
На этом основные типы атак закончились. В обоих случаях можно встретить как профессионалов своего дела, так и детей. Рассмотрим ещё несколько типов команд, важных для понимания общей картины.
Корпорация хакеров
Прямо сейчас это — шифровальщики. А может и не только…
Корпорации хакеров создали сервис шифрования данных с разноплановой структурой, где встречаются группы среднего уровня, которые проводят целевые атаки несмотря на то, что можно просто купить доступы на аукционе.
Эти группы арендуют мощности и могут выглядеть как угодно. Например, они покупают очень крутую франшизу, которая требует выполнения строгих правил. У них есть всё: полноценный сервис, техподдержка, обеспечение, колл-центр, сайт и развитая инфраструктура.
В целом писать о шифровальщиках не имеет смысла. Вся информация и так есть в новостях.
Что ещё можно рассказать о строительстве бизнеса и франшиз? Пишите в комментариях.
Nota bene! Хактевисты
Знаете, как в компании выстраивается работа с общественной организацией? Здесь работают те же принципы: не злить, не провоцировать, выходить на контакт и выяснять мотивы атаки. Если есть возможность, необходимо начать работать с общественной организацией и решать проблемы совместными усилиями. Да, существует своя специфика, но в целом основной урон несет информационная безопасность.
НО также может состояться кибератака на сотрудников вашей компании с целью надавить на психику предприятия. С этим должна бороться служба безопасности: проводить работу с сотрудниками, организовывать курсы по базовой безопасности, создать горячую линию.
Для погружения в тему рекомендую посмотреть видео Харчевникова: https://www.youtube.com/watch?v=O8omqZKtrw8
Комьюнити
Существует коллективный чат, в котором все друг друга знают и, примерно, понимают, кто и чем занимается. Внутри него поступает предложение по типу: «У меня тут крутые доступы появились. Продавать не хочу. Давайте объединимся и используем». Оно консолидирует 5–6 независимых друг от друга групп для проведения одной кибератаки. Вариантов для объединения достаточно.
Одиночки
Крайне маловероятно, что служба безопасности столкнётся с одиночками. Атаки совершаются из мести. Бывший сотрудник нападает на компанию в целом или только руководство.
Также возможно, что вам могут поручить найти хакера (реверс инженера), который создает кряки для продуктов компании. Вероятнее всего, он будет работать в одиночку.
Заключение
Мир хакеров сильно прогрессировал от мелких команд и одиночек до уровня, где группировки обладают такими ресурсами и навыками, что в своё распоряжение их хотят заполучить целые государства. Это произошло за очень короткое время.
Прогресс идет во всех сферах жизни. Не нужно верить фильмам про хакеров-одиночек, взламывающих корпорации с ноутбука! Реальному хакеру будет гораздо интереснее побывать на мероприятии про бизнес, где расскажут, как управлять персоналом, нежели на том, что посвящено кибербезопасности. Зачем привлекать лишнее внимание? Зачем идти лично, если конференция доступна онлайн?
Мероприятия по кибербезопасности привлекают лишь службу информационной безопасности и белых хакеров.
Прежде, чем будете читать мои материалы по социальной инженерии, пожалуйста, посмотрите этот доклад с PHD: https://youtu.be/P-_1cdJewAw?list=PL-PDZMPQHOz9__o8K1lMAlQXr1RjXu6wS&t=3
Вся информационная безопасность построена на предотвращении. По большей части, она прозрачна, а также подвержена качественной и количественной оценке. Может ли служба безопасности в вашей организации похвастаться доскональным описанием всех процессов и их качественно-количественной оценкой?
Служба безопасности и информационная безопасность — неотъемлемые функция бизнеса, которые, с его точки зрения, не имеют отличий. Пока первые спят, вторые забирают себе их продукты, перерабатывают, делают то же самое, только круче. Чем больше функций будет забирать себе служба информационной безопасности, тем быстрее получится избавиться от классической службы безопасности, которая не в состоянии описать свои же собственные процессы. Вы в курсе, что информационная безопасность уже занимается расследованиями? Что им помешает, в конце концов, полностью подчинить эту сферу?
Первые три статьи — это подготовка к основному материалу по социальной инженерии. Я говорю об общих принципах, задаю вопросы, которые оставляю без ответов, словом, делаю всё, чтобы погрузиться в тему с головой. Буду рад, если у вас изменится восприятие хакинга.
После статей по социальной инженерии в свет выйдет материал про автоматизированные системы атаки. Я расскажу вам о боли информационной безопасности.
Продолжение следует...
P.S. Автор - Алексей Меркулов https://t.me/fobscraft специально для канала - sbprobiz.
#fobscraft #меркулов #безопасностьбизнеса #корпоративнаябезопасность #хакинг #шифровальщики