Далеко в минулому романтичний образ хакера-одинака

Далеко в минулому романтичний образ хакера-одинака, який проникає в системи великої корпорації завдяки геніальному програмуванню та безсонним ночам. Сьогодні кіберзлочинність стала набагато прагматичнішою та нагадує звичайний бізнес. Однією з останніх тенденцій у світі цифрового злочинного світу є cybercrime as a service — CaaS (кіберзлочинність як послуга). Назва походить від терміну SaaS (software as a service), популярного в бізнесі для позначення надання онлайн-послуги. Тільки в цьому випадку послуга надається за допомогою шкідливої програми або викрадених даних.

Дослідження Athena Research Center

Костянтинос Пацакіс, дослідник кібербезпеки в Athena Research Center (Греція), розповідає, що значна частина цієї діяльності відбувається в deep web (вміст, не проіндексований пошуковими системами) і dark web (частина, доступна лише через такі інструменти, як Tor). «Ви можете знайти форуми або сервіси, які продають облікові дані, людей, які продають послуги, пов'язані з відмиванням грошей або продажем шкідливого програмного забезпечення. Наприклад, деякі продають вихідний код або builder (спрощує створення складних об'єктів у програмуванні) для створення ransomware as a service», — зазначає він.

«Люди купують це та заражають інші пристрої», — підкреслює Пацакіс, який координує європейський проєкт SafeHorizon. У цій ініціативі співпрацюють співробітники CSIC і різних дослідницьких центрів — як приватних, так і державних — у кількох країнах ЄС. Її мета — підвищити стійкість регіону до кібератак і приділити особливу увагу CaaS. «Ми намагаємося зрозуміти modus operandi кіберзлочинців, збирати дані та робити кореляції. Ми намагаємося зрозуміти, як працює шкідливе програмне забезпечення за допомогою зворотного інжинірингу, що воно робить і куди надсилає викрадені дані», — пояснює грецький дослідник. Тісна співпраця з владою є ключовою. Тому в проєкті беруть участь правоохоронні органи, такі як поліція Фінляндії, Польщі та Молдови.

Існує цілий ринок зі своїми виробниками (шкідливого програмного забезпечення) та посередниками. Існують платформи купівлі-продажу та інші канали розповсюдження з різноманітною пропозицією. Пропонуються шкідливі програми, вразливості, доступ до мереж і всі види викрадених даних, як на великому базарі кіберзлочинності. Концепція кіберзлочинності як послуги охоплює більш конкретні MaaS (malware as a service) або RaaS (ransomware as a service).

Порівняння з Microsoft Office

«Йдеться про перенесення концепції будь-якого популярного програмного забезпечення, як-от Microsoft Office, на програмне забезпечення, яке замість редагування тексту виконує шкідливе програмне забезпечення», — коментує Марк Алмейда, дослідник кібербезпеки, який працює в CIRMA, проєкті, пов’язаному з SafeHorizon. «Якщо вони можуть придбати технічний двигун, найскладнішу частину, технічно кажучи, вони усувають її з рівняння. Їхня робота зводиться до виконання обману, щоб хтось зробив знаменитий клік [за посиланням або для завантаження файлу], або купити чи отримати доступ до мереж компаній через вразливості».

Ця схема поширюється з великою швидкістю. Згідно з щорічним звітом британської компанії з кібербезпеки Darktrace, MaaS вже відповідає за 57% кібератак на компанії та установи, згідно з публікацією Cyber ​​Magazine. Стрибок за останні місяці був різким. У середині 2024 року ці атаки все ще становили 40%.

«Це коштує їм набагато менше, ніж якби їм довелося робити це з нуля», — наполягає Алмейда. «З іншого боку, їм довелося б запрограмувати шкідливе програмне забезпечення, знайти вразливості та сховатися, що вони також повинні робити, щоб їх не зловили». Розробка шкідливого програмного забезпечення зазвичай покладається на невеликі групи з технічними знаннями, навіть на групи, спонсоровані державами. Іноді це окремі люди, які працюють поодинці. І основною мотивацією є прибуток, хоча існують також мотиви, пов’язані з геостратегією.

Ці шкідливі програми поширюються через ринки та форуми в dark web. Але також за допомогою таких відомих сервісів, як Telegram або Discord. «Іноді у вас є незалежні продавці, наприклад, маленький хакер, який створив спеціальний інструмент для викрадення певної інформації», — пояснює Пацакіс. «Буває також, що хтось має доступ до конфіденційних даних організації, наприклад, і просто пише на форумі: «Привіт, хлопці, у мене є інформація про компанію X» і просить зацікавлених надіслати йому повідомлення або біткоїни на віртуальний гаманець для її купівлі».

Викрадені дані

Викрадені дані є ще одним зірковим продуктом у сфері CaaS. Кіберзлочинна організація використовує програму для викрадення інформації, яку потім продає будь-кому, хто заплатить ціну. Вони переконують велику кількість користувачів встановити infostealer (троян), який відстежує те, що ви набираєте на клавіатурі або адреси, які ви відвідуєте. «Вони можуть дійти висновку, що ви увійшли на певну платформу та використали певні облікові дані», — зазначає Пацакіс.

Зібравши інформацію, група надсилає її до власної центральної інфраструктури. «Іноді у них є персонал, який займається оцінкою викраденої інформації. Це означає, що якщо у них є дані про 10 000 користувачів, не всі ці дані користувачів мають однакову цінність», — підкреслює координатор SafeHorizon. «У деяких випадках це будуть користувачі з високим профілем або банківські рахунки з високим профілем, які коштують дорожче. Або вони можуть мати кредитні картки, які неможливо використати». Кіберзлочинна група класифікує всі викрадені дані, як це робив би дистриб'ютор фруктів. Кожна інформація має свою ринкову вартість.

Кіберзлочинці, які працюють як компанії

Групи, які формують цю екосистему кіберзлочинності, прагнуть ефективності свого «бізнесу». Для цього вони використовують комерційні стратегії, які ми звикли бачити у законному цифровому світі. Існує прямий продаж шкідливого програмного забезпечення, але також і моделі підписки, які дозволяють отримати доступ до каталогу інструментів атаки, який періодично оновлюється.

Іноді покупець може змінити деякі параметри шкідливого програмного забезпечення, щоб адаптувати його до своїх цілей. Це та сама ідея, коли компанія адаптує стороннє програмне забезпечення до своїх потреб. Алмейда зазначає, що у продавців є різні комерційні пакети: «Це як компанія. Якщо хочете, ви можете придбати лише виконуваний файл або також Command & Control сервер, з якого ви можете контролювати, як виконуються шкідливі програми, і навіть перевіряти, чи потрібно робити оновлення. Це те, що ви бачите в законній стороні програмного забезпечення, але перенесено на шкідливе програмне забезпечення».

І хто може придбати ці шкідливі продукти, отримані з CaaS? Алмейда категоричний: «Потенційно будь-хто», — наголошує дослідник кібербезпеки. «Найскладніша, технічна частина спрощується. Отже, крива входу в ці види діяльності прямує до нуля. Раніше цей тип програмного забезпечення потребував розробки, це було не просто натискання кнопки. Тепер це виключено з рівняння». Як і в будь-якій економічній діяльності, що зростає, кіберзлочинність виявила поділ праці.