Совершенно ясно, что на малварном бизнесе некисло наваривают целые группы товарищей. Неясно только, в каких именно масштабах они наваривают, и как все это происходит. Сегодня мы прольем свет на кое-какие криминальные схемы, используемые в бизнесе, связанном с малварью. Разумеется, исключительно в образовательных целях :).

Увы, времена, когда хакеры создавали свои творения и взламывали сайты или программы только ради того, чтобы насолить разработчику или доказать друзьям, что они могут проникнуть в Пентагон, уже прошли. Конечно, вспоминая недавние события с Anonymous и LulzSec, а также читая ресурсы дефейсеров, можно сказать, что "идейные" еще не перевелись, но по большей части вся киберкриминальная активность, которая ведется сейчас в интернете, направлена только на одно — зарабатывание денег. Началось все это на заре распространения интернет-банкинга и платежных систем, когда реальные деньги стало возможным перехватить через Сеть и потом обналичить. В наши же времена киберпреступники крадут буквально все и, как и обычный криминал, имеют четко расписанные роли, сферы влияния, иерархию и структуру, о чем и пойдет речь дальше.

 

Эволюция грабежа

В начале 2000-х гг. банки только начинали думать о своей онлайновой безопасности, а хакеры — о том, как много денег оттуда можно увести. Несознательные одиночки находили уязвимости в системах защиты финансовых онлайн-операций того или иного банка, уводили базу карточек и выставляли ее на продажу в открытом виде. На не особо-то засекреченных форумах можно было спокойно прочитать имена тех несчастных, у которых увели банковские реквизиты, и узнать другие интимные подробности. Профессиональные кардеры или просто дурачки радостно скупали такого рода информацию, быстренько печатали нужный пластик (то есть левую карточку с правильной информацией о деньгах) и шли запасаться в ближайший банк. Более умные пластика не печатали, а закупались в онлайн-магазинах.

Однако халяву начали быстро прикрывать: стало появляться все больше антивирусных решений, которые стали попадать не только к юзерам, но в и банки. А последние, кроме того, стали ужесточать доступ к своим данным, то есть взломать банк стало гораздо сложнее. При этом полиция начала обращать все больше внимания на подобные криминальные активности, что привело к тому, что "закуп по полной" на очередном хакерском форуме мог обернуться встречей с представителями закона, играющими роль продавцов. На этой волне постепенно стал формироваться более развитый рынок, со своей спецификой и специализацией на банковских троянах.

Конечно, никуда не делись изначальные подходы типа скимминга, тупого взлома банкоматов и прочего, но все это, по сути, грубо и неаккуратно, не говоря уже о том, что хлопотно, как быстро поняли парни, которые нашли 1001 способ увести всю нужную информацию с компа пользователя. Согласно статистике от "Лаборатории Касперского", которая внимательно изучает любителей "поломать" банки, за 2010 г. ее аналитики добавили более 60 тыс. сигнатур с вердиктом Trojan-Spy. Налицо тот факт, что малвари пишут все больше и больше, и вышеупомянутый вердикт превалирует.

Отчего? Оттого, что злоумышленники поняли, что пусть лучше собирается вся информация, а там посмотрим, как ею воспользоваться. Собирать только банковские данные через банальный фишинг, электронную корреспонденцию от банков в ключе "мы тут решили обновиться, подтвердите данные счета" и прочие лохотроны в какой-то момент стало не модно. Конечно, куча киберпреступников продолжают это делать, но эффективность подхода не столь высока. Результативные удары получаются редко, при этом умные негодяи увидели, как можно сделать больше и лучше.

 

Отлаженный механизм

Таким образом, в бизнес стали потихоньку приходить индивидуумы с мозгами, которые были готовы рулить денежными потоками, но не умели писать малварь. В частности, под их влиянием рынок стал специализироваться, поделившись на различные группы, о которых мы дальше поговорим.

Начнем с создателей малвари — тех людей, которые лучше всех держат руку на пульсе. Вся их деятельность напоминает производственный цикл любого программного продукта: изучение рынка, создание качественного функционала, борьба с конкурентами. Те, кто стоит за созданием эксплоит-паков и суровой малвари типа SpyEye и Zeus’а, тщательно документируют изменения, быстренько вносят коррективы в код, как только их начинает детектировать тот или иной антивирусный вендор, даже добавляют в свою малварь мини-антивирусы, вытирая тем самым наиболее злостных конкурентов. Причем делают они это не хуже заправского антивируса. Также стоит упомянуть, что хакеры-альтруисты взламывают дорогие творения своих собратьев и выкладывают на форумы просто так. Тот же Zeus, SpyEye и прочие известные в узких кругах тулзы можно спокойно скачать в крякнутом виде. Так что создателям таких троянов приходится бороться еще и с таким видом нападок, все время улучшая свои творения и выдумывая новые средства защиты. На ум приходит аналогия с китайцами, которые нещадно копируют айфоны и прочие модные девайсы, тем самым подрывая бизнес больших и успешных контор.

Очевидно, что такие программеры стоят гораздо больше типичного аналитика в антивирусной компании, причем в прямом смысле. Согласно рассказам нехороших парней, которые создают реальные трояны и эксплоит-паки, их недельный заработок больше, чем месячный у типичного топ-менеджера в западной компании. Такие люди никогда не перейдут работать в нормальную компанию даже руководителями разработки: разве что только после того, как станут миллионерами. И естественно, с тем чтобы не светиться в дальнейшем. Гении-программисты или пишут малварь на заказ, или создают что-то крутое сами с нуля и начинают продавать. Делают они это по-прежнему через тематические форумы, только попасть на них теперь немного сложнее. Как правидераторы форумов зачастую также играют роль гарантов, то есть посредников, которые отвечают за то, что, заказав малварь у Васи, ты не просто выкинешь деньги, а получишь то, что обещает Вася.

Отдельные индивидуумы занимаются созданием ботнетов. Их можно арендовать для DdoS’а, для дальнейшего развития и сбора данных с юзеров, для последующей продажи, для организации анонимных прокси-серверов и т. п. Отдельно заточенные товарищи занимаются поиском уязвимостей во всем и вся. Это самая безопасная работа. Ты наверняка знаешь легитимные ресурсы, которые предлагают тебе делиться найденными уязвимостями за бесплатно или за мелкую денежку ради мира на земле. Но не все же такие альтруисты, особенно при условии того, что создатели эксплоит-паков могут заплатить за найденную уязвимость несколько десятков тысяч баксов, если речь идет об 0day-находке в самой популярной версии Windows’а.

Наконец, мы добрались до тех, кто, собственно, заказывает весь банкет — преступников, которые фильтруют тонны украденной информации и выставляют ее на продажу в специализированных магазинах.

Это дилеры, которые предлагают конечным потребителям — другим преступникам, — доступ к живым деньгам. Ну то есть практически живым. Получить доступ к таким магазинам сложно: надо быть в тусовке, регулярно закупаться на большие суммы. Правда, и предоставляемый сервис на высоте: купить можно все что угодно. Мы уже вскользь упомянули о том, что крадут все: номера банковских карт с пинами и банковские счета — товар, которым никого не удивить и который в свете активизации киберполиции довольно небезопасен для обналички. Правда, есть возможность заказать карточку определенного банка, определенного типа, нужной страны, что в ряде случаев приводит к сильному снижению градуса опасности (ты, например, слышал о киберполиции Лаоса?). На заказ продавец достанет все что угодно. Цены демократичные — 10% от доступной налички.

Кроме того, можно купить любые платные аккаунты — на рапидшару, в ЖЖ, скайп и прочее. На виртуальных полках лежат украденные лицензии для софта, включая, что самое смешное, антивирусы, пароли и логины к FTP-серверам (будет где похостить командный центр ботнета). В последнее время популярность набирает продажа личности, то есть украденных данных о паспортах, прописке, месте жительства, номерах страховок и прочее. Ты не поверишь, но огромное число тупых юзеров сканируют паспорт, кредитки, пенсионное страхование, ИНН и прочие документы и оставляют эти сканы на винте. А потом реальные преступники, получив сканы, выкачанные тем же Zeus’ом, радостно делают с этого хозяйства клоны, конечно же, с фоткой заказчика. Для ряда стран их можно даже зарегить в базе полиции!


Новый паспорт, да еще с бесплатной доставкой?! В инете такого добра хватает

Так что стать гражданином Америки (ну или по крайней мере въехать туда на ПМЖ) можно за какие-то 1000 долларов. При этом понятно, как удобно все это в рамках масштабной операции: некий Вася под именем Джона Смита въезжает в страну, уводит миллион баксов со взломанного счета, на который эти деньги перевели с другого счета, и спокойно уезжает домой. Полиция приезжает к ни в чем не повинному лошку Смиту, паспорт которого украли и аккаунт которого был взломан, и начинает ставить его в очень неудобное положение. При этом найти концы Васи практически нереально.

В общем, как ты уже понял, все удобно и по ролям. Если ты негодяй и тебе хочется испытать судьбу, ты можешь выбрать еще и профессию мула, и сам купить ворованных карточек, и пойти снимать наличку или купить на них 100 айфонов и заказать их себе домой. Без мулов, собственно, никуда, в том случае если преступник хочет получить реальные деньги. Для того чтобы тебе стало понятно, как все эти винтики образуют отлаженный механизм, давай рассмотрим путь к легким деньгам от начала до конца, так, как если бы некий злоумышленник решил непринужденно обогатиться, воспользовавшись свободой и благами интернета.

 

How To Not To Do

Сразу оговоримся, что все расписано приблизительно, с определенными допущениями и в рамках узкого сценария. Знатоки дела (а нас наверняка полистывают и такие) могут поспорить и найти кучу неточностей, но повторюсь: главный смысл — дать понять, как все довольно легко и прибыльно.

Для начала киберпреступники выбирают жертву: или одну, или очень много. От этого зависит, как они собираются обогащаться: быстро за один раз или постепенно за счет большого числа юзеров. Как следствие, меняется и тип атаки: таргетированная или ковровое бомбометание. В случае таргетированной атаки информация собирается, как правило, с социальных сетей, при массовом подходе это не столь важно. Дальше надо решить технические моменты, то есть как будет добыта информация от незадачливого юзера. Для начала берется так называемый пуленепробиваемый хостинг.

В интернете на тематических форумах предложений хоть отбавляй. Для понимания: хостеру все равно, что вы там храните на серверах, при этом он не будет сдавать вас полиции. Чтобы у него самого не было проблем с законом, серверы размещаются в странах с теплым, приятным климатом, большим количеством диких обезьян и законами, которые не приветствуют вторжение иностранных спецслужб на суверенную территорию страны и плохо описывают, что же такое кибепреступность, кража денежек и прочих приятных вещей через интернет. Стоит ли говорить, что полиция таких стран, как правило, не особо говорит по-английски и не особо пользуется электронной почтой.

Пуленепробиваемый (абузоустойчивый) хостинг — самая дорогая вещь в типичном криминальном мероприятии. В среднем он обойдется в 500 американских долларов в месяц. Можно дороже, можно дешевле. В целом на успешный сбор информации, растянутый во времени, надо закладывать несколько тысяч долларов.


В Китае, как видишь, можно хостить все что угодно. И при этом очень дешево

Далее в случае массовой атаки (а они более распространены в целях наживы и при нежелании потом долго сидеть в тюрьме) берется какой-нибудь свеженький эксплоит-пак (он же "краймвар-пак"), который ставится на этот самый хостинг. Можно даже сразу купить все готовое, предустановленное. Нет только пейлоада, то есть малвари, с помощью которой и утекут данные. Эксплоит-паки, кстати, можно достать даже бесплатно. Но если ты хочешь, чтобы в них были свежие уязвимости, а это довольно часто залог успеха, то придется заплатить. Около 1300–1500 баксов.


Скачать SpyEye может любой, кто в состоянии забить поисковый запрос в Google

В киберпреступники совсем дебилов не берут, так что очевидно, что злоумышленник понимает, что на компе жертвы стоит какой-нибудь антивирус. Поэтому, разрабатывая малварь и криптуя уже имеющуюся, коварный гаденыш должен прогнать результат через антивирусный мультисканер. Найти такое добро в интернете в различных реализациях не составляет труда: это может быть облачное решение, может быть локальный софт, можно заплатить за это денег, а можно воспользоваться уже заранее украденным (Напомним, что тот же вирустотал — ресурс, данные с которого утекают в антивирусные компании, поэтому приватную малварь на нем не тестят. — Прим. ред.). Если хочется гарантий, то обычно платят около 500 баксов. Чтобы написать или закриптовать уникальную малварь, придется выложить еще баксов 800. Зато, как это ни печально для производителей антивирусов, ни один из них ее, скорее всего, не поймает в течение как минимум пары дней, а этого достаточно, чтобы выкачать с жертв все самое интересное.

Итак, малварь написана, хостинг, куда планируется собирать данные о кредитках и банковских счетах, есть, остается вопрос распространения. Нет проблем! Арендуем ботнет. Цены зависят от того, известен ли он уже производителям антивирусных решений или нет, какие ты получишь над ним права, сколько машин гарантировано в онлайне и прочее. Ориентировка для начала — всего 200 баксов, но это, конечно, минимум.


Дешевенький ботнет! Никому не надо?

Если киберпреступник особо умный, то после покупки ботнета он его модифицирует — криптует протокол передачи данных, меняет что-то еще. Таким образом он обезопасит себя от кидалова со стороны продавца ботнета. Это будет стоить еще несколько сотен баксов у уже прикормленных программистов. Ботнет увязывается с эксплоит-паком, и понеслась: данные начинают валиться на преступный сервер.

Возникает самый главный вопрос: как обналичить деньги? Очевидно, что перевод на взломанные счета ничего не дает: это все элементарно прослеживается. Поэтому преступники предпочитают снимать деньги через мулов. Их с самого начала разбойного плана начинают искать по инету, как правило, под видом рекламки: "Хочешь 1000 баксов в час? Тыкай в баннер!". Наверняка ты видел кучу таких баннеров в интернете, причем зачастую на вполне себе респектабельных сайтах.

Кто-то из денежных осликов понимает, что делает, кто-то — нет. Ведь если преступники подходят к делу с умом, они составляют трудовой договор, по которому работник просто должен снимать деньги в банках. Когда потом мула ловят — а ловят их почти всегда, — те могут уйти в несознанку и говорить: "Ну позвольте, я же работал! Я и не знал, что это незаконно! Вот у меня договор! Что вы говорите? Деньги воровали?! Вот сволочи! Я готов помочь вам, ребята! Я с вами! Накажем злодеев, только вот я о них ничего не знаю, все общение было по электронной почте". Такая ситуация очень типична, например, в Латинской Америке. Там вообще людей принято после первого раза прощать: ну не хотел человек плохого, бес попутал. Что же, сразу в тюрьму сажать?! Мулов ищут в том банке, аккаунты которого чистят. Или могут попросить открыть аккаунт. При этом мул получает 10–15 % от снимаемой суммы. Что он делает потом? Отправляет денежки любой платежной системой типа Western Union Саше Кузнецову (это, как ни странно, самые распространенные имя и фамилия для России) из своей гнилой Америки в какую-нибудь развивающуюся страну типа России. Искать потом Сашу — занятие бесполезное, не говоря уже о том, что Саша может купить левый паспорт в переходе и получить все на него.

Что наш незаконопослушный Сашок имеет на выходе? Все зависит от его жадности. Если у тебя хорошо с арифметикой, ты уже посчитал, что начальные вложения обойдутся минимум в 6000–7000 долларов. Допустим, ботнет окучил 1000 юзеров, хотя в реальности их, конечно, будет больше. Те же американцы хоть пару тысяч зеленых на карточке, да имеют. Умножаем юзеров на деньги, отнимаем 10–15 % на мулов, получаем пусть даже 500 000 долларов чистоганом. Покрывает 7000? Мне кажется, вполне. При этом, повторимся, не стоит забывать, что киберпреступнику, который решил все это провернуть, не надо быть ни кодером, ни админом, вообще не надо обладать какими-то реальными техническими знаниями.

 

Масштаб трагедии

Как результат — не удивительно, почему СМИ по всему миру, а в Америке в частности, очень регулярно рапортуют о многомиллионных убытках со стороны частных пользователей и компаний. Одна только старушка Англия отрапортовала, что ущерб от киберпреступности в стране оценивается в 27 млрд фунтов в год. Почему так происходит? Пробуют многие, а ловят не всех. Законы большинства стран находятся в таком состоянии, что по ним осудить преступника можно или условно, или всего на пару лет. При этом никто не требует вернуть всех украденных денег, потому что никто не знает, сколько их вообще было украдено. Морально и этически совершить преступление в интернете проще: ты не видишь жертву в лицо, при этом многие хакеры любят играть роль Робин Гудов — наказывать, скажем, богатых америкосов на жадность и принципиально, например, не атаковать жителей родной страны (Хм… а я слышал, что это потому, что в родной стране за это иногда отрезают пальцы. — Прим. ред.). Не хватает и мировой киберполиции — если в последние годы она хоть где-то стала появляться, то над взаимодействием подразделений по всему миру между собой еще работать и работать. При этом часть вопросов не будет решена никогда из-за общеполитических препятствий: как известно из хорошего фильма "После прочтения сжечь", у США нет экстрадиции с Венесуэлой.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии