Kiberdrošības eksperts: Krievijas hakeri «pārvācas» uz Eiropu

Pievērs uzmanību – raksts publicēts pirms 7 gadiem.

 

Krievijas interneta krāpnieki, apguvuši banku uzlaušanu un mobilo platformu lietotāju apkrāpšanu pie sevis dzimtenē, aizvien biežāk veic noziegumus ārpus savas valsts robežām — tajā skaitā Eiropas Savienības (ES) dalībvalstīs. Turklāt bieži Eiropā nozagtā nauda paliek turpat Eiropā, kur to izmanto noziedzīgi grupējumi, intervijā Rus.Lsm.lv saka krievu kiberdrošības eksperts Pāvels Krilovs.

Pāvels Krilovs strādā Group-IB kompānijā, kam ir biroji Maskavā un Ņujorkā. Viņš vada departamentu, kas saistīts ar darbošanos pret tiešsaistes krāpniecību. Starp uzņēmuma klientiem galvenokārt ir bankas, mazumtirdzniecības un lielie uzņēmumi, taču pavīd arī valsts iestādes. Kompānijas darbinieki sadarbojas ar tiesībsargājošajām iestādēm, kā eksperti piedaloties gan tiesas prāvās, gan noziedznieku aizturēšanā. Nesen Rīgā notikušajā "eCom21" konferencē Krilovs, analizējot datus par pagājušā gada otro un šī gada pirmo pusgadu, ir secinājis, ka tiešsaistes krāpniecības sfērā telpā, kurā izmanto krievu valodu, ir noticis lūzums, kas iespaido un jau ir iespaidojis situāciju Eiropā, tajā skaitā Baltijas valstīs. Viens no iemesliem slēpjas valūtu kursu atšķirībās:

vienkāršāk un izdevīgāk ir vienreiz nozagt miljonu eiro, nekā 70 reizes miljonu rubļu.

Ne mazāk svarīgi ir tas, ka hakerus Krievijā sākuši ķert un likt cietumā:

Iepriekšējos gados interneta laupīšanu līkne lēnām, bet noteikti gājusi uz leju, taču šogad tā strauji cēlusies,

apgalvo Krilovs. Divi galvenie pieauguma cēloņi ir mērķtiecīgi uzbrukumi bankām, kā arī strauja mobilās krāpniecības attīstība. Mērķuzbrukumi Krievijā nodarījuši aptuveni 2,5 miljardu rubļu (36 miljoni eiro) kaitējumu. Pieaugums attiecībā pret iepriekšējo periodu bijis aptuveni 300%. Mobilā "trojas zirgu" programmatūra izmaksājusi upuriem kopumā 350 miljonus rubļu (5 miljonus eiro), apsteidzot krāpnieku darba kaitējumu pret fiziskām personām internetbankā. Pieaugums bijis gandrīz 500%. Turklāt novērojama būtiska samazināšanās caur internetbanku veiktās laupīšanās pret uzņēmumiem un iedzīvotājiem.

"Pāris mēnešu laikā veikti 13 veiksmīgi uzbrukumi ar kopējo kaitējumu 1,8 miljardu rubļu apmērā (26 miljoni eiro)," apgalvo Krilovs, bet "neveiksmīgu mēģinājumu skaits ir krietni lielāks."

Valstis, kurās pēdas atstājuši krievvalodīgie krāpnieki, ir ne tikai Krievija, bet arī Ukraina, Moldova, kā arī Baltijas valstis.

Turklāt krāpnieki paplašinājuši uzbrukumu spektru no internetbankas uz SWIFT, bankomātu tīkliem, brokeru sistēmām. Ja kādreiz bankomātus, lai tajos ievietotu kaitīgas programmas, atspridzināja vai atlauza, tagad tas notiek caur bankas tīklu. Un, tā kā Krievijā mēs esam iemācījušies ķert krāpniekus, viņi paplašinājuši savu lauciņu aiz robežas. Viņi izmanto tradicionālu "pikšķerēšanu", un ielaušanās un apzagšanas veids ir teju šablonisks. Viss pārējais tiek veikts ar pieejamo programmnodrošinājumu. Pats grūtākais ir naudas izvešana."

Krievvalodīgo hakeru grupējumi ir pārorientējušies uz Rietumiem, un līdz ar viņiem - arī vīrusu rakstītāji.

Pagājušā perioda laikā parādījušies tādi pret bankām tendēti "trojas zirgi" kā "Panda Banker", "Shifu", "Midas bot", "GozNym", "Sphinx", "Corebot", "Atmos". Tie ir aktīvi visā pasaulē, un tos izstrādājuši krievvalodīgi hakeri. Lai gan iepriekšējo mobilo ierīču "trojas zirgi" tika apkaroti no bankām, kas noteica pārskaitījuma limitu, un nodarītais kaitējums sāka krist, pašlaik "trojas zirgi" ir iemācīti tos apiet. Krievija tiem kalpo par izmēģinājuma vietu, un pēc tam tie parādās "eksporta tirgū". Labs piemērs ir "Marcher" - viens no visbiežāk lietotajiem "Android" operētājsistēmas "trojas zirgiem" - arī zināms kā "Rahunok". Krievvalodīgu lietpratēju izstrādāto "Marcher" sākumā izmantoja viens grupējums, lai uzbruktu Krievijas internetbanku lietotājiem. Vēlāk hakeri to sāka pārdot slēgtās vietnēs ar nosaukumu "Android-KNL".

Ja iepriekš lietotājs, uzķēries zaglēnu ēsmai, pats atvēra kaitīgo pielikumu, tagad viņš "trojas zirgu" noķer caur ievainojamību, ieejot pieklājīgā vietnē, kurai ir augsts reitings.

Kaut kas pavisam jauns: novembra vidū piecas Krievijas bankas - "Alfa bank", "Sberbank", banka "Atkritie" un citas - tika pakļautas botu tīkla uzbrukumam no t.s. "lietu interneta". (Rus.lsm.lv jau rakstīja par neseno masveida uzbrukumu no "lietu interneta", kurā tika izmantoti arī Latvijas serveri. Šajā gadījumā pēdas noveda pie Ķīnā ražotām kamerām bez pietiekamas aizsardzības."

"Lietu internets" jeb tīmeklim pievienotās elektroierīces nodrošina ideālu botu tīklu izveidi, apgalvo Krilovs. Tās darbojas 24/7 režīmā, tām ir vecas programmatūras versijas (atjauninājumi), veci "caurumi" drošības sistēmās, turklāt lietotāji bieži ierīcēm atstāj noklusējuma paroles no rūpnīcas.

— Cik cilvēku Krievijā pēdējā laikā ielikti cietumā par kibernoziegumiem?

— Ir neitralizēti ne mazāk kā pieci aktīvi darbojošies grupējumi. Piemēram, "Lurk" darbojās 50 cilvēku, "BlackHole" — 13 cilvēku, ieskaitot vīrusu rakstītāju. Runa nav par tiem, kas nodrošina pavadošos pakalpojumus, piemēram, pārvēršanu skaidrā naudā, bet gan par tiem, kas nepastarpināti nodarbojas ar zagšanas organizēšanu.

— Kā jūs izsekojat krievvalodīgos krāpniekus? Apmeklējot viņu forumus "tumšajā internetā"?

— Jā, mēs redzam viņu forumus un komandcentrus. Novērojam to, kā attīstās "trojānis", uz ko tas mērķēts. Piemēram, 2014. gadā pamanījām, ka krāpnieki sākuši interesēties par brokeru sistēmām. 2015. gadā, izmantojot inficētu brokeru terminālu, hakeri "paspēlējās" ar biržas kursiem. Bez šaubām, uzvarētājos bija ne tikai viņi, bet ikviens, kurš paspēja laikā noreaģēt, jo ar kontrolēto kursu nopelnīja naudu. Tas ir, notikumus var paredzēt pat gadu uz priekšu.

— Vai ir bijuši ar Latviju saistīti gadījumi?

—  Varu pastāstīt par incidentu, kas norisinājās vienā no Taivānas bankām 2016. gada jūlijā. Krāpnieki veica mērķtiecīgu uzbrukumu un pārņēma kontroli pār bankomātu tīklu. Viņu kontrolē nokļuva 34 bankomāti, un ar attālinātu komandu krāpnieki palaida naudas izsniegšanas procedūru un veiksmīgi nozaga divus miljonus dolāru. (LSM iepriekš ziņoja par šo "operāciju": saskaņā ar precizētiem datiem 51 bankomātu "pierunāja" izsniegt kopumā 83 miljonus Taivānas dolāru, tas ir, ap 2,4 miljoniem eiro vai 2,6 miljoniem ASV dolāru.)

Aizdomās par nozieguma izdarīšanu tika aizturēti Latvijas, Moldovas un Rumānijas pilsoņi.

Līdz 2016. gada septembrim pēc analoģiskas shēmas ir veikti uzbrukumi bankām Krievijā, Lielbritānijā, Nīderlandē, Spānijā, Rumānijā, Baltkrievijā, Polijā, Igaunijā, Bulgārijā, Gruzijā, Moldovā, Kirgīzijā, Armēnijā un Malaizijā.

Esmu strādājis Krievijas "Hansabanka", vēlāk "Swedbank" nodaļā.

2009. līdz 2010. gadā krāpniecība Baltijā bija daudz attīstītāka nekā pie mums, Krievijā. Katrā ziņā no jūsu reģiona es dzirdēju par interesantākiem gadījumiem nekā no Krievijas. Tagad ekonomiskā situācija ir piespiedusi mūsējiem sakustēties un sākt "pelnīt" naudu.

Parasti grupējumi ir starptautiski, it sevišķi, ja uzbrukums tēmēts pret ārvalstu aktīviem. Ir zināms par lietām, kurās bijuši iejaukti ne tikai visas pēcpadomju telpas pilsoņi, bet pat krievvalodīgie no Bulgārijas, Rumānijas.

— Vai krāpnieki fiziski pārvācas no Krievijas uz Austrumeiropu?

— Nē, viņi uz turieni tikai pārnes savu darbību, uzbrūk kompānijām aiz robežas. [Savas darbības] stilu, to darot, viņi nemaina -

šabloni, kas veiksmīgi nostrādājuši Krievijā, aiz robežas tiek pielietoti vēl veiksmīgāk, jo jaunajam tehnoloģiju vilnim vienmēr piemīt lielāks caursišanas spēks.

Tīri pēc rokraksta redzams, ka to dara mums jau zināmi grupējumi, tomēr svešā jurisdikcijā tos ir grūtāk saukt pie atbildības.

Vēl jo vairāk tāpēc, ka

mums šodien ir diezgan sarežģīta politiskā sitācija, un dažādu valstu varas iekārtas sazinās ne pārāk cieši. Ļaundari to izmanto.

— Arī informācijas apmaiņa notiek neaktīvāk?

— Kā kur. Noziedzinieki izmanto politiskās domstarpības starp Krieviju un Ukrainu, Izraēlu un Libānu, Pakistānu un Indiju, lai veiktu laupīšanas citās valstīs, nebaidoties no izdošanas. Specdienestu savstarpējās neuzticības fonā hakeru uzbrukumus var izmantot, arī lai iespaidotu konflikta attīstību vai nu no šīs valsts, vai ārpus tās. Turklāt mūsu uzņēmumam ir vienošanās ar "Europol", un mūsu ātrās reaģēšanas komanda "CERT-GIB" ir starptautisko organizāciju "First", "Trusted Introducer", "Impact" biedre. Šo organizāciju starpā norisinās [informācijas] apmaiņa, ja kāda lieta skar vairākas valstis.

— Pastāstiet par hakeru lietotajām tehnoloģijām - no lietotāja redzespunkta.

— Gala lietotājam vistuvākās ir mobilās tehnoloģijas. Līdz nesenam laikam tās bijušas saistītas ar maldināšanu, t.s. sociālo inženieriju (cilvēku kontrolēšana bez tehniskiem līdzekļiem - Rus.lsm.lv). Proti, kāds saņem īsziņu ar lūgumu aizpildīt kaut kādu aptauju vai uzinstalēt lietotni un uz to reaģē, tas ir, pats veic kaitīgās programmatūras uzstādīšanu. Pašlaik visa saziņa jau ir automatizēta.

Krievijā mēs vēl neko tādu neesam redzējuši, bet Eiropā jau ir fiksēti gadījumi, kad kādam atnāk īsziņa, piemēram, par to, ka viņa karte it kā ir bloķēta, spiežot viņu pazvanīt uz norādīto numuru. Bet tur ir robots, kas, it kā veicot papildus autorizāciju, prasa viņam ievadīt kartes numuru. Pēc tam atnāk īsziņas kods, un robots prasa to paziņot. Rezultātā cilvēks apstiprina krāpniecisku maksājumu, kas tika veikts sarunas brīdī. Noziedznieki izplata šabloniskas shēmas, kur vien var, un kāds uz tām noteikti reaģē. Apmēram tās pašas sistēmas, kuras izpilda automātisko zvana pieņemšanu bankā - tās bieži darbojas ar atvērtā pirmkoda programmatūru - nodrošina cilvēku vadīšanu balss izvēlnē: "Ja vēlaties to un to, nospiediet šo pogu," turklāt krieviski - tajā valodā, kurā ar klientiem sazinās banka.

Agrāk upurus apzvanīja ieslodzītie,

taču robots cilvēkos izraisa pat lielāku uzticību nekā cilvēka balss.

— Kā krāpnieki apiet trīs soļu aizsardzības sistēmu mobilajā bankā?

— Lūk, populāra shēma. Lietotājs, nospiežot uz "pikšķerēšanas" sūtījumu e-pastā vai īsziņā, nonāk fiktīvā lapā, kas veidota, ieturot bankas stilu. Tad viņš it kā aizpilda aptauju, lai saņemtu kaut kādus bonusa trīs tūkstošus rubļu - teiksim, atbildot uz jautājumiem, cik lielā mērā viņš ir apmierināts ar bankas darbu, utt. Tālāk viņam prasa paziņot kartes numuru un ievadīt SMS kodu, lai apstiprinātu šo trīs tūkstošu rubļu nosūtīšanu uz kontu. Īstenībā kods kalpo, lai apstiprinātu krāpniecisko maksājumu no, nevis uz karti. Taču pēdējos mēnešos Krievijā krāpniecība pret fiziskām personām ir pieklususi.

— Bet kur vērojams pieaugums?

— Mērķtiecīgi uzbrukumi pret bankām. Tehnoloģija pēdējos gados ir pilnveidojusies. Grupējumi, kas darbojušies pret juridiskām personām, izplatījuši kaitniecīgas programmas, inficējot, kuru vien sanāk. Bieži vien šis "kurš vien sanāk" izrādījās bankas iekšienē, un grupējums ieguvis pieeju bankas informācijas sistēmām, bet pēc tam, izmantojot publiski pieejamas programmas, ieguvuši no datora atmiņas paroles un pieejas kodus pie nākošajām sistēmām, pakāpeniski nonākot līdz svarīgiem servisiem, kā domēna kontrole. No turienes var darīt gandrīz visu, ko vajag, turklāt jau ar administratora tiesībām. Rezultātā viņi tikuši līdz brokeru sistēmām, līdz sistēmām, no kurām maksājumi tiek apkopoti un nosūtīti pa starpbanku kanāliem. Sākumā maksājuma rekvizīti tika mainīti manuāli, un pēcāk modernākie grupējumi sāka to darīt automātiski.

Tehnoloģija izrādījās diezgan tipveidīga, tomēr radās grūtības izdabūt naudu. To ir ļoti grūti pārvērst skaidrā naudā.

Vidusmēra kaitējums bankām ir ne vairāk kā 140 miljoni rubļu (2 miljoni eiro).

— Un kā to pārvērš skaidrā naudā?

— Pati izplatītākā shēma ir šāda: nauda tiek izsūtīta pa karšu kontiem, un pie bankomātiem pēc signāla noteiktā laikā pienāk cilvēki. Tam jānotiek pilnīgi saskaņoti, lai banka nepaspētu apstādināt transakcijas. Šādu sarežģītu operāciju spēj veikt tikai augstu kvalificēti grupējumi - tie, kuri kādreiz nodarbojās ar naudas izdabūšanu no juridisku personu kontiem caur internetbankām un kuri katrā etapā bija konstatējuši, kādu summu viņi var noņemt. Skaidrs, ka, esot pieejai SWIFT kodam vai starpbanku kanālam, iespējams izvest daudz vairāk. Bangladešas centrālajā bankā nesen centušies nozagt miljardu dolāru. Tomēr pārvērst tādu naudu skaidrā naudā ir ļoti grūti.

— Un kā šī nauda tiek uzkrāta? 

— Cilvēki, kuri pārvērš naudu skaidrā, saņem lielus procentus no kopējā loma. Pārējais pēc tam atgriežas pie organizatoriem, piemēram, uz dažādiem elektroniskajiem maciņiem. Pēc tam norisinās to atmazgāšana.

Pieļauju, ka Krievijas iedzīvotājs, kurš Eiropā nozadzis naudu, nevar viegli to pārskaitīt atpakaļ uz dzimteni: jāiziet valūtas kontrole, jāparāda līgumi - tā ir sarežģīta procedūra. Visdrīzāk, ka to pārvērtīs skaidrā naudā un pēc tam atkal turpat digitalizēs. Nav teikts, ka nauda vispār atstās Eiropu.

Kļūda rakstā?

Iezīmējiet tekstu un spiediet Ctrl+Enter, lai nosūtītu labojamo teksta fragmentu redaktoram!

Iezīmējiet tekstu un spiediet uz Ziņot par kļūdu pogas, lai nosūtītu labojamo teksta fragmentu redaktoram!

Saistītie raksti

Vairāk

Svarīgākais šobrīd

Vairāk

Interesanti