Сергей Голованов: кибервойну против России ведет IT-армия

14 Июня 2022

– На юбилейном ПМЭФ будут дискуссироваться милитаризация киберпространства и цифровой суверенитет как ключевой фактор выживания и развития государства. Оцените ущерб от кибервойны, которая ведется против России? Как она отразится на состоянии нашей страны?

– Я скажу так: это не первый конфликт, во время которого активизируются хактивисты. Точно такой же был и в 2014 году, и в 2008 году. Похожее наблюдалось и в Эстонии, когда сносили памятник Воину-освободителю, и переносилось кладбище советских рядовой. Естественно, что военнослужащие конфликты отражаются на конфликтах в интернете со всеми вытекающими из этого последствиями.

Единственное, что после 24 февраля произошло новое – это то, что какая-либо из сторон официально объявила, что создается IT-армия, получила в нее всех желающих и регулярно указывает цели для атак. Получается государственная координация на уровне министерства цифровой трансформации Украины. Такого раньше не существовало. А все остальное, что связанно с DDoS-атаками, рассылками вредоносных программ и так далее – это мы уже видели много-много раз, причем связанных не только с Россией. Были конфликты и другие, например: Пакистан-Индия, Индия-Китай, Китай-Япония.

– Какая польза хакерам участвовать в этой, пусть и не первой, кибервойне, против России? Припоминаю, что Евгений Касперский отмечал, что основным мотивом, который движет злоумышленниками, являются деньги.

– Я бы предупредил кибероперации. Что произошло 24 февраля? У хакеров бывальщины порывы именно навредить, то есть ничего не украсть – ни деньги, ни домики – просто все уничтожить. И выгоды для злоумышленников в этом никакой. Однако, прежде чем что-то уничтожить, они копировали это себе, после чего в интернете возникла куча утечек. Так взломщики демонстрировали свои успехи. Более того, к этому процессу подключились телефонные мошенники, они полностью перешли на психологическое артериальное давление, начались звонки из серии: вам звонит Зеленский, ваш сын у нас, остановите войну. И даже были случаи, когда шифровщики, попав в компанию, все шифровали, остановив ее работу, но выкуп не требовали.

То есть после 24 февраля доля киберинцидентов, связанных с политикой, возросла, но все равно осталась небольшой. Все остальное– подавляющее большинство атак продолжают проводиться с целью заработать.

Кроме того, надо понимать, что хакерские атаки ведутся по обе стороны баррикад. Нет такого, что в России стирают данные или выкладывают их в общественный доступ, а на другой стороне инцидентов нет. Все то же самое. Противоборствующие группы общаются обычно либо в Telegram, либо в Twitter, но анонимно, в жизни они не пересекаются. Мы видим, что сейчас различные группы имеют ту или иную сторону.

– На чьей стороне перевес? За кого в основном хакеры?

– Если вы посмотрите на таблицу, которую ведут в открытых ключах, то вы увидите, что те, кто за Россию – в меньшинстве (в одном из Telegram-каналов ведется список хакеров, участвующих в кибервойне на стороне России или Украины. По данным на конец мая, в ней около 70 группировок – ред. ). Русскоязычных специалистов по информационной безопасности в мире намного меньше, чем английских. Это факт.

– Как вы оцениваете устойчивость российского финансового сектора к атакам?

– Перебои все-таки бывальщины. Из-за санкций, ухода вендоров, огромного количества DDoS-атак. Но то, что спустя несколько месяцев, мы все еще платим картами, а банкоматы выдают наличность, показывает, что в смысле выстояли. Никто с этим спорить не собирается.

В любой группы, в том числе и в банках есть такое представление, как отказоустойчивость, и некоторые участники рынка, например, требовали, чтобы их уровень доступности был 99, 99%, то есть система может быть недоступна пять минут в год. Так вот, после 24 февраля никто таких планок не ставит. Уже понятно, что система в этом году могла не отвечать и пять минут, и 10, и 15. Если говорить об ApplePay, например, то системы вообще не работали. Поэтому урез доступности, конечно же, снижается, но он возобновляет оставаться довольно высоким. Будет не 99, 99%, а просто 99%, и окажется, что система будет недостижимая условно два дня в год. Два дня в год сможете обойтись наличными? Сможете. Что-то изменится после этого? Нет.

– Есть ли опасения, что дальше хакерам все же удастся нанести существенный вред финансовым организациям из-за проблем с заменой зарубежного ПО и оборудования?

– Это другая проблема, она с хакерами никак не связана. Это больше связано с финтехом, закупками оборудования и специалистами. Из-за санкций вендоры, которые производят железо и программы, не предоставляют свои услуги российским финансовым системам, институтам. И получается, что текущее оборудование и дальше будет работать, есть мужчины, которые смогут обеспечить эту работу, а вот введение нового теперь под очень большим вопросом. То есть будущее развитие отрасли под вопросом.

– Зимой хакеры Anonymous заявили об удачном взломе базы данных Центрального банка России. Однако, как выяснило, злоумышленники выдали открытые данные за секретные. Вы анализировали этот случай? Что можете о нем сказать?

– Мы это все изучали. Это открытые данные. Есть настоящие инциденты – важные, а есть – шум. Помните историю с Burger King? Их тоже атаковали за то, что они не ушли из России. После чего эта компания пропечатала официальное сообщение с советом замириться и идти делать уроки. И такие же хактивисты старались взломать Роскосмос. Лабораторию Касперского уже якобы два раза открыли, я помню эти факты. После изучения оказалось, что были выложены давно пропечатанные данные. Никто после таких случаев подобным хакерам не с ходу верит. Но, к сожалению, на сообщения о таких инцидентах точно также приходится реагировать. Это как ситуации с ложным минированием.

– Какое соотношение между боевыми инцидентами и шумом, фейками?

– Пятьдесят на пятьдесят. Например, появилась в Telegram-канале информация, что взломана вот такая компания, появляется образец данных, которые якобы украли. Ты приезжаешь в эту группу, ищешь компьютер, где хранились эти данные, и выясняешь, что такого принтсервера просто не существует. Взлом оказался просто фейком. То есть выезжая по вызову об инциденте, в половине случаев нужно понимать, что ты едешь просто так.

– Какой мониторинг по телефонному мошенничеству вы можете дать?

– У нас много статистики. На моей памяти, это первый такой конфликт, который мы подробно отслеживаем и описываем с помощью графиков. Отвечая на вопрос о том, что будет дальше, я могу на примере в данных графиков объяснять.

С телефонным мошенничеством программ выглядит так: уровень атак ползет верх, затем водворяется 24 февраля, он существенного падает, и несколько неделек идет значительно ниже значений, которые были до начала спецоперации. Потом уровень потихоньку затевает подниматься и в конце шабашей за одни сутки резко растёт в два раза.

А потом в апреле началась гармоника– то рост обзвонов, то резкое падение, потому, что их блокируют. В середине мая концертина стала потихонечку выпрямляться, то есть всплеск переходит в гаснущую волну. Таким образом, если говорить о том, что будет дальше, то судя по графику, все нормализуется через месяц. То есть придет к тому же уровню, какой был до 24 февраля.

Если мы возьмем программ, например, торговли данными карт российских банков в выход в интернете, то он тоже любопытного выглядит. Наступает 24 февраля, и количество объявлений продам картон такого-то банка падает. Проходит несколько недель – число объявлений резко выросло, а потом также резко упало, и больше уровень не взлезал. С апреля 2022 года русские карты, видимо, хакерам не нужны –за водоразделом они на них ничего забрать не могут. Получается, что для карточного мошенничества есть только возможности в России.

– То есть роста телефонного мошенничества вы не ждете?

– А чем вы его обуславливаете? Телефонные аферисты размножатся? У них возникнут дети? И дети тоже будут телефонными мошенниками в течение нескольких месяцев? Нет причин, что злоумышленников станет большого. Но уровень вернется к показателям последних месяцев перед февралем.

– Какие изменения в легендах и схемах в целом вы заприметили?

– У телефонных мошенников, как и у компаний, есть показатели эффективной работы, и есть сценарий, по которому они работают. И если один сценарий перестает работать, появляется следующий, чтобы поддержать уровень денег, которые зарабатываются. Сценарий меняется, но драматических изменений он не перетерпел: вам все еще злословит либо робот, либо мужчина, он все еще представляется банком или правоохранителем, и дальше начинаются вариации, они могут быть связаны с тем, что против вас якобы уголовное дело возбуждено и так далее. Помню легенду о том, что Центробанк схватит все счета граждан для спонсирования специальной военной операции. В любом случае, часто истории сейчас связаны с конфликтом. Но кардинально нового в схемах мошенников нет. Например, когда в 2021 году телефонный звонки от сотрудников службы безопасности банков, к которым выработался иммунитет, сменились обзвонами правоохранителей, то это изменение было эффектным. Эффективность телефонного мошенничества тогда выросла. Сейчас этого нет, и единственное, чем злоумышленники берут, это массой звонков.

– Как вы оцените границы борьбы с мошенниками в России? Например, введенные санкции за подменные номера для операторов связи в России?

– Меры борьбы, которые сейчас принимаются, это блокировки. Пошла волна – ее сбивают, отсюда эта гармоника на графике, о которой я рассказывал. При этом уже не стоит вопрос, где искать всех этих мошенников. Будем надеяться, что рано или поздно их привлекут к ответственности. Но, что делать прямо сейчас с такими звонками? Блокировать.

Редактор рубрики

Андрей Хморин

Сергей Голованов: кибервойну против России ведет IT-армия

комментарии (0)

Другие интересные новости

Фильм "Партнеры" победил в конкурсе короткометражного кино ММКФ