2024/11/06 16:28:29

Киберпреступность и киберконфликты : Россия


Содержание

Основные статьи:

Политика государства в сфере международной кибербезопасности

Основная статья: Политика России в сфере международной кибербезопасности

Организации РФ, отвечающие за безопасность в сфере ИТ

Ключевыми организациями России, занимающимися вопросами безопасности в сфере информационных технологий, являются:

Межведомственная группа для борьбы с киберпреступностью

10 сентября 2020 года стало известно о создании Генеральной прокуратурой РФ межведомственной рабочей группы для борьбы с киберпреступлениями. В неё, помимо прокуроров, вошли представители МИДа, МВД, ФСБ, Следственного комитета и Минюста России. Подробнее здесь.

Кибервойны

Россия вынуждена предпринимать меры сдерживания других стран в сфере киберпространства и таким образом оказывается вовлеченной в кибервойны. Ключевым оппонентом в данной сфере традиционно выступают США и Британия:

25 февраля 2022 года появилась информация о том, что Украинское Минобороны обратилось к хакерам за помощью в противостоянии с Россией. Сообщения, разосланные украинскими военными, содержат в себе предложение принять участие в кибервойне, но именно на стороне Украины:

Кибервойска РФ

Основная статья: Кибервойска РФ

Безопасность критической информационной инфраструктуры РФ

Основная статья: Безопасность критической информационной инфраструктуры РФ

Число кибератак

Основная статья: Число кибератак в России и в мире

Система обнаружения, предупреждения и ликвидации последствий компьютерных атак

Основная статья: Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак

Число киберпреступлений

Основная статья: Число киберпреступлений в России

Хакеры в России

Основная статья: Русские хакеры

Как именно выглядят хакеры в России и как складываются их судьбы.

2024

Атака 300 тыс. хакеров из 27 стран

Против России в 2024 году работают около 300 тыс. хакеров, которые осуществляют атаки из 27 различных стран. Эти данные были озвучены в ноябре 2024 года заместителем председателя правления Сбербанка Станиславом Кузнецовым. По его словам, основные каналы утечки данных — интернет-магазины и медицинские учреждения, что существенно подрывает информационную безопасность и наносит значительный ущерб экономике страны.

По данным telegram-канала «Е-экономика», количество хакеров, действующих против России, достигло масштабных показателей, что свидетельствует о серьёзных вызовах в сфере кибербезопасности. В дополнение к этому, в первой половине 2024 года количество DDoS-атак на российские организации увеличилось до 355 тыс., что на 16% больше по сравнению с показателями за весь 2023 год. Эксперты отмечают, что данный рост представляет серьёзную угрозу для всех секторов экономики.

Против России действует 300 тыс. хакеров из 27 стран

Станислав Кузнецов также сообщил, что ущерб экономике России от кибератак, совершённых в 2023 и 2024 годах, может составить 1 трлн ₽. Эта оценка основывается на данных, собранных кредитной организацией в условиях продолжающейся кибервойны. По его словам, если ситуация не изменится, ущерб может приблизиться к указанному уровню к концу 2024 года. Он отметил, что количество утечек данных также продолжает расти, при этом около 90% взрослого населения России имели какие-либо персональные данные в открытом доступе.CommuniGate Pro: итоги первого года работы законного правообладателя 2.5 т

По данным Сбербанка, основными источниками утечек данных остаются интернет-магазины и медицинские учреждения. При этом доля утечек из банковских учреждений значительно меньше и составляет около 2% от общего числа. В условиях обострения киберугроз правительство России планирует значительно увеличить объём трафика, проходящего через технические средства противодействия угрозам. Согласно планам, к 2030 году этот показатель должен составить 725,6 Тбит/с, что станет важным шагом в укреплении национальной информационной безопасности.

Станислав Кузнецов также подчеркнул, что несмотря на уменьшение количества телефонных звонков со стороны мошенников, их методы становятся всё более продуманными и опасными. В 2024 году фиксировалось до 6 млн таких звонков в сутки, что говорит о значительном уровне угрозы для граждан и организаций. По оценкам Сбербанка, в 2024 году объём средств, похищенных телефонными мошенниками, составит около ₽250 млрд.[1]

Смартфоны россиян массово заражает вирус, который имитирует уведомления от банков. Он блокирует экран

30 сентября 2024 года стало известно о том, что смартфоны россиян массово заражает вирус, имитирующий пуш-уведомления от банков. После проникновения на мобильное устройство этот троян блокирует экран, а затем демонстрирует фальшивые сообщения о списаниях средств. Конечной целью создателей зловреда является кража денег жертвы.

Как сообщает газета «Известия», киберпреступники используют смешанную схему атаки, сочетающую распространение вредоносного ПО и социальную инженерию. На первом этапе осуществляется внедрение трояна на смартфон: для этого, например, могут рассылаться фишинговые сообщения со ссылкой на вредоносный сайт. После того как жертва атаки переходит по такой ссылке, на мобильное устройство проникает вирус. Инфицированный аппарат начинает будто бы жить своей жизнью: на нем самопроизвольно открываются разные приложения, пролистывается экран и пр. Кроме того, начинают появляться пуш-сообщения якобы о списании денег со счетов тех банков, приложения которых установлены на смартфоне.

Смартфоны россиян заражает вирус, имитирующий банковские уведомления и блокирующий экран

Далее атака вступает во вторую фазу. Мошенники звонят жертве от имени службы безопасности кредитной организации, сообщают о взломе и предлагает быстро перевести деньги на «безопасный счет». Доверчивый пользователь может попасться на удочку злоумышленников и выполнить их указания. Как сообщили в Ассоциации развития финграмотности (АРФГ), зловред атакует устройства под управлением Android, не защищенные антивирусом.

«
Схема работает независимо от того, сколько на счете денег: пуш-сообщения приходят на небольшие суммы, но люди пугаются, что систему взломали и мошенники выведут все, что есть на счете, если их не остановить, — рассказали в АРФГ.
»

Эксперты подчеркивают, что вирус лишь имитирует пуш-сообщения от банков. На самом деле никаких списаний средств не происходит.[2]

ФСБ задержала банду, которая вымогала 900 тыс. рублей у ИТ-специалиста, отказавшегося разработать ПО для похищения денег. ВИДЕО

20 сентября 2024 года стало известно о том, что сотрудники ФСБ Тюменской, Свердловской и Челябинской областей в результате совместных оперативно-розыскных мероприятий задержали банду вымогателей, которые пытались получить 900 тыс. рублей у ИТ-специалиста, отказавшегося разработать ПО для похищения денег. Уголовное дело возбуждено по пп. «а,г» ч. 2 ст. 163 УК РФ (вымогательство, совершенное группой лиц по предварительному сговору в крупном размере).

Как сообщает газета «Коммерсантъ», ссылаясь на информацию, полученную от РУФСБ Тюменской области, злоумышленники требовали от потерпевшего разработать специальное программное обеспечение для хищения денег с банковских счетов граждан. Специалист в сфере ИТ-технологий ответил отказом, после чего преступники начали вымогать у него деньги, применяя угрозы жизни и причинения вреда здоровью.

ФСБ задержала банду, которая вымогала 900 тыс. рублей у ИТ-специалиста, отказавшегося разработать компьютерный вирус для кражи денег

Говорится, что подозреваемых задержали в Москве, Свердловской и Челябинской областях. Один из них оказался лицом без гражданства, двое являются гражданами России. По состоянию на сентябрь 2024 года следствие проводит мероприятия по выявлению иных эпизодов противоправной деятельности. Злоумышленникам грозит лишение свободы сроком до семи лет со штрафом в размере 500 тыс. рублей.[3]

Работающий в 60 регионах РФ удостоверяющий центр остановил выдачу электронных подписей из-за кибератаки

Удостоверяющий центр «Основание», работающий в 60 регионах России, приостановил выдачу электронных подписей из-за масштабной кибератаки. Атака была направлена на интернет-ресурсы центра, в результате чего сайты компании оказались недоступны. Об этом удостоверяющий центр в сентябре 2024 года сообщил на своих официальных страницах в социальных сетях. Инцидент привел к временной приостановке процесса выдачи сертификатов ключей электронной подписи, что затронуло множество пользователей, включая юридических лиц и индивидуальных предпринимателей. Подробнее здесь

Хакеры активизировали атаки на промышленность, телеком и ИТ-компании России

Компания 4Rays, входящая в ГК «Солар», обнародовала 29 августа данные по своим расследованиям киберинцидентов в первом полугодии 2024 г. Отчет[4] подготовлен отделом расследования инцидентов, поэтому включает сведения о тех случаях, когда в компанию обратились за расследованием компьютерной атаки. Количество случаев обращений за расследованием увеличилось за год на 60%. Однако в отчете в основном обсуждается деятельность хакерских группировок, а нанесенный российским компаниям ущерб не раскрывается.

В соответствии с опубликованными данными, за прошедшие полгода серьезные изменения произошли в активности хакерских группировок, которые атакуют цели на территории России. Если в первом полугодии 2023 г. 85% хакерских атак были направлены против государственных ресурсов, то теперь доля государственных жертв снизилась до 31%, но сильно увеличилось количество атак на предприятия промышленности (до 22%), телекома и ИТ-разработчиков (по 10%). При этом лидером по целям атак все равно остается государственный сектор.

Сравнение отраслевой структуры клиентов, обратившихся в 4Rays за расследованием инцидентов

«
Это происходит, в первую очередь, потому, что мы стали больше расследовать, – пояснил на презентации отчета Геннадий Сазонов, инженер группы расследования инцидентов Solar 4Rays. – За 1 квартал 2024 года количество расследованных инцидентов уже приближается к количеству всех расследованных инцидентов за весь 2023 год. У нас больше заказчиков и больше клиентов, которые приходят к нам из разных отраслей. Наш охват расширяется. За последние два года проукраинские группировки взламывают все больше различных компаний – атаки носят как целевой характер, так и массовый.
»

При этом доля атак на компании в финансовом секторе сократилась с 5% до 3%, что необычно. Впрочем, финансовый сектор отличается повышенными требованиями в информационной безопасности и уже выстроенной системой защиты вплоть до создания отраслевого центра реагирования FinCERT. В то время как промышленные компании, телеком и ИТ-разработчики, хотя и имеют привлекательные для хакеров финансовые ресурсы, уделяют информационной безопасности не так много внимания. Во всяком случае, TelCERT только создается, а PromCERT или ITCERT есть только в проектах. Есть только предложение накрыть ИТ-предприятия зонтиком TelCERT, создаваемым под руководством Минцифры.

Также эксперты 4Rays отмечают, что изменился и состав хакеров. Если в 1 полугодии 2023 года более трети всех нападающих (точнее 35%) составляли хулиганы-хактивисты, то в 1 полугодии 2024 года их уже совсем не стало. При этом сильно увеличилась доля наемников – с 10% в 2023 до 44% в 2024.

По определению 4Rays отличие хулиганов от наемников заключается в том, что первые используют общераспространенные инструменты нападения и редко занимаются монетизацией атаки, в то время как вторые разрабатывают эксклюзивные инструменты нападения и получают деньги за результат. Фактически это означает, что хулиганы и хактивисты переквалифицировались в кибернаемников, которые совершают свои действия не по идеологическим причинам, а уже за деньги.

Также увеличились доли массовых заражений (с 5% до 12%) и кибермошенников (с 25% до 28%). На общем фоне проправительственные группировки (точнее, спецслужбы и кибервойска) стали менее заметны – их доля за год уменьшилась с 25% до 16%. Скорее всего, это происходит за счет активизации и результативности кибернаемников.

Сравнение структуры атакующих российские предприятия

Изменилась и статистика по методам проникновения в корпоративные системы. Если в первом полугодии 2023 года больше половины (54%) атак было связано с уязвимостями в веб-приложениях, то в 2024 году популярность этого метода проникновения снизилась до 43%, но сильно увеличилась доля атак с помощью скомпрометированных учетных данных с 15% до тех же 43%. В то же время фишинговые атаки, в процессе которых хакеры обманом заставляют пользователей переходить по вредоносным ссылкам или запускать вредоносные файлы, сильно уменьшилась – с 31% до 7%.

Распределение по используемым методам атак, которые расследовали эксперты 4Rays

Как пояснил в ответе на вопрос TAdviser Геннадий Сазонов, связано это с тем, что различные группы злоумышленников предпочитают использовать свойственные для них техники взлома. В частности, восточноевропейские (читай украинские) группировки предпочитают пользоваться украденными учетными данными, а азиатские прибегают к фишингу. В частности, Геннадий Сазонов в своей презентации привел примеры целого ряда восточноевропейских группировок: Lifting Zmiy, Shedding Zmiy, Moonshine Trickster, Morbid Trickster, Fairy Trickster. Азиатская же группировка была названа только одна – Obstinate Mogwai.

В целом можно предположить, что основной хакерский фон в России связан с активностью именно восточноевропейских групп, которые переключились с хактивистской деятельности на зарабатывание денег, но не от финансовых институтов, а от терроризирования промышленных компаний, телекомов и ИТ-разработчиков России.

Китайские хакеры атакуют российский госсектор

В начале августа 2024 года стало известно о том, что китайские киберпреступные группировки атакуют десятки компьютерных систем, используемых в российских госструктурах и ИТ-организациях. Вредоносная кампания, получившая название EastWind, направлена прежде всего на кражу служебной информации.

Об обнаружении сложных целевых атак на российские структуры сообщает «Лаборатория Касперского». Анализ показал, что для первоначального заражения системы жертвы злоумышленники рассылают письма с архивами во вложении, внутри которых находятся вредоносные ярлыки, замаскированные под документы. При нажатии на ярлыки активируется установка троянской программы, взаимодействующей с киберпреступниками при помощи облачного хранилища Dropbox.

Китайские хакеры атакуют госсектор России

Одним из применяемых в рамках киберкампании инструментов является обновленная версия бэкдора CloudSorcerer. Злоумышленники усовершенствовали это ПО, добавив в него возможность использовать российскую социальную сеть «Живой Журнал» (LiveJournal) в качестве первоначального командного сервера. Благодаря этому обеспечивается дополнительная маскировка.

Помимо CloudSorcerer, на компьютеры внедряются вредоносные модули, используемые говорящими на китайском языке кибергруппами APT27 и APT31. Эти зловреды обладают обширной функциональностью: они позволяют злоумышленникам осуществлять кражу файлов, наблюдать за действиями на экране и записывать нажатия клавиш на зараженных устройствах.

«
В ходе обнаруженных атак применялось вредоносное ПО двух групп, которые при этом говорят на одном языке — китайском. Это является признаком того, что данные группы работают совместно, активно обмениваются знаниями и инструментами для атак. Как показывает практика, подобное взаимодействие позволяет продвинутым злоумышленникам работать более эффективно, — отмечает «Лаборатория Касперского».[5]
»

Российская федеральная сеть автосервисов Fit Service потеряла 108 млн рублей из-за кибератаки

В конце июля 2024 года стало известно о том, что российская федеральная сеть автосервисов Fit Service подверглась массированной кибератаке. Ущерб от действий злоумышленников оценивается более чем в 100 млн рублей. Подробнее здесь

Хакеры атаковали госсектор и компании в России через взломанные системы для лифтов

8 июля 2024 года стало известно о масштабной кибератаке на государственный сектор и компании в России, осуществленной через взломанные системы управления лифтами. Хакерская группировка Lifting Zmiy из Восточной Европы использовала уязвимости в контроллерах SCADA-систем для проникновения в ИT-инфраструктуру различных организаций. Подробнее здесь.

Хакеры взломали ИТ-компанию «Смарт офис», которая внедряет продукты 1С

29 мая 2024 года стало известно о масштабной хакерской атаке на российскую ИT-компанию «Смарт офис», специализирующуюся на обслуживании серверов и внедрении программных продуктов 1С. Киберпреступники осуществили взлом информационных систем компании в период с 24 по 25 мая 2024 года, в результате чего у многочисленных клиентов «Смарт офис» возникли серьезные проблемы с доступом к программным продуктам и работой в привычном режиме. Подробнее здесь.

Замечено присутствие вражеских госхакеров в сетях российских компаний

В мае 2024 года в ИБ-компания «Солар» сообщила о выявлении прогосударственной хакерской группировки Shedding Zmiy, которая атаковала десятки российских организаций. Подробнее здесь.

Взломан сервис по продаже билетов RedKassa: Хакеры вывесили на сайте приглашение на концерт Кобзона

В конце апреля 2024 года сервис по продаже билетов RedKassa был взломан. Причастные к кибератаке хакеры вывесили на сайте приглашение на концерт Иосифа Кобзона, который скончался еще в 2018 году. Подробнее здесь.

Все ИТ-системы Агрокомплекса им. Н. И. Ткачева подверглись кибератаке. Хакеры зашифровали данные и требуют 0,5 млрд рублей

10 апреля 2024 года стало известно о том, что Агрокомплекс им. Н. И. Ткачева, одно из крупнейших сельскохозяйственных предприятий в России, подвергся массированной хакерской атаке. Злоумышленники взломали ИТ-инфраструктуру предприятия, внедрив в нее программу-вымогателя. За восстановление доступа к зашифрованной информации киберпреступники требуют выкуп в размере 500 млн рублей. Подробнее здесь.

Российские гос- и финансовые компании атакует новая кибергруппировка Lazy Koala

В начале апреля 2024 года в ИБ-компании Positive Technologies сообщили о выявлении новой хакерской группировки под названием Lazy Koala, которая атакует государственные и финансовые компании, а также медицинские и образовательные учреждения. Подробнее здесь.

«Кибердетективы» из Индии атаковали российскую нефтегазовую компанию

Компания «Перспективный мониторинг» в конце марта опубликовала отчет под названием «Миллионеры из трущоб»[6], в котором раскрыла подробности расследования одной спамерской атаки. Эксперты компании обнаружили, что их клиентам в начале 2024 года начали приходить письма с вредоносным вложением. Как сообщили эксперты «Перспективного мониторинга» атакой была затронута инфраструктура крупной российской нефтегазовой компании. В каждом из писем фигурировал домен cloudsecure[.]live, который, как оказалось в процессе расследования, связан с индийской кибергруппировкой CyberRoot.

«
В основном атаки этой группировки была направлены против физических лиц, – пояснила Анна Хромова, системный аналитик «Перспективного мониторинга». – Они пытались узнать о них какую-нибудь конфиденциальную информацию, чтобы в дальнейшем получить доступ к инфраструктуре самой компании.
»

В результате расследования было установлено, что сотрудники CyberRoot выдавали себя за журналистов, руководителей бизнеса и медийных личностей, чтобы войти в доверие своих жертв. При этом они изучали информацию из социальных сетей подписчиков, друзей и членов семей жертвы, чтобы создать вызывающие доверие фейковые учетные записи, с помощью которых и вытягивали нужную для атаки информацию.

В отчете «Перспективного мониторинга» сказано, что основным инструментом компании является фишинг, цель которого – воровство учетных данных руководителей компании-жертвы с помощью вредоносных программ. Финалом атаки является установленный на мобильные устройства руководства компании шпион, который позволяет тайно записывать события, происходящие на телефоне, и отсылать их на командный сервер разработчика. Собранные с помощью подобных инструментов данные используются в том числе и для проникновения инфраструктуру компании, которой он управляет.

Атрибуция связи CyberRoot по IP и доменной структуре с инфраструктурой Appin

Однако в процессе изучения инфраструктуры CyberRoot обнаружилось, что она является частью более общей международной инфраструктуры хакерских атак, которая связана с индийскими разработчиками шпионских программ Appin. Кроме названных компаний, в сферу влияния индийских разработчиков шпионского ПО также входят такие организации как Rebsec, BellTrex и DarkBasin.

Компания Appin стала популярной в ноябре 2023 года, когда SentinelOne совместно с Reuters опубликовали подробные обзоры[7] деятельности компании и ее дочерних структур. По данным международных исследователей, Appin была основана в 2003 году и занималась разработкой шпионского ПО для частных детективов из США, Великобритании, Швейцарии и других стран. Инструменты компании под названием My Commando позволяли организовать взлом почты, настольных и мобильных устройств жертв для их дальнейшей разработки. Однако 22 декабря прошлого года оба отчета (технический SentinelOne и политический Reuters) были сняты с публикации по требованию адвокатов Appin.

Впрочем, первоначально информация о группе Appin была опубликована еще в 2011 году после взлома их инфраструктуры хакерской группировкой Tigers of Indian Cyber. Ее представители утверждали, что Appin использует студентов, которые обучаются у них на курсах, для создания фишинговых страниц.

История развития кибергруппировки Appin

После публичного раскрытия информации группировка заявила о прекращении своей деятельности в 2012 году. Однако на самом деле началось активное переименование компаний и создание различных дочерних структур в группе. Так, в 2012 году была создана Rebsec, а CyberRoot и BellTrox – в 2013 году. Впрочем, и сама компания Appin Software Security в 2014 году была переименована сначала в Approachinfinite Computer and Security Consultance Grp, а в 2015 – в Adaptive Control Security Global Corp. Компания Appin Technology Pvt в 2015 превратилась в Mobile Order Management private limited, а через год – в Sunkissed Organic Farms.

2023

Центр кибербезопасности ФСБ зафиксировал изменения в поведении злоумышленников в 2023 году

Замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Алексей Иванов 7 февраля 2024 года рассказал о тенденциях в области кибербезопасности в России за прошлый год.

Основные факторы, определяющие обстановку, не изменились. Прежде всего, это геополитическая ситуация, в рамках которой против России развёрнута беспрецедентная киберкампания, отметил он. При этом в стране полным ходом продолжается цифровизация, и в ряде случаев внедряются системы, которые имеют уязвимости с точки зрения ИБ. Как правило, это связано с тем, что вопросы ИБ недостаточно проработаны на этапе проектирования таких систем. Также сохраняется зависимость от зарубежных решений и технологий, что даёт противнику дополнительные возможности для осуществления компьютерных атак. Развивается индустрия злоумышленников, появляется новый инструментарий, совершенствуются механизмы их совместной работы, развивается разделения труда между различными группировками.

Но несмотря на то, что основные факторы остались теми же, наблюдаются изменения в целях противника. Прежде всего, заметно снижение количества компьютерных атак, направленных на создание и распространение новостных сообщений, которые ориентированы на деструктивное воздействие на российское общество, сообщил Алексей Иванов.

«
Без сомнения, противник продолжает использовать компьютерные атаки, чтобы продвигать те или иные информационные кампании, но сейчас мы это уже расцениваем, как некий бонус после того, как он получает результат по своим основным целям, — отметил замдиректора НКЦКИ.
»

Действия злоумышленников в отношении целевых ресурсов стали более продуманными

Также в НКЦКИ наблюдают, что в настоящее время функционируют достаточно эффективные механизмы организации взаимодействия различных группировок и отдельных злоумышленников. Одни осуществляют поиск уязвимостей в информационных ресурсах российского сегмента интернета, другие, используя результаты этого сканирования, осуществляют первичное проникновение, третьи добывают информацию с периметра. А четвёртые на основе этой информации планируют и реализует атаки в отношении значимых целевых объектов организаций.

То, что не было использовано для атак непосредственно теми, кто добыл информацию, выкладывается на различных площадках для использования другими.

В отношении целевых ресурсов действия противника тоже претерпели изменения, говорит Алексей Иванов. Если раньше после получения доступа к информационной системе злоумышленники старались как можно скорее заявить, продемонстрировав доказательства своего доступа, то сейчас действия более продуманные: противник осуществляет дополнительную разведку информационных систем, получает сведения об их архитектуре, определяет ключевые элементы и осуществляет как можно более скрытые попытки распространения в этих системах или ищет варианты для того, чтобы атаковать связанные с ней.

В качестве основного направления деятельности противника в НКЦКИ отмечают добывание разного рода информации. Добывается даже не то, что можно напрямую монетизировать или получить эффект от обнародования данных. Интерес проявляется практически ко всему, но прежде всего — к служебной информации, переписке, персданным. Также интерес представляют данные об архитектуре сети, конфигурационные данные устройств, ресурсов, учетные записи и даже журналы регистрации событий.

Наибольший интерес киберпреступники проявляют к служебной информации, переписке, персданным

Ещё одной особенностью злоумышленников в НКЦКИ считают нацеленность на нанесение реального ущерба. После того, как произошла выгрузка данных, противник стремится уничтожить значимые элементы инфраструктуры, для чего используется либо шифрование, либо полное уничтожение.

«
К сожалению, такое комплексное воздействие со стороны злоумышленников в ряде случаев приводило к безвозвратной утрате данных их владельцами, — отметил Алексей Иванов.
»

Как в НКЦКИ и прогнозировали, с конца 2022 года весь 2023 год наблюдалось увеличение числа публикаций об утечках данных. Не всегда эти заявления достоверные, и иногда авторы таких публикаций используют компиляцию открытых данных или ранее уже утекших, но даже с учетом этого объём утекших данных в 2023 году «колоссальный».

К утечкам имеет отношение и изменение характера DDoS-атак: наблюдается снижение числа активных участников и числа самих атак. Также есть особенность, что сейчас DDoS-атака используется для сокрытия основной цели похищения данных.

Ещё одной тенденцией по итогам 2023 года в НКЦКИ называют увеличение числа атак через подрядчиков — через цепочки поставок. Этот вектор проникновения входит в тройку ведущих наряду с фишинговыми рассылками и эксплуатацией уязвимостей, но он является наиболее опасным, отмечает Алексей Иванов: злоумышленник специально выискивает компании, которые имеют большое количество заказов по созданию и управлению ИКТ-инфраструктурой в госсекторе, в КИИ. И за каждой атакой на подрядчика следует 10-15 инцидентов в существенных организациях с серьёзным ущербом.

Такие атаки связаны с тем, что подрядчик зачастую не принимает действенных мер по защите своей инфраструктуры и, соответственно, облегчает задачу злоумышленнику.

«
Это проблема системная, несёт угрозу безопасности государству, и мы со своей стороны считаем возможным информировать организации, которые нанимали соответствующих интеграторов для оказания услуг, о том, что у них произошли инциденты. Но, конечно, рассчитываем на сознательность этих компаний. Сейчас нередкий случай, когда они скрывают информацию об инцидентах у себя, чтобы это не повлекло ущерба их репутации, — говорит замдиректора НКЦКИ.
»

В 2023 году по обращениям НКЦКИ прекращена деятельность порядка 38 тыс. вредоносных ресурсов, в том числе, разделегированы более 27 тыс. доменных имён. К ГосСОПКА за год присоединились более 900 новых участников.

Число кибератак на ИТ-инфраструктуру РЖД за 2 года выросло в 20 раз

Число кибератак на ИТ-инфраструктуру РЖД в январе-ноябре 2023 года превысило 600 тыс., что в 20 раз больше, чем в 2021 году. Такие цифры на круглом столе по безопасности объектов критической информационной инфраструктуры (КИИ) на транспорте, организованном комитетом Совета Федерации (СФ) по конституционному законодательству и госстроительству, привел директор департамента цифрового развития Минтранса Дмитрий Скачков. Подробнее здесь.

Тёмная сторона цифровизации. Как мошенники могут легально получать данные для обогащения утёкших баз

На просторах DarkWeb в ноябре был обнаружен сервис по проверке данных по проверке данных пользователей телефонов с помощью системы быстрых платежей (СБП)[1]. На вход системы подается список телефонов, которые после работы чекера дополняются такими сведениями как имя, отчество абонента и список банков, зарегистрированных на него в СБП. Это позволяет обогащать данными утекшие базы, которые публикуются и продаются на черном рынке. Впрочем, СБП – не единственная система, за счёт которой злоумышленники стремятся обогащать утекшую информацию. И по мере цифровизации таких систем будет становиться все больше. Подробнее здесь.

На российский госсектор обрушилась мощнейшая хакерская атака

Летом 2023 года на госсектор обрушилась мощнейшая хакерская атака. О ней 24 октября 2023 года рассказали в «Лаборатории Касперского».

По данным экспертов российской антивирусной компании, злоумышленники использовали фишинговые письма, чтобы красть данные организаций с помощью нового бэкдора. Он запускал вредоносный скрипт [NSIS].nsi, который с помощью нескольких модулей пытался украсть данные с зараженного устройства.

«
Фишинговые письма — один из популярных способов проникновения злоумышленников в инфраструктуру. Атакующие, как в данном случае, стремятся использовать правдоподобные легенды, легитимные документы и применять всё более сложные тактики для скрытия своей деятельности. Так, исполнение вредоносного кода с помощью .nsi скрипта усложняет анализ вредоносной активности, - отметил эксперт по кибербезопасности «Лаборатории Касперского» Тимофей Ежов.
»

Как пояснили в «Лаборатории Касперского», после запуска зловред проверяет доступ в интернет и пытается подключиться к легитимным веб-ресурсам — зарубежным СМИ. Затем он проверяет заражённое устройство на наличие ПО и инструментов, которые могли бы обнаружить его присутствие — например, песочниц или виртуальных сред. В случае наличия хотя бы одной, бэкдор прекращал свою активность. Когда все проверки были пройдены, зловред подключался к серверу атакующих и загружал модули, которые позволяли ему красть информацию из буфера обмена, делать снимки экрана, находить пользовательские документы в популярных расширениях (например, doc, .docx, .pdf, .xls, .xlsx). Все данные передавались на сервер управления.

В середине августа 2023 года была обнаружена вторая волна рассылок. Исследователи сообщили, что злоумышленники внесли некоторые изменения в свою систему, но цепочка заражения и скрипт-загрузчик остались неизменными. Неясно, пострадала ли какая-либо организация в результате этих двух волн рассылок.[8]

Хакеры атакуют российские компании с помощью утекших исходных кодов вирусов

Злоумышленники атакуют российские компании с помощью утекших исходных кодов программ-вымогателей. Об этом в 6 сентября 2023 года сообщили в ИБ-компании Bi.Zone.

По словам экспертов, в открытом доступе появились исходные коды вымогателей Babuk, Conti и LockBit. По данным киберразведки Bi.Zone, ими сегодня активно пользуются сразу три преступные группы: Battle Wolf, Twelfth Wolf и Shadow Wolf.

Хакеры атакуют российские компании с помощью утекших исходных кодов

Так, хакерская группировка Twelfth Wolf появилась в апреле 2023 года, реализовав как минимум четыре успешные атаки. В своем Telegram-канале группа сообщала об атаке на один из крупнейших федеральных органов исполнительной власти РФ, которая, по их словам, привела к утечке конфиденциальной информации.

«
Сегодня опубликованные в Сети исходные коды вредоносных программ пользуются большой популярностью среди злоумышленников. Открытый доступ к подобным инструментам снижает порог вхождения в киберпреступность, делая атаки гораздо дешевле и проще с точки зрения организации. Даже те страны и отрасли, которые ранее не попадали под атаки оригинальных преступных групп, теперь оказываются под прицелом, — отметил руководитель управления киберразведки Bi.Zone Олег Скулкин.
»

Как отмечается в исследовании Bi.Zone, опубликованном в начале сентября 2023 года, с начала 2022-го внутри многих преступных групп произошел разлад. Вместе с этим под влиянием геополитических событий повысилось внимание к злоумышленникам со стороны правоохранительных органов и исследователей. Участились взломы используемых преступниками инфраструктур, группировки публикуют в сети данные своих конкурентов, информацию о применяемых методах и инструменты для проведения атак, например билдеры, позволяющие создавать вредоносное ПО.

МВД хочет получить доступ к «расшифровке трафика»

В середине августа 2023 года стало известно о том, что МВД России разработало поправки в закон об оперативно-розыскной деятельности. Ведомство предлагает расширить перечень мероприятий для документирования преступлений с использованием информационных технологий.

Как сообщает газета «Ведомости», МВД намерено добавить к оперативно-розыскным мероприятиям исследование информации, которая содержится в технологических системах ее передачи, в том числе в интернете. Это, как предполагается, поможет расширить оперативные возможности, как по документированию фактов преступной деятельности, так и по раскрытию совершенных преступлений. То есть, по сути, речь идет о расшифровке трафика.

МВД предлагает расширить перечень мероприятий для документирования преступлений с использованием информационных технологий

В документе МВД, опубликованном на сайте проектов нормативно-правовых актов, говорится, что в 2022 году в России выявлено более 522 тыс. преступлений, совершаемых с использованием информационно-телекоммуникационных технологий. Это составляет приблизительно 22% от общего количества противоправных деяний. Однако 71% уголовных дел, возбужденных по фактам таких преступлений, приостановлены, поскольку лицо, подлежащее привлечению в качестве обвиняемого, не установлено. Предполагается, что новая инициатива позволит улучшить статистику раскрываемости подобных преступлений.

В МВД говорят, что в России широко распространены преступные деяния с использованием банковских карт, интернета, средств мобильной связи и компьютерной техники. Причем злоумышленники зачастую пользуются специальными средствами для сокрытия своей деятельности, например, VPN или подменой телефонных номеров.

Проблемой при документировании таких преступлений, как заявляют авторы инициативы, является отсутствие инструментария, который позволяет оперативно, в том числе в режиме реального времени, исследовать разрозненные компьютерные данные. В их число входят текст и видеоматериалы, а также сведения технического характера, такие как время и место подключения к ИТ-системам, оборудование, сетевой адрес и пр.

Поэтому в МВД считают необходимым дополнить перечень оперативно-розыскных мероприятий новым видом, что позволит оперативно исследовать данные «в форме электрических сигналов» независимо от средств их хранения и обработки на предмет установления следов преступления и для того, чтобы закрепить их как доказательства по уголовным делам.[9]

Reuters: ИТ-системы российского разработчика ракет «НПО машиностроения» взломали хакеры из Северной Кореи

7 августа 2023 года стало известно о том, что хакеры из Северной Кореи взломали ИТ-системы российской компании «НПО Машиностроения». Это предприятие занимается разработкой, производством и модернизацией комплексов стратегического и тактического авиационного высокоточного оружия классов «воздух-поверхность», «воздух-воздух» и унифицированных систем морского вооружения, отечественной ракетно-космической техники и радиоэлектронного оборудования. Подробнее здесь.

Ростовский хакер приговорен к двум годам колонии за атаки на сайты банков, ТЭК и телеком-компании

4 июля 2023 года Железнодорожный районный суд Ростова-на-Дону приговорил россиянина Ивана Баяндина к двум годам колонии за хакерские атаки на критическую информационную инфраструктуру РФ (КИИ). Подробнее здесь.

Сайт и приложение РЖД три дня не работают из-за хакерской атаки

3 июля 2023 года в работе официального сайта и мобильного приложения РЖД начали происходить сбои. В компании подтвердили наличие проблем, сообщив, что компьютерная инфраструктура подверглась хакерской атаке. Подробнее здесь.

Российский оператор спутниковой связи «Дозор-Телепорт» атакован хакерами. В его работе наблюдаются сбои

В конце июня 2023 года российский оператор спутниковой связи «Дозор-Телепорт» атакован хакерами. В его работе наблюдаются сбои. Подробнее здесь.

Путин разрешил конфисковывать имущество у хакеров

Президент России Владимир Путин подписал закон, предусматривающий конфискацию денег и имущества, полученных в результате киберпреступлений. Соответствующий документ был опубликован на портале правовых актов 13 июня 2023 года.

В соответствии с документом, конфискации подлежат средства, полученные в результате противоправной деятельности. Также конфискация, в том числе, предусмотрена в случае, если преступление повлекло крупный ущерб, было совершено из корыстной заинтересованности, группой лиц или с использованием служебного положения.

Президент РФ Владимир Путин

Принятый закон дополняет УК РФ положением, расширяющим перечень преступлений, в связи с совершением которых имущество может быть конфисковано. Теперь к числу таких преступлений относится создание, использование и распространение вредоносных компьютерных программ, неправомерное воздействие на критическую информационную инфраструктуру РФ, а также нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, нарушение правил доступа к информационно-телекоммуникационным сетям, повлёкшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, если оно повлекло тяжкие последствия или создало угрозу их наступления.

Кроме того, конфискация предусмотрена за неправомерный доступ к компьютерной информации, если преступление повлекло крупный ущерб, было совершено из корыстной заинтересованности, группой лиц по предварительному сговору, организованной группой либо лицом с использованием своего служебного положения. Изъятие имущества и денег будет грозить и в случае тяжких последствий от совершенного преступления или появления угрозы их наступления.

Закон начинает действовать со дня опубликования.

Российская Федерация Федеральный Закон О внесении изменения в статью 104 Уголовного кодекса Российской Федерации

В России появилась мошенническая схема с расшифровкой аудиозаписей

Аферисты начали обманывать россиян под предлогом заработка на расшифровке аудиофайлов. О новом виде мошенничества в интернете в начале июня 2023 года предупредили в «Лаборатории Касперского».

Злоумышленники создали сразу несколько ресурсов с идентичным дизайном и контактами для связи, но разными названиями. На них предлагают «выполнять работу, которая не под силу компьютеру, — распознавать аудиофайлы и получать за это деньги». Речь идёт о записях публичных выступлений, семинаров, судебных заседаний, интервью, лекций. Пользователей заманивают обещаниями высокого дохода, карьерного роста и удобным графиком: задания можно выполнять в любое время суток, а всё, что нужно человеку, — доступ к интернету и знание русского языка.

Аферисты начали обманывать россиян под предлогом заработка на расшифровке аудиофайлов

Чтобы привлечь потенциальных жертв, злоумышленники размещают на сайте информацию о том, сколько зарабатывают пользователи платформы за сутки — якобы в среднем около 3-4 тыс. рублей. На одном из сайтов было указано, что за четыре месяца работы сервиса в нём зарегистрировалось почти 5 тыс. человек, которым суммарно выплатили более $200 тыс. В иностранной валюте указывается и стоимость выплат за конкретное задание. Это может быть признаком того, что мошенники применяют схему не только в России, используя автоматический перевод и меняя отдельные элементы наполнения сайтов.

Жертве нужно зарегистрироваться на портале, чтобы якобы начать зарабатывать на транскрибации. После этого человек получает доступ к платформе. Здесь есть инструкция и ответы на популярные вопросы. После регистрации действительно предлагается расшифровать несколько аудиодорожек и отправить текст на проверку. Но затем, когда человек захочет вывести заработанное, сервис попросит верифицировать аккаунт и внести 500 рублей. Однако никаких денег человек не получает.[10]

Принят закон о конфискации имущества у киберпреступников

В конце мая 2023 года Госдума приняла в третьем (окончательном чтении) поправки в в Уголовный кодекс РФ, которые позволят осуществлять конфискацию имущества киберпреступников.

Как сообщается на сайте Госдумы, изменения вносятся в статью 104.1 УК РФ. В соответствии с поправками, будет изыматься имущество, полученное в результате неправомерного доступа «к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб или совершенное из корыстной заинтересованности… или создало угрозу их наступления».

Госдума приняла поправки в в Уголовный кодекс РФ, которые позволят осуществлять конфискацию имущества киберпреступников

Также, согласно принятому документу, конфискация будет грозить за «создание, использование и распространение вредоносных компьютерных программ; нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, если оно повлекло тяжкие последствия или создало угрозу их наступления».

По мнению соавтора инициативы, председателя Комитета по безопасности и противодействию коррупции Василия Пискарева, введение конфискации нажитого хакерами имущества послужит восстановлению справедливости и позволит направить эти средства на возмещение ущерба потерпевшим.

Парламентарий ранее отмечал, что в последнее время наблюдается активное проникновение криминала в информационные технологии и телекоммуникации, а также рост мошенничества в кредитно-финансовой сфере. Количество потерпевших от него, особенно среди людей пожилого возраста, растет.[11]

Хакеры Sneaking Leprechaun за год атаковали 30 ИТ-компаний из России и Белоруссии с целью получения выкупа

Хакерская группировка Sneaking Leprechaun за год атаковала около 30 ИТ-компаний из России и Белоруссии с целью получения выкупа. Об этом в мае 2023 года «РИА Новости» рассказали в компании по управлению цифровыми рисками Bi.Zone. Подробнее здесь.

Половина мошеннических сделок с недвижимостью совершается в России с использованием интернет-технологий

Половина мошеннических сделок с недвижимостью совершается в России с использованием цифровых технологий. Такие данные в марте 2023 года управляющий партнер компании «Метриум» Надежда Коркка.

«
В области недвижимости доля онлайн-мошенничества чуть меньше, так как до сих пор сохраняется немало очных схем — например, реализация жилья по поддельным документам и сделки, намеренно ущемляющие интересы недееспособных лиц, - сказала она «Коммерсанту».
»

Доступ к документам мошенники могут получить и через аккаунт на портале Госуслуг, своровав электронную подпись жертвы

Один из наиболее популярных видов сетевого мошенничества связан с фальшивыми сайтами — подложные страницы записи к нотариусу. Пользователи попадают на них, когда ищут адрес ближайшей нотариальной конторы. Фиктивные сайты, как отмечают эксперты, выглядят располагающе, содержат информацию о действующих нотариусах. Задача мошенников в этой схеме — уговорить пользователей загрузить на сайт копии паспорта и документов, подтверждающих собственность на жилье.

Доступ к документам мошенники могут получить и через аккаунт на портале Госуслуг, своровав электронную подпись жертвы. Воспользовавшись ею, они продают чужую недвижимость, присваивая деньги.

Кроме того, лжериэлторы размещают на маркетплейсах объявления, в которых представляются сотрудниками надежных агентств недвижимости и предлагают свои профессиональные услуги. Чтобы ввести людей в заблуждение, они используют в тексте реальные адреса известных компаний, но для связи оставляют личный номер. Клиентов, которые к ним обращаются, например, с просьбой помочь со сдачей квартиры в аренду, аферисты просят внести предоплату за предстоящую работу.

У лжепродавцов действует похожая схема. Они просят клиентов перевести залог через «сервис бронирования от сайта». Таким образом они получают доступ к банковской карте.[12]

Как хакеры взламывают ТВ- и радиоканалы в России

Утром 28 февраля 2023 года эфир ряда российских телеканалов и радиостанций прервало фейковое сообщение о воздушной тревоге и просьбе проследовать в укрытие. О том, как хакеры взламывают ТВ- и радиоканалы, «Коммерсанту FM» рассказали профильные эксперты.

По словам директора и партнера компании «ИТ-Резерв» Павла Мясоедова, эфир складывается из определенного количества записей, которые подтягиваются программным обеспечением на радиостанции с хранилищ. Существуют определенные каналы связи между разными элементами ПО, и эти отдельные каналы связи могут в недостаточной мере защищаться. Злоумышленники находят так называемые бэкдоры и используют их в нужный момент, отметил он.

Хакеры находят бэкдоры и используют их в нужный момент
«
Что касается последних инцидентов, то они связаны в первую очередь с тем, что в течение долгих лет программное обеспечение радиостанций и вообще трафик не подвергался никаким атакам. Мы знаем, что телевизионные каналы периодически взламывались на протяжении предыдущих десятилетий, а вот с радио подобного не происходило, - сообщил Мясоедов.
»

Злоумышленники способны взломать доступ к серверам радиостанций в удаленном режиме через интернет-подключение, однако роль играет и человеческий фактор, указывает специалист по кибербезопасности Сергей Вакулин. Он предположил, что хакеры заменили файл, который должен был транслироваться в эфире.

В МЧС заявили, что серверы телеканалов и радиостанций были взломаны, что привело к звучанию в эфире в некоторых субъектах России недостоверной информации об объявлении воздушной тревоги.

Консультант по интернет-безопасности компании Positive Technologies Алексей Лукацкий отметил, что региональным СМИ не всегда хватает ресурсов для защиты от кибератак. Чтобы не допустить таких взломов, нужно, чтобы ИТ-сотрудники радио либо внешние специалисты, нанятые редакцией, занимались круглосуточным контролем и по определенным признакам выявляли факт проникновения внутрь компьютерной сети и замену одних файлов на другие.[13]

Хакеры взломали ИТ-инфраструктуру российского производителя оборудования для автоматизации торговли «Атол»

Хакеры взломали ИТ-инфраструктуру российского производителя оборудования для автоматизации торговли «Атол». Это произошло 31 января 2023 года. Подробнее здесь.

2022

Group-IB заявила о нападении китайских хакеров на российские ИТ-компании

13 февраля 2023 года российская компания Group-IB, специализирующаяся на разработке технологий информационной безопасности, заявила о нападении китайских хакеров на ИТ-сектор РФ и рассказала о схеме, которую использовали злоумышленники при своих нападениях. Подробнее здесь.

Telegram-каналы россиян начали «угонять» по-новому. Схема

В конце декабря 2022 года стало известно о новом схеме «угона» аккаунтов Telegram в России. Речь идет об использовании фейковых конкурсов. Подробнее здесь.

Минцифры предупредило о массовом «угоне» аккаунтов в Telegram

В середине декабря 2022 года в Минцифры предупредили о массовом «угоне» аккаунтов в Telegram и рассказали о схеме, которую используют мошенники. Подробнее здесь.

Российские хакеры XakNet заявили о взломе Минфина Украины

Хакерская группировка XakNet сообщила об операции по взлому министерства финансов Украины. Работа велась несколько месяцев, сообщили 22 ноября 2022 года российские хакеры в своем Telegram-канале. Подробнее здесь.

Чернышенко: Число кибератак на Россию в 2022 году выросло на 80%

В 2022 году число кибератак на Россию увеличилось на 80%, сообщил вице-премьер Дмитрий Чернышенко на встрече с президентом РФ Владимиром Путиным. По словам зампреда правительства, основной целью хакеров был госсектор, сообщила пресс-служба Кремля 24 октября 2022 года.

По данным Чернышенко, российские специалисты ликвидировали более 25 тысяч кибератак на госресурсы и 1200 — на критическую инфраструктуру. Вице-премьер добавил, что против России воюют кибервойска всех недружественных стран и эта борьба будет продолжаться.

Дмитрий Чернышенко
«
Но очень важно, что по вашему поручению организованы киберштабы во всех органах исполнительной власти, во всей критической инфраструктуре. Мы продолжаем эффективно обороняться, — сказал он, обращаясь к президенту.
»

Чернышенко отметил, что в России уже создали несколько информационных систем, которые определят будущее цифровизации страны. Одна из них — единая биометрическая система, благодаря которой все данные граждан будут находиться в защищенном российском облаке и храниться в векторном виде, что усложняет попытку взлома.

За второе полугодие 2021 г. и первое полугодие 2022 года почти половина (46,6%) российских ведомств столкнулись с кибератаками, причем в 15% из них нападения были многократными, следует из исследования Центра подготовки руководителей и команд цифровой трансформации РАНХиГС, которое проводилось в мае – июне 2022 года.

Исходя из мировой статистики за первое полугодие 2022 года, организации госсектора подверглись наибольшему количеству атак среди всех организаций (17%), говорит аналитик исследовательской группы Positive Technologies Федор Чунижеков. На протяжении всего 2021 года, за исключением IV квартала, по данным Positive Technologies, госучреждения также были лидерами по количеству атак. [14]

Москвич получил 6 лет колонии за хищение у банков 93 млн рублей в составе хакерской группировки

В октябре 2022 года москвич Артем Мазуренко был приговорен к шести годам колонии по обвинению по ч. 2 ст. 210 (участие в преступном сообществе) и ч. 4 ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации, совершенное организованной группой в особо крупном размере). Подробнее здесь.

Задержание Анатолия Спирина за фейки о бизнесменах с целью выкупа

Сотрудники МВД России задержали владельцев и администраторов Telegram-каналов, занимавшихся публикацией ложной информации о высокопоставленных лицах и предпринимателях, а затем требовали деньги за их удаление. Об этом в ведомстве сообщили 4 октября 2022 года. Подробнее здесь.

Хакеры в 4 раза чаще стали предлагать сотрудникам в России деньги за взлом систем в компаниях

В первой половине 2022 года относительно аналогичного периода 2021-го хакеры в 4 раза чаще стали предлагать сотрудникам в России деньги за взлом систем в компаниях. Об этом 8 августа 2022 года пишет «Коммерсантъ» со ссылкой на данные компании Phishman.

Речь идет, например, о таких услугах, как запуск зловредного кода в системе организации, который позволит получить удаленный доступ к ней. Если раньше подобные предложения размещались исключительно в даркнете, то с весны 2022 года они начали появляться в профильных Telegram-каналах, отмечают в Phishman. Число таких предложений, по данным компании, в какой-то момент превышало 200 штук.

В сети растет число предложений сотрудникам российских организаций открыть злоумышленникам доступ к внутренним данным или запустить вредоносный код

По словам главы Phishman Алексея Горелкина, стоимость поиска паспортных данных человека по номеру телефона в базе может варьироваться от 2000 до 7000 рублей, а отслеживание мобильного — от 80 000 рублей.

Директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко подтвердил рост спроса на инсайдеров в российских компаниях и организациях. По его словам, значительное увеличение количества таких предложений пришлось на весну 2022 года, причём это касается не только даркнета, но и публичного поля. На этом фоне цель хакерских атак уже играет меньшее значение, поскольку на передний план выходит массовость. Отмечается, что квалификация и подкованность инсайдеров в ИТ-компаниях стали не так важны.

Опрошенные изданием эксперты затруднились оценить число откликов на подобные предложения. Они объяснили это тем, что координация действий проходит уже в закрытых ресурсах и чатах.

Партнер фирмы «Рустам Курмаев и партнеры» Дмитрий Горбунов говорит, что к августу 2022 года закон все еще остается достаточно мягким в отношении лиц, совершающих противоправные действия с базами данных, несмотря на то что за последние годы ущерб от таких действий растет в геометрической прогрессии.[15]

Число атак на российские мобильные приложения выросло на 200%

В январе-июне 2022 года количество кибератак на API мобильных приложений в России выросло на 200% относительно аналогичного периода 2021-го. Об этом в конце июля 2022 года сообщили «Коммерсанту» в «Информзащите».

По оценке «РТК-Солар», которую также приводит газета, число атак на приложения во втором квартале 2022 года (то есть после начала российской военной спецоперации на Украине) выросло в четыре-пять раз по сравнению с первой четвертью 2022-го.

Число кибератак на российские мобильные приложения выросло на 200%

Как полагает эксперт Центра мониторинга и противодействия компьютерным атакам «Информзащита» Шамиль Чич, увеличение числа атак связано в первую очередь с удалением из Google Play и App Store приложений российских компаний, попавших под санкции. Их можно скачать с сайтов компании или банка, но файл, сделанный на скорую руку, может быть заражен вирусом. Кроме того, большинство компаний строят веб-версии и приложения на одном интерфейсе. Это экономит ресурсы на разработку, тестирование и поддержку, но угрожает безопасности данных.

Атака на приложение — самый простой для злоумышленника способ проникнуть в периметр организации и получить доступ к инфраструктуре, объясняет директор Центра solar appScreener компании «РТК-Солар» Даниил Чернов. Вредоносные вмешательства включают кражу данных или приостановку обслуживания, создание поддельных учетных записей и мошенничество с кредитными картами. По оценке «РТК-Солар», под угрозой оказались 90% российских приложений, а сам тренд на атаки будет усиливаться в том числе и потому, что организации не готовы использовать специализированные средства защиты мобильных приложений.

Запросы на анализ мобильных приложений по сравнению с тестированием веб-приложений редки, уточнил руководитель направления Application Security Softline Алексей Чупринин. Кроме того, специализированные средства защиты API — относительно новый класс решений, их используют далеко не все. [16]

Хакеры изменили тактику в России. Они атакуют серверы баз данных

20 июля 2022 года стало известно об измененной тактике хакерских атак в России. Киберпреступники сосредоточилась на нападении на серверы баз данных - их доля в общем числе утечки составила 68%.

Об этом сообщил «Коммерсантъ» со ссылкой на сервис разведки утечек данных и мониторинга даркнета DLBI. Основатель сервиса Ашот Оганесян пояснил, что хакеры получают доступ к серверам с помощью заражения рабочих мест ИТ-специалистов вредоносным ПО, которое помогает красть пароли и сессионные файлы cookie, с помощью поиска и эксплуатации уязвимостей в системах удаленного доступа, а также в самих CMS (системах управления контентом).

Хакеры сменили тактику в России и начали атаковать серверы баз данных

В Group-IB подтверждают тенденцию, уточняя, что в 2022 году количество незащищенных баз в России выросло на 37%, до 7,4 тыс. Причиной стало недостаточное внимание разработчиков, администраторов и архитекторов баз к безопасности, наличие уязвимостей в используемых продуктах и решениях, а также неправильная конфигурация, объясняет аналитик исследовательской группы Positive Technologies Федор Чунижеков.

«
Часто серверы баз имеют конфигурацию настроек безопасности по умолчанию, что может привести к компрометации данных, - добавил он.
»

Отмечается, что в 2021 году взломы чаще всего происходили через уязвимости в системах управления ([[Business Ecosystems Console Management System BE CMS|CMS) и самописных системах, открытые облачные хранилища и доступ к административной консоли. Также значительная часть утечек пришлась на инсайдеров.

По мнению экспертов DLBI, похищенные данные к июлю 2022 года используются для обогащения баз данных и фишинга. Масштаб и количество хакерских атак в 2022 году будет только расти, ожидают в «Информзащите». Тенденция взлома баз данных — как физических, так и облачных, по мнению экспертов, сохранится в силу роста спроса и стоимости краденых баз на теневых ресурсах. [17]

Производитель стройматериалов Knauf атакован хакерами. Поставки товара задерживаются

29 июня 2022 года компьютерная сеть Knauf была атакована хакерами. Соответствующая информация появилась на официальном сайте российского представительства немецкого производителя строительных материалов. Подробнее здесь.

Русскоязычные хакеры из Killnet парализовали работу нескольких госструктур Литвы

Хакеры из группы Killnet, предупреждавшие власти Литвы о готовящихся масштабных кибератаках из-за блокирования железнодорожного транзита товаров по территории страны в Калининградскую область, сдержали своё обещание и атаковали литовские государственные структуры. Об этом стало известно 27 июня 2022 года. Подробнее здесь.

Сайт Минстроя России взломали. Хакеры шантажируют раскрытием данных сотрудников

5 июня 2022 года был взломан сайт Министерства строительства и жилищно-коммунального хозяйства России. В результате хакерской атаке на главной странице ресурса ведомства появилось сообщение, что он взломан командой DumpForums.com. Подробнее здесь.

В 99% регионов созданы штабы по кибербезопасности

В 99% регионов созданы штабы по кибербезопасности. Об этом стало известно 1 июня 2022 года.

«
Программу по созданию штабов по обеспечению кибербезопасности реализовали уже 99% субъектов и 85% органов власти. Созданы и функционируют в полном объеме 76 из 85 штабов, восемь находятся на этапе согласования", - сообщили в пресс-службе Минцифры.
»

В ведомстве отметили, что многие регионы проявили значительную активность и представили собственные предложения по повышению эффективности этой работы. Кроме того, в ближайшей перспективе задачи оперативных штабов будут дополнены мерами по реализации Указа Президента от 1 мая "О дополнительных мерах по обеспечению информационной безопасности РФ"[18].

Российских хакеров подозревают в шпионаже за Австрией и Эстонией

24 мая 2022 года стало известно, что злоумышленники пытались атаковать Балтийский оборонный колледж в Эстонии, Австрийскую экономическую палату и платформу электронного обучения НАТО JDAL. Балтийский оборонный колледж был создан Эстонией, Латвией и Литвой. Это учебное заведение предоставляет военное образование и проводит конференции для высокопоставленных офицеров из стран-учредителей, а также союзников по НАТО, ЕС и других европейских стран, включая Украину. Австрийская экономическая палата участвует в принятии решений и административных процедурах австрийского правительства. Согласно отчету компании Sekoia, специализирующейся на кибербезопасности, характер атак указывает на заинтересованность хакеров в оборонном секторе Восточной Европы и темами, связанными с экономическими санкциями против Российской Федерации.

Иллюстрация: oir.mobi

Turla (также известная как Uroborus, Snake и Venomous Bear) - русскоязычная группировка, занимающаяся кибершпионажем. В прошлом злоумышленники организовывали атаки на министерства иностранных дел и организации, занимающиеся вопросами обороны.

По словам исследователей, в последней шпионской кампании хакеры не использовали вредоносное ПО, а ограничились исключительно разведкой.

Этой весной шпионское ПО от Turla было обнаружено специалистами компании Lab52. Вредонос мог записывать аудио и отслеживать местоположение жертвы.[19]

Китай инициировал цикл хакерских атак на российские органы власти

4 мая 2022 года стало известно о том, что Китай пошел против России и инициировал цикл хакерских атак на российские органы власти, сообщают аналитики команды Google Threat Analysis Group (TAG). Согласно их отчету, активнее других российские компьютерные сети атакует группировка Curious Gorge.

Входящие в состав этой группировки хакеры раз за разом атакуют правительственные, военные, логистические и производственные организации на территории России. Отчет Google TAG был опубликован 3 мая 2022 г., и в нем отдельно указано, что в последний раз китайские хакеры из Curious Gorge проявляли себя в конце апреля 2022 г., напав на сети нескольких российских оборонных подрядчиков и производителей, а также на Министерство иностранных дел России и на российскую логистическую компанию. Ее название в отчете не приводится.

Что именно побуждает хакеров атаковать российские объекты, на момент публикации материала оставалось неизвестным. Целями группировки Curious Gorge также являются различные компании на Украине и Центральной Азии.

По данным Google TAG, за Curious Gorge могут стоять китайские власти. Ей приписывают прочные связи с Силами стратегического обеспечения Народно-освободительной армии Китай (ССО НОАК). Это отдельный вид вооруженных сил в составе НОАК, и в зону деятельности ССО как раз входит киберсфера.

Китайскую угрозу российским сетям на начало мая 2022 года представляет не только одна лишь Curious Gorge. В конце апреля 2022 г. Россию своей целью выбрала группировка Bronze President.

В отчетах различных компаний, специализирующихся на кибербезопасности, эта группа проходит под несколькими названиями, включая Mustang Panda, TA416 и RedDelta. Первые упоминания о ее деятельности появились в 2018 г., и чаще всего следы ее преступлений находили в странах Азии.

По данным ИБ-компании Secureworks, Bronze President либо «спонсируется, либо, по крайней мере, терпимо относится к китайскому правительству» и «похоже, меняет свои цели в ответ на политическую ситуацию в Европе и происходящее на Украине». Еще несколько недель назад хакеры работали в Юго-Восточной Азии, но теперь отдают предпочтение России и некоторым странам Европы.

«
Это говорит о том, что злоумышленники получили обновленные задачи, которые отражают меняющиеся требования к сбору разведывательных данных Китайской народной республики, – говорят исследователи.
»

Эксперты Secureworks предполагают, что попадание России в поле зрения Bronze President может указывать на «попытку Китая внедрить современное вредоносное ПО в компьютерные системы российских чиновников». Они обнаружили и проанализировали распространяемый группировкой вредоносный исполняемый файл «Благовещенск – Благовещенский пограничный отряд.exe» (Blagoveshchensk – Blagoveshchensk Border Detachment.exe), который был замаскирован под PDF-файл и зашифрован. Внутри него скрывался загрузчик вредоносного ПО PlugX.

Благовещенск – это город, который находится недалеко от границы с Китаем. В нем располагаются части российской армии.

При запуске файл выводит на экран документ-приманку, написанный почему-то на английском языке, в котором описывается ситуация с беженцами и санкции ЕС. А пока запустивший файл пользователь читает документ, на его компьютере в фоновом режиме идет загрузка вредоноса PlugX с командно-контрольного сервера. PlugX – это троян удаленного доступа, используемый для кражи файлов, выполнения удаленных команд, установке бэкдоров и развертыванию дополнительных вредоносных программ. Это один из инструментов Bronze President – хакеры также пользуются вредоносами Cobalt Strike, China Chopper, RCSession и ORat.

Китай – одна из стран мира, официально не присоединившихся к антироссийским санкциям, введенным из-за спецоперации на Украине. В то же время КНР не встает на сторону России и демонстрирует нейтралитет в данном вопросе. Атаки хакеров из Bronze President и Curious Gorge на российские сети – это очередное крупное подтверждение того, что у Китая может быть свой интерес в противостоянии России и всего остального мира[20].

Российские хакеры развернули масштабную целевую фишинговую кампанию

3 мая 2022 года стало известно о том, что российские хакеры развернули масштабную целевую фишинговую кампанию.

Группа APT29 атакует дипломатов и правительственные организации. Подробнее здесь.

Российских хакеров заподозрили в кибератаках на немецкие компании по возобновляемой энергетике

Три немецкие компании по возобновляемой энергетике подверглись взлому из-за отказа страны от российской нефти. Об этом стало известно 27 апреля 2022 года. Подробнее здесь.

Ведомственный сайт МЧС подвергся хакерской атаке

20 апреля 2022 года стало известно о том, что неизвестные взломали сайт «МЧС Медиа», которое является ведомственным СМИ МЧС России. Об этом появилась запись на одноименной странице в сети «ВКонтакте». Подробнее здесь.

Хакеры взломали сайт МЧС России и главков министерства в регионах

16 марта 2022 года стало известно о взломе официально сайта Министерства по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (МЧС России). В результате кибератаки неизвестных хакеров стал недоступен интернет-ресурс не только федерального ведомства, но и всех его региональных главков. Подробнее здесь.

Власти Китая: 87% кибератак в мире направлено против России

87% кибератак, зарегистрированных Государственным центром по мониторингу интернета КНР (CNCERT/CC, отвечает в Поднебесной за выявление и предотвращение киберугроз), направлены против России. Такие данные китайские власти обнародовали 11 марта 2022 года.

Как сообщает китайское государственное информагентство Xinhua со ссылкой на данные CNCERT/CC, в основном атаки осуществляются из США. Только в штате Нью-Йорк их зафиксировано более 10, интенсивность трафика в пиковом значении составляет около 36 Гбит/с. Помимо этого, сайты атакуют хакеры из Германии, Голландии и других стран запада.

Власти Китая: 87% кибератак в мире направлено против России
«
Мониторинг CNCERT/CC показал, что с конца февраля [2022 года] интернет Китая постоянно сталкивался с кибератаками из-за рубежа... Иностранные организации посредством атак устанавливали контроль над компьютерами на территории КНР, а затем осуществляли кибератаки на Россию, Украину и Белоруссию, - говорится в публикации.[21]
»

Государственный центр по мониторингу интернета отметил, что регулятор принимает максимальное возможные меры для предотвращения кибератак.

В конце февраля 2022 года Роскомнадзор заявил, что «против России в ведется гибридная война, включающая в себя элементы информационного противостояния, а также регулярные кибератаки». В этих условиях дежурные службы Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) «переведены в режим повышенной готовности, осуществляя взаимодействие с Национальным координационным центром по компьютерным инцидентам для противодействия атакам на критическую информационную инфраструктуру», сообщал регулятор.

3 марта 2021 года вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов сообщал, что в России за последнее время резко выросло число хакерских атак на сайты органов власти.

МИД РФ подтвердило кибератаку на сотрудников министерства

18 января 2022 года стало известно о кибератаках на сотрудников российского Министерства иностранных дел. По данным американских ИБ-компаний Cluster25 (входит в DuskRis) и Black Lotus Labs (входит в Lumen Technologies), за этими нападениями предположительно стоит северокорейская хакерская группировка Konni. Подробнее здесь.

2021

Кибератак на россиян за 7 лет стало вдвое меньше

В 2020 году с киберугрозами столкнулись 29,1% пользующихся интернетом жителей России в возрасте от 15 до 74 лет против 56,8% в 2013-м. Такие данные содержатся в отчете Института статистических исследований и экономики знаний НИУ ВШЭ, авторы которого ссылаются на статистику Росстата. Исследование опубликовано в 2021 году.

Если хакерских атак на физических лиц стало меньше, то в отношении бизнеса этот показатель продолжает расти от года к году. По данным экспертов Positive Technologies, количество киберинцидентов в 2020 году увеличилось на 51% по сравнению с 2019-м. 86% всех атак были направлены на организации, больше всего злоумышленников интересовали государственные и медицинские учреждения, а также промышленные компании, говорится в исследовании Positive Technologies.

Согласно отчету Института статистических исследований и экономики знаний НИУ ВШЭ, в 2020 году 75,7% российские интернет-пользователи имели на своих компьютерах антивирусное ПО, тогда как в 2013-м эта доля была выше - 84,7%. Доля людей, пользующихся антиспамовыми фильтрами, сократилась с 82,7% до 73,2%, а доля пользователей средств родительского контроля или фильтрации интернет-контента, увеличилась с 14,6% до 16,2%.

В 2020 году 3,3% россиян не пользовались интернетом по соображения информационной безопасности против 1,5% в 2015-м. Доля нежелающих выходить в Сеть из-за нежелания раскрывать свои персональные данные выросла с 1,1% до 3%.

По словам экспертов, 2020 год стал вызовом в том числе и для хакеров, которым пришлось адаптироваться к новым реалиям и изобретать новые методы атак. В сфере киберугроз доминировали вирусы-вымогатели, атакующие школы, больницы и частные компании. Не обошлось и без массовых захватов аккаунтов в социальных сетях.

Полный отчет здесь.

В России зарегистрирована масштабная кибератака против госсектора

22 сентября 2021 года стало известно о масштабной кибератаке на государственные учреждения и ведомства России и соседних стран. Об этом сообщили в британской компании Cyjax, специализирующейся на информационной безопасности.

Как пишет «Коммерсантъ» со ссылкой на исследование Cyjax, фишинговая атака организована, в частности, против Российской академии наук (РАН), почтового сервиса Mail.ru Group, а также госструктур более десятка стран, включая Армению, Азербайджан, Китай, Киргизию, Грузию, Белоруссию, Украину, Турцию, Туркменистан и Узбекистан.

В России выявлена масштабная кибератака против госсектора

В Mail.ru Group заявили, что контролируют появление фишинговых сайтов и мошеннических писем, чтобы «своевременно реагировать на подобные инциденты, включая те, что перечислены в отчете». В компании добавили, что на почте работает автоматическая антиспам-система, которая адаптируется к новым сценариям спама, включая фишинговый.

Эксперты сообщили о существовании 15 сайтов, которые имитируют порталы для входа в электронную почту для сотрудников министерств иностранных дел, финансов или энергетики различных стран.

Злоумышленники использовали для атаки сайт, который был замаскирован под служебную электронную почту. Схема работает так: сотрудники получают уведомление о том, что появился новый портал, на котором необходимо зарегистрироваться. Затем хакеры получают их логины и пароли, а также доступ к письмам жертв. В результате злоумышленникам удается отправить зараженные файлы партнерам компании или ведомства.

Как полагают в Cyjax, целью атаки является сбор логинов и паролей для доступа к почтовым ящикам госслужащих. Учитывая отсутствие немедленной финансовой выгоды от атаки и направленность на РФ и соседние страны, за ней может стоять некая прогосударственная группировка, полагают в Cyjax.

По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, хакеры могут использовать полученный доступ для продолжения атаки, отправляя письма с вредоносным вложением в адрес партнёров компании.[22]

Минцифры: 50% кибератак на онлайн-выборы исходили из США

20 сентября 2021 года в Минцифры назвали страны, откуда велись кибератаки на системы электронного голосования в России. Примерно половина IP-адресов, используемых хакерами, пришлась на США. Подробнее здесь.

Посла США вызвали в МИД РФ из-за вмешательства в российские выборы

11 сентября 2021 года стало известно о том, что Министерство иностранных дел России вызвало посла США в Москве Джона Салливана для обсуждения вмешательства американских ИТ-компаний в выборы в Госдуму.

Представитель МИД Сергей Рябков заявил вызванному 10 сентября в МИД РФ Джону Салливану о недопустимости вмешательства в дела России. Рябков также сообщил дипломату о наличии доказательств нарушения законов РФ американскими цифровыми гигантами перед выборами в Госдуму. По его словам, эти доказательства являются неопровержимыми.

По версии Госдепа США, их посол обсуждал в пятницу в российском МИДе вопросы двусторонних отношений, а именно участвовал в беседе о поддержке «стремления президента США Джо Байдена к стабильным и предсказуемым отношениям с Россией».[23]

Китайские правительственные хакеры атаковали российский госсектор

Китайские правительственные хакеры атаковали российские компании. Об этом стало известно 3 августа 2021 года.

Зафиксированы следы атак хакерской группировки АРТ31, которая известна многочисленными атаками на государственные структуры разных стран. Группировка впервые атаковала российские компании. По данным Positive Technologies, в первом полугодии 2021 года группировка АРТ31, помимо действий в России, провела около десяти вредоносных рассылок в Монголии, США, Канаде и Белоруссии.

Хакерская группа АРТ31, также известная как Hurricane Panda и Zirconium, функционирует с 2010-х годов. Ее представители атакуют в основном государственный сектор, шпионя за потенциальными жертвами и собирая конфиденциальную информацию. Microsoft ранее указывала, что APT31 ведет деятельность из Китая, а правительство Великобритании в середине июля связало деятельность этой группировки с Министерством госбезопасности Китая.

По мнению экспертов Positive Technologies, с весны 2021 года АРТ31 стала расширять географию атак и применять иной способ взлома и заражения гаджетов. Согласно данным компании, хакеры отправляют фишинговые письма, в которых содержится ссылка на подставной домен — inst.rsnet-devel[.]com. Он полностью имитирует домен тех или иных госорганов. При открытии ссылки в компьютер пользователя попадает так называемый дроппер (троян удаленного доступа), который создает на зараженном устройстве вредоносную библиотеку и устанавливает специальное приложение. Далее приложение запускает одну из функций загруженной вредоносной библиотеки, и управление компьютером переходит в руки злоумышленника.

Старший специалист отдела исследования угроз информационной безопасности Positive Technologies Даниил Колосков предупреждает, что разработчики вредоносного программного обеспечения стараются максимально приблизить вредоносную библиотеку к оригинальной, названия наборов функций зараженной библиотеки частично совпадают с официальной. Еще одна уловка хакеров заключалась в том, что в ходе некоторых атак дроппер был подписан реальной валидной цифровой подписью, и многие средства безопасности воспринимали его как программу от сертифицированного производителя. Эксперты Positive Technologies считают, что подпись, скорее всего, была украдена, что свидетельствует о хорошей подготовке группировки.

Глава отдела исследования угроз информационной безопасности Positive Technologies Денис Кувшинов прогнозирует, что в ближайшее время АРТ31 станет использовать при атаках, в том числе на Россию, и другие инструменты, их можно будет обнаружить по соответствию коду или инфраструктуре Сети. Специалисты Positive Technologies уже сообщили о зафиксированной ими атаке хакерской группы в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). В ближайшее время в компании не ждут снижения числа кибератак со стороны АРТ31, поэтому советуют коммерческим и иным структурам внедрять индикаторы в свои средства защиты, которые помогут вовремя обнаружить подобный вирус[24].

ФСБ России договорилась с властями США о совместном выявлении киберпреступников

15 июня 2021 года появилась информация о том, что Россия будет работать с США в сфере выявления хакеров-вымогателей в рамках соглашения президентов двух стран. Об этом сообщил директор ФСБ Александр Бортников.

«
«Проводим действия в рамках тех соглашений, которые были осуществлены между нашими президентами. Так что будем работать вместе, надеемся на взаимность, — сказал Бортников. — Не исключаем, что террористами могут осуществляться кибератаки на объекты критической информационной инфраструктуры. В связи с этим особую опасность видим в сложности своевременного установления подлинного источника атаки и возможности провоцирования острых межгосударственных конфликтов».
»

Руководитель ФСБ России считает, что только консолидированные усилия всех служб безопасности на просторах киберпространства способны эффективно и быстро при условии своевременного взаимного информирования и слаженной работы выявить возможный террористический акт. Поэтому ФСБ надеется на поддержку их инициативы со стороны ведущих держав и их специализированных служб.[25]

Собянин назвал Украину источником большинства кибератак на Москву

В конце апреля 2021 года мэр Москвы Сергей Собянин сообщил о всплеске кибератак в столице и отметил, что большая их часть исходит из Украины - Киберпреступность и киберконфликты : Украина.

«
Сегодня интернет-преступность сосредоточена даже не у нас, а по границе. И сегодня большая часть атак идет с территории Украины, а не из Москвы к москвичам… Это новые вызовы, и с ними надо бороться по-другому, — заявил он на сессии дискуссионного клуба ВШЭ и «Сбера».
»

Стоит отметить, что Украина неоднократно обвиняет Россию в хакерских атаках. В январе 2021 года Служба внешней разведки Украины (СВРУ) обнародовала информационный бюллетень под названием «Белая книга», в котором рассказала о «механизмах российских информационных воздействий», одним из которых является работа в соцсетях. По данным службы, характерной особенностью в этом смысле является инфильтрация ботов в местные чаты и комментарии под статьями с целью посеять раздор и подорвать доверие к существующим институтам.

Сергей Собянин назвал Украину источником большинства хакерских атак на Москву

По словам столичного градоначальника, число киберпреступлений за год выросло на 40%. Интернет-преступность разрастается «просто в арифметической прогрессии», подчеркнул Собянин.

«
И здесь, конечно, нужно перестроить все: и правоохрану, и Уголовный кодекс, и уголовно-процессуальный, и вообще осмысление всех этих вещей. Они тоже не абстрактны, – уточнил мэр Москвы.
»

Он также добавил, что на фоне роста интернет-преступности можно наблюдать снижение других, но еще более опасных преступлений. Так, например, с помощью системы фото- и видеонаблюдения по поиску машин в городе уменьшился угон автомобилей.

Согласно данным МВД, в январе 2021 года доля преступлений в сфере высоких технологий от общего числа выросла до 25%, тогда как год назад она составляла 17,7%. Больше всего таких преступлений выявили в Москве, а также Мурманской области, Чувашии, Ханты-Мансийском и Ямало-Ненецком автономных округах.[26]

Всплеск хакерских атак на российские НИИ

В середине апреля 2021 года стало известно о всплеске хакерских атак на российские научно-исследовательские институты (НИИ). В первую очередь зарубежных хакеров интересуют учреждения, которые занимаются военными и авиационными разработками, а также созданием вакцин от коронавируса COVID-19, сообщили в компании Group-IB, специализирующейся на информационной безопасности.

В компании «Доктор Веб» подтвердили «Коммерсанту» такую тенденцию. По словам руководителя вирусной лаборатории компании «Доктор Веб» Игоря Здобнова, обнаружить целенаправленные атаки трудно, так как они касаются лишь одной компании, тогда как «слепые» бьют по большому числу субъектов. За кибернападениями на НИИ стоят хакеры, которые спонсируются властями стран с целью шпионажа, уверен эксперт.

Зафиксирована активность хакерских атак на российские НИИ

Руководитель отдела расследования киберинцидентов «Ростелеком-Солара» Игорь Залевский указывает на возможность использования украденной из НИИ информации в политических целях, в этом он видит причину интереса хакеров, работающих на государство, к НИИ. Работа НИИ связана с уникальной информацией различных отраслей: схемами, чертежами изделий, закрытыми исследованиями, которые являются интеллектуальной собственностью, перечисляет эксперт. Такие данные могут быть интересны для монетизации и просто на черном рынке, добавил он.

Иногда хакеры используют сразу несколько вирусов. К примеру, в сети одного из клиентов специалисты Group-IB выявили шесть видов таких программ, в том числе в бухгалтерии, на рабочих и мобильных устройствах сотрудников. При этом злоумышленники обычно не сразу запускают в сеть НИИ вредоносы и предварительно используют вспомогательные модули, которые не дают обнаружить трояны, указал старший эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.[27]

Мошенники в РФ начали использовать персональные данные, собираемые Telegram-ботами, для шантажа пользователей

В начале марта 2021 года стало известно о том, что мошенники в России начали использовать персональные данные, собираемые Telegram-ботами, для шантажа пользователей. Подробнее здесь.

2020

Group-IB: Схема кражи доменов в России

19 ноября 2020 года компания Group-IB, специализирующаяся на кибербезопасности, сообщила о схеме, которую используют хакеры для кражи легальных доменных в России. Впоследствии эти домены применяются для фишинговых атак. Подробнее здесь.

90% ИТ-систем госорганов в России способны взломать неопытные киберхулиганы

Около 90% ИТ-систем госорганов в России способны взломать не только высококвалифицированные хакеры, но и неопытные киберхулиганы. Такой вывод содержится в исследовании, подготовленном компанией «Ростелеком-Солар» по итогам анализа данных о 40 госорганизациях и органах власти федерального и регионального уровня.

По словам директора центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» Владимира Дрюкова, киберхулиганы нацелены на несложную монетизацию и занимаются шифрованием серверов и компьютеров, скрытым майнингом криптовалюты, созданием из полученных ресурсов бот-сетей для организации DDoS-атак или фишинговых рассылок. Более опытные специалисты стараются получить длительный контроль над инфраструктурой или доступ к конфиденциальным данным с целью кибершпионажа, отметил он.

90% госструктур при желании могут взломать не только продвинутые кибергруппировки, но и киберхулиганы с низким уровнем квалификации

Эксперты отмечают низкий уровень «кибергигиены» в госструктурах. Больше половины таких учреждений используют незащищенное соединение (чаще всего это протокол http, в котором передаваемые данные не шифруются и могут быть перехвачены).

более 70% организаций подвержены классическим веб-уязвимостям, которые злоумышленники используют в качестве точки входа в инфраструктуру жертвы. Например, подверженность SQL-инъекциям, которые позволяют взломать базу данных сайта и внести изменения в скрипт. Или уязвимости XSS, с помощью которой злоумышленник может интегрировать в страницу сайта-жертвы собственный скрипт

Кроме того, более 60% госорганизаций имеют уязвимости различных компонентов (серверов Apache или решений для запуска веб-приложений Apache Tomcat, систем управления сайтом WordPress, языка программирования PHP) и даже самой операционной системы (серия уязвимостей Shellshock, которые считаются одними из наиболее опасных).[28]

Из каких стран и какими способами хакеры атакуют россиян. Статистика 2020 года

В 1 полугодии 2020 года число кибератак на организации в России было выше, чем в среднем по миру, показал анализ Check Point. Так, в среднем на одну компанию в России приходилось 570 атак, в то время как в мире – 474 в неделю, привели данные в компании.

Самой распространенной угрозой оказался ботнет Emotet, рассылающий своим потенциальным жертвам спам, содержащий вложения или ссылки, ведущие к вредоносным файлам Office. По данным Check Point, его влиянию подверглись 6% российских организаций. А наиболее распространенной уязвимостью стало удаленное выполнение кода, посредством чего было атаковано 64% организаций.

В июне 2020 года наиболее активными вредоносными программами помимо Emotet в России были:

  • RigEK (5%) — содержит эксплойты для Internet Explorer, Flash, Java и Silverlight. Заражение начинается с перенаправления на целевую страницу, содержащую Java-скрипт, который затем ищет уязвимые плагины и внедряет эксплойт.
  • XMRig (5%) — криптомайнер, программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
  • Agent Tesla (3%) — усовершенствованная версия трояна типа «RAT». AgentTesla заражает компьютеры с 2014 года, выполняя функции кейлоггера и похитителя паролей. Вредоносная программа способна отслеживать и собирать вводимые данные с клавиатуры жертвы, делать скриншоты и извлекать учетные данные, относящиеся к различным программам, установленным на компьютер жертвы, включая Google Chrome, MozillaFirefox и Microsoft Outlook).
  • Phorpiex (3%) — червь, предназначенный для платформы Windows. Он создает файлы, которые автоматически запускаются на съемных устройствах для дальнейшего самораспространения и включения в список авторизованных приложений. Это позволяет Phorpiex обойти политики шлюзов безопасности. Вредоносная программа также служит агентом бэкдора, который принимает команды от удаленного контроллера.

79% всех вредоносных файлов в России были доставлены по электронной почте. Глава представительства Check Point в России и СНГ Василий Дягилев отмечает, что электронная почта использовалась, в том числе, для фишинга, связанного с эпидемией новой коронавирусной инфекции.

Кроме того, после вспышки пандемии специалисты Check Point обнаружили стремительный рост регистрации новых доменов, связанных с темой коронавируса, многие из которых оказались вредоносными или подозрительными. Киберпреступники имитируют приложения видеоконференций, стриминговые платформы, подделывают сайты, связанные с займами и различными выплатами и др., а также рассылают работодателям резюме с вредоносным кодом.

В апреле на эту проблему обращали внимание и российские власти. Так, Роскомнадзор предупреждал пользователей, что в числе поддельных сайтов, которые используют злоумышленники, есть домены, имитирующие сайты ВОЗ, площадки по продаже убивающих коронавирус фенов и предложения домушников приехать и протестировать на COVID-19.

При этом в Check Point обнаружили, что в России рост количества поддельных доменов и ассоциированных атак, связанных с коронавирусом, начался примерно на месяц раньше, чем в целом по миру. По данным компании, первые сайты в России начали появляться в январе, а стремительный рост начался в середине февраля.

«
Мы долго пытались понять для себя, почему это происходит. Наверное, это связано с тем, что российские хакеры и злоумышленники наиболее быстро адаптируются к меняющимся реалиям. И то, что огромное количество людей оказались запертыми дома и были не готовы к пандемии с точки зрения ИТ-инфраструктуры, дало злоумышленникам легкий доступ к информации и деньгам, - говорит Василий Дягилев.
»

Еще один тренд, характерный именно для России, связан со странами происхождения атак. Если глобально подавляющее число атак исходит из других стран, с других континентов, то в России 47% атак исходит изнутри страны, приводят данные в Check Point.

«
Часто мы слышим, что подавляющее угроз, проектов по защите строятся, исходя из парадигмы, что нас атакуют извне, но в реальности мы видим, что большое число атак исходит изнутри страны, и идея защиты от внешних угроз, которые находятся за пределами РФ, пока не оправдывается, - подчеркнул глава представительства Check Point в России.
»

Особенно активно киберзлоумышленники в последние несколько месяцев атакуют банковские приложения. Активизировались многие хакерские группировки, таргетирующие банки и финансовые организации. Выше, чем в среднем по миру, и уровень атак на мобильные устройства.

«
Основные выводы, которые мы можем сделать – Россия быстрее других стран реагирует на мировые тренды в области кибербезопасности, киберпреступники быстрее адаптируют актуальные практики взлома к российским реалиям. И, что самое главное – они используют не только собственный инструментарий, который разработан внутри страны, но и достаточно оперативно адаптируют новейший международный доступный инструментарий для атаки на российские организации, - резюмировал Василий Дягилев.
»

Перечислены регионы РФ с наибольшей киберпреступностью

Самый высокий уровень кибепреступности наблюдается в Москве, Санкт-Петербурге и еще восьми регионах России, сообщил РИА Новости глава российской секции Международной полицейской ассоциации генерал-лейтенант Юрий Жданов[29].

«
"Если обратиться к статистике МВД, то мы увидим, что самый активный рост преступлений, совершенных с помощью информационно–телекоммуникационных технологий, наблюдается в Москве, Санкт-Петербурге, Московской, Калининградской, Новгородской, Ростовской областях, Ингушетии, Бурятии, Башкортостане и Еврейской автономной области", - сказал Жданов.
»

В частности, по его словам, в мае этого года преступники чаще всего рассылали жителям России банковские трояны, программы для заражения устройств и для скрытого майнинга криптовалют.

Ранее МВД России сообщало, что за первые пять месяцев 2020 года число преступлений в сфере информационно-телекоммуникационных технологий выросло на 85,1% (в том числе тяжких и особо тяжких – на 123,7%), а удельный вес возрос до 21,7% от общего числа по сравнению с аналогичным периодом прошлого года. Кроме того, почти в 6 раз увеличилось количество преступлений, совершённых с использованием расчётных (пластиковых) карт.

Хакеры взломали почту псковского митрополита и требуют выкуп в 10 млн рублей

2 мая 2020 года стало известно о взломе электронной почты митрополита Псковского и Порховского Тихона (Шевкунова), который также является председателем Патриаршего совета по культуре и членом Совета при президенте РФ по культуре и искусству. Хакеры требуют выкуп в размере 10 млн рублей за возвращение доступа к сообщениям. Подробнее здесь.

Полицейские в Подмосковье создали онлайн-магазин по торговле наркотиками

В конце апреля 2020 года Следственный комитет России сообщил о задержании в Московской области пятерых сотрудников полиции, которых подозревают в торговле наркотиками через интернет — они сбывали запрещенные вещества через канал в Telegram, которые сами и создали.

Как сообщил представитель областного управления Следственного комитета России Ольга Врадий, 27 апреля 2020 у жилого дома в подмосковном Щелково в ходе оперативно-разыскных мероприятий сотрудниками отдела по контролю за оборотом наркотиков МВД был задержан полицейский, у которого при личном досмотре они обнаружили мобильный телефон с фотографиями тайников-закладок с наркотическими средствами. При проведении осмотра тайников изъят мефедрон общим весом 50 граммов.

В Подмосковье задержали троих полицейских за продажу наркотиков через интернет

Два старших сержанта и один сержант полиции, по предварительным данным, занимались продажей мефедрона. Они реализовывали товар через интернет и передавали его посредством закладок.

По данному факту назначено проведение служебной проверки, по результатам которой данные сотрудники будут уволены из органов внутренних дел по отрицательным мотивам и привлечены к ответственности в соответствии с законодательством. Кроме того, к строгой дисциплинарной ответственности будут привлечены их непосредственные руководители, сообщили в пресс-службе Главного следственного управления Следственного комитета (СК) России по Московской области.

К концу апреля 2020 года следователями СК проводится комплекс следственных действий, направленный на сбор и закрепление доказательственной базы. Им будет предъявлено обвинение и решен вопрос об избрании меры пресечения. Злоумышленники могут быть обвинены в сбыте наркотиков в крупном размере (часть 3 статьи 30, пункт «г» части 4 статьи 228.1 УК РФ).[30]

Переходя на удаленку, компании открывают хакерам доступ к своим серверам

Из-за спешного массового перехода компаний на удаленную работу стремительно растет число корпоративных серверов, доступных для злоумышленников из интернета – сообщили 27 марта 2020 года эксперты центра мониторинга и реагирования на киберугрозы Solar JSOC. Одна из главных причин – применение компаниями незащищенного протокола удаленного доступа RDP (Remote Desktop Protocol). По данным Solar JSOC, всего за одну неделю количество устройств, доступных из интернета по протоколу RDP, выросло на 15% в России (общее число на сегодня более 76 тыс. единиц) и на 20% в мире (более 3 млн единиц).

RDP – протокол, разработанный Microsoft для удаленного управления ОС Windows, являющийся популярным способом подключения к рабочему окружению. Однако по умолчанию RDP использует порт 3389 и, если ИТ-служба компании не уделяет должного внимания безопасности удаленного доступа, корпоративный сервер становится крайне уязвимым для злоумышленников. Например, нередки ситуации, когда удаленный сервер доступен и виден из сети Интернет – любой желающий может попробовать подключиться к нему. При этом злоумышленник может обмануть систему идентификации и аутентификации, подобрав пароль, осуществив подмену сертификата или использовав уязвимости RDP.

Чтобы понять, насколько актуальны эти угрозы, эксперты центра мониторинга и реагирования на киберугрозы Solar JSOC c помощью различных инструментов провели анализ и мониторинг количества устройств, доступных из сети Интернет по протоколу RDP. Всего за неделю с 17 по 24 марта, когда компании начали массово переходить на удаленную работу, прирост таких устройств составил 15% в России и 20% в мире.

«
Полученная статистика пугает, ведь не так давно отгремели несколько крупных уязвимостей, касающихся службы удаленных рабочих столов – BlueKeep и DejaBlue. Обе они позволяют получить доступ к удаленному серверу без проверки подлинности – для этого злоумышленнику достаточно отправить через RDP специальный запрос. Таким образом, при отсутствии последних обновлений безопасности Windows любая система, доступная из сети Интернет, является уязвимой, – комментирует Игорь Залевский, руководитель центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар».
»

Как отмечают эксперты Solar JSOC, каждый месяц в обновлениях безопасности Windows исправляются все новые обнаруженные уязвимости, касающиеся RDP. По этой причине крайне нежелательно использовать обычный незащищенный удаленный доступ к рабочему столу. Рекомендуется как минимум применять VPN c двухфакторной аутентификацией и реализовывать удаленный доступ на основе защищенных протоколов.

ФСБ задержала 30 торговцев данными кредитных карт и изъяла у них слитки золота

24 марта 2020 года Федеральная служба безопасности (ФСБ) России сообщила о задержании хакерской группировки, занимавшейся торговлей краденых банковских карт.

Киберпреступники создали свыше 90 интернет-магазинов по продаже похищенных данных, которые впоследствии использовались для хищения денежных средств с банковских счетов граждан различных государств, в том числе путем приобретения дорогостоящих товаров в интернете.

ФСБ ликвидировала банду торговцев данными банковских карт

В ходе спецоперации было задержано свыше 30 членов хакерской группировки, среди которых есть граждане Украины и Литвы. 25 задержанным были предъявлены обвинения по  ч. 2 ст. 187 УК РФ (неправомерный оборот средств платежей). Они были заключены под стражу.

Всего силовики провели обыски по 62 адресам. Члены группы были задержаны в Москве и Московской области, Санкт-Петербурге и Ленинградской области, Крыму и Севастополе, Северной Осетии, Калужской, Псковской, Самарской и Тамбовской областях. В общей сложности было арестовано более 30 хакеров.

Правоохранительные органы изъяли у подозреваемых больше более $1 млн и 3 млн рублей, поддельные документы, удостоверения сотрудников правоохранительных органов, серверное оборудование, а также огнестрельное (нарезное) оружие, наркотические средства, золотые слитки и драгоценные монеты. Оборудование для хостинга сайтов было «ликвидировано», указано в заявлении ФСБ.

Также было установлено, что организаторы сообщества из числа граждан России ранее привлекались к уголовной ответственности за аналогичные преступления.

Видео, на котором ФСБ совместно со следственным департаментом МВД пресекли деятельность крупной сети торговцев краденными данными кредитных карт российских и зарубежных банков, было выложено на сайте Федеральной службы безопасности.[31]

Кибермошенники пользуются эпидемией и атакуют россиян от имени госструктур

19 марта 2020 года стало известно об увеличения количества мошеннических схем в рунете из-за распространения коронавируса. Одна из них заключается в рассылке фейковых писем, в том числе с доменов, похожих на адреса госструктур.

Как пишет «Коммерсантъ», среди прочего злоумышленники проводят рассылку писем, в которых предлагают ознакомиться антикризисными директивами от Минтруда и Минэкономики, открыв вложенный PDF-файл. В этих документах встроен вирус.

Распространение коронавируса привело к усилению активности в рунете различных мошеннических схем

В Positive Technologies сообщила о распространении писем якобы от МИД Украины, в которых в качестве «вредоносной приманки» содержится документ о статистике распространения коронавируса. Мошенники активно используют эту тему в своих атаках, рассказал изданию ведущий специалист группы исследования киберугроз Positive Technologies Денис Кувшинов.

В «Лаборатории Касперского» насчитали более 2,5 тыс. подозрительных сайтов, в названии которых фигурируют слова covid, coronavirus и подобные. В компании «Ростелеком-Солар» подтвердили существование таких ресурсов и отметили, что один из них, например, под предлогом покупки «лучшего и быстрого теста для определения коронавируса» крадет денежные средства и данные кредитной карты.

По словам экспертов Group-IB, сотрудникам компаний приходят фишинговые письма, написанные на английском или русском языке, со ссылками на информацию о заболевших или списком мер профилактики коронавируса. В этих сообщениях содержатся ссылки на фишинговые сайты, которые внешне похожи на сайты Microsoft и которые предлагают пользователям ввести данные доступа к своей электронной почты. Если жертва делает это, то информация отправляется на сервер злоумышленников.

Мошенники рассчитывают на то, что пользователь, попав «под магию имени», откроет письмо, пройдет по ссылке или загрузит приложение, отметил руководитель направления аналитики и спецпроектов группы InfoWatch Андрей Арсентьев, который также видит всплеск кибератак с использованием темы коронавируса.[32]

В России началась волна краж бонусов с карт лояльности

В начале марта 2020 года стал известно о начале в России волны краж бонусов с карт лояльности. Число попыток списать накопленные баллы из личных кабинетов на сайтах в 2019 году увеличилось в несколько раз и достигло нескольких тысяч в месяц.

Как рассказал «Известиям» эксперт компании «Инфосистемы Джет» Алексей Сизов, мошенники могут получать доступ к личному кабинету клиентов, а затем расплачиваться его бонусами за свои покупки. Ещё один вариант кражи — регистрация личного кабинета на карту другого человека.

Количество попыток незаконно воспользоваться скидочными бонусами россиян в некоторых компаниях в 2019 году достигло нескольких тысяч в месяц

Председатель комитета по торговле «Деловой России» Алексей Фёдоров сообщил изданию, что в 2019 году количество краж бонусов и скидок «увеличилось в разы». Руководитель направления Kaspersky Fraud Prevention Максим Федюшкин отметил, что во втором полугодии 2019-го оно выросло в полтора раза по сравнению с первым.

По словам Фёдорова, зачастую баллы похищают сами сотрудники магазинов или колл-центров, имеющие доступ к данным программ лояльности. Причиной обострения проблемы Федоров считает массовый переход продавцов от систем скидок к программам накопления бонусов. Часто мошенники ориентируются на АЗС, которые ежемесячно недополучают прибыль в 2-3 млн рублей из-за неправомерно списанных льгот, добавил он.

Алексей Сизов говорит, что бонусные баллы чаще всего становятся целью так называемых начинающих мошенников, а не организованных преступных группировок. Среди злоумышленников могут быть студенты и сотрудники магазинов, имеющие доступ к информации о программах лояльности.

В торговой сети «Магнит» признают проблему. В ритейлере изданию рассказали, что ущерб от действий мошенников по большей части носит имиджевый характер, так как покупатели теряют доверие и разочаровываются в программе лояльности.[33]

Путин поддержал идею закрепить в Конституции норму о кибербезопасности

Президент России Владимир Путин в конце февраля 2020 года поддержал предложение о закреплении в статью 71 Конституции РФ нормы по обеспечению кибербезопасности личности и государства.

Глава комитета Госдумы по бюджету и налогам Андрей Макаров на заседании рабочей группы по разработке поправок в основной закон озвучил инициативу внести в текст Конституции положение о кибербезопасности личности, общества и государства, сообщило информагентство ТАСС Информационное агентство России.

«
«К ведению РФ предполагается отнести обеспечение безопасности личности, общества и государства при применении информационных технологий, при обороте цифровых данных», — сообщил Макаров.
»

По его словам, включение данной нормы приравняет обеспечение безопасности личности к вопросам обороны и безопасности, а также «подчеркнет значимость тех вызовов, которые стоят перед страной».

Президент РФ Владимир Путин поддержал предложенную инициативу, сказав, что «обеспечение безопасности личности, общества и государства — чрезвычайно важно и, конечно, востребовано».

«
«И вопрос стоит: что и как может использовать государство для целей развития экономики с помощью этих цифровых технологий, насколько государство может вскрывать данные о человеке, насколько публично можно эти данные использовать, как их выкладывать в информационное пространство, что за этим последует для конкретного гражданина», — отметил президент.
»

2019

Русскоязычные хакеры продают исходники антивирусов Symantec, McAfee и Trend Micro за $300 тыс.

В середине мая 2019 года американская компания Advanced Intelligence (AdvIntel), специализирующаяся на разведке угроз информационной безопасности, сообщила о взломе серверов трёх производителей антивирусов: Trend Micro, Symantec и McAfee. За этим киберпреступлением, по данным экспертов, стоит русскоязычная хакерская группировка Fxmsp, которая начала продавать на теневых веб-сайтах исходные коды антивирусных продуктов, попросив за них $300 тыс.

В описании к выложенным на продажу материалам Fxmsp приводит скриншот (см. ниже), на котором можно видеть папки и файлы объёмом более 30 Тбайт. Судя по изображениям, среди похищенных данных можно обнаружить информацию о моделях искусственного интеллекта, документацию по разработке, исходные коды антивирусных решений и многое другое.

Хакеры утверждают, что с октября 2018 года по апрель 2019 года их деятельность была сосредоточена вокруг взлома различных антивирусных компаний. По словам специалистов AdvIntel, группа Fxmsp давно и успешно специализируется на продаже данных, которые были добыты в ходе громких утечек. Киберпреступники атакуют правительственные организации и компании, их доходы оцениваются в миллионы долларов.

Экспертами AdvIntel известно, что одним из членов группировки является москвич по имени Андрей. По имеющимся данным, он начал киберпреступную карьеру в середине 2000-х годов и специализируется на социальной инженерии.

Представитель Trend Micro в комментарии изданию Computer Business Review подтвердил, что компания пострадала «от несанкционированного доступа третьих лиц к единой сети тестирующий лабораторий». В McAfee заявили, что компания «не обнаружила никаких признаков того, что описанная кампания повлияла на продукты, услуги или сети McAfee». В Symantec отрицают взлом.[34]

Российские госструктуры годами атаковали хакеры из Китая

13 мая 2019 года стало известно о существовании кибергруппировки, которая несколько лет атаковала российские госструктуры и компании, используя для взлома планировщик задач операционной системы.

В Positive Technologies назвали эту хакерскую группировку TaskMasters за то, что она использовала планировщик задач для проникновения в локальные сети. Хакеры после взлома исследовали сети на предмет уязвимостей, загружали туда вредоносные программы и занимались шпионажем. Как злоумышленники использовали полученную информацию, неизвестно.

Positive Technologies и «Лаборатория Касперского» обнаружили китайскую кибергруппировку, которая несколько лет воровала данные у более 20 российских компаний и госструктур

Как рассказали «Коммерсанту» в Positive Technologies, кибергруппировка с предположительно китайскими корнями как минимум девять лет атаковала госструктуры и компании, некоторые из них находились в России. Экспертам известно о компрометации более 30 значимых организаций из отраслей промышленности, строительства, энергетики, недвижимости и др., из которых 24 находятся в России. Названия компаний не раскрываются.

По сообщению Positive Technologies, в коде используемых TaskMasters инструментов встречаются упоминания китайских разработчиков, во время некоторых атак были зафиксированы подключения с IP-адресов из Китая, а ключи для некоторых версий программ можно обнаружить на форумах, где общаются жители этой страны.

В «Лаборатории Касперского» говорят, что с 2016 года отслеживают активность этой же группы, которую называют BlueTraveler. Мишенями ее атак там называют госструктуры, преимущественно из России и СНГ, подтверждая, что злоумышленники, вероятнее всего, говорят на китайском языке.

В «Лаборатории Касперского» добавляют, что метод закрепления в инфраструктуре и дальнейшего распространения с помощью планировщика задач давно и часто используется злоумышленниками. Как правило, такие атаки помогают политической разведке или же заняты промышленным шпионажем, отметили в компании.[35]

2018

Удвоение числа кибератак, доходы хакеров превысили 2 млрд рублей

В 2018 году количество кибератак в России увеличилось вдвое, а доходы хакеров превысили 2 млрд рублей. Такие данные в середине апреля 2019 года привел вице-президент «Ростелекома» по информационной безопасности Игорь Ляпунов.

По его словам, в 2018 году Центр мониторинга и реагирования на кибератаки «Ростелекома» Solar JSOC зафиксировал 765 259 атак, что на 89% больше, чем годом ранее. Подобная динамика характерна и для всей России, поскольку «Ростелеком» предоставляет услуги самым крупным и самым атакуемым компаниям в стране, пояснил Ляпунов.

Число кибератак в России выросло вдвое

Согласно его данным, около 75% кибератак приходится на кредитно-финансовые организации, электронную коммерцию, игровой бизнес. Кроме того, все чаще жертвами хакеров становятся инфраструктурные объекты.

«
Возник термин политически мотивированных атак... Цель атакующих — это получение контроля и точки присутствия в этой критической информационной инфраструктуре, — сказал Игорь Ляпунов во время выступления на «РИФ+КИБ 2019».
»

В Positive Technologies зафиксировали 27-процентный рост числа успешных кибератак в России в 2018 году, рассказал «Ведомостям» представитель компании Алексей Новиков. Чаще всего злоумышленники атаковали инфраструктуру (на такие атаки пришлось 49% инцидентов) и веб-ресурсы компаний (26% атак), указывает он. В 2018 году все чаще киберпреступники пытались украсть информацию: в 30% атак они крал персональные данные, в 24% — учётные данные, в 14% — платёжные данные, сообщил Новиков.

По данным «Лаборатории Касперского», суммарное число атак вредоносных программ в 2018 году повысилось на 29%. Но здесь не учитываются DDoS-атаки, пояснил изданию руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский.[36]

Герман Греф предложил создать министерство по чрезвычайным ситуациям в цифровой сфере

4 октября 2018 года Глава Сбербанка Герман Греф заявил, что в России следует создать отдельное министерство по чрезвычайным ситуациям в цифровой сфере, по аналогии с обычным МЧС.

«
Я думаю, нужно создавать серьезную инфраструктуру. Министерство чрезвычайных ситуаций у нас существует. Нужно создать министерство, которое бы контролировало чрезвычайные ситуации в диджитальной сфере, которая коснется всей инфраструктуры без исключения.
Герман Греф, глава Сбербанка
»

Глава Сбербанка также отметил, что цифровая составляющая проникает в различные сферы, и назвал это одним из ключевых трендов и вызовов будущего. Также он акцентировал внимание на том, что в современном мире киберугрозы приобретают все большее значение и делают заголовки новостей, в связи с чем предпринимаются попытки создавать из них политические новости, вроде вмешательства в выборы или вмешательства в управление.

Ранее Сбербанк оценил глобальный ущерб от кибератак в 2018 г. в $1 трлн и прогнозировал рост этой суммы до $8 трлн в 2022 г[37].

Путин анонсировал создание ИТ-системы обмена информацией о киберугрозах

6 июля 2018 года стало известно о создании в России автоматизированной системы обмены информации о киберугрозах. Об этом заявил президент РФ Владимир Путин в ходе Международного конгресса по кибербезопасности в Москве.

«
Будет реализована инициатива бизнеса по формированию системы автоматизированного обмена информацией об угрозах в цифровом пространстве. При кибератаках эта система позволит лучше координировать действия операторов связи, кредитных организаций, интернет-компаний с правоохранительными органами и тем самым оперативно ликвидировать возникающие угрозы, — сообщил он.[38]
»

]Путин призвал выработать единые международные правила игры в цифровой сфере

Также российские власти намерены развивать систему международного обмена информацией о киберугрозах.

«
В ближайшее время правительство должно определиться со структурой, которая будет отвечать за эту работу, — сказал Путин.
»

По словам главы государства, для борьбы с киберугрозами необходимо выработать новые комплексные решения по предупреждению и пресечению преступлений против граждан в цифровой среде. Для этого важно создать соответствующие правовые условия, обеспечить удобные формы взаимодействия граждан и государственных структур, подчеркнул он.

«
Будем стремиться, чтобы действующее в России программное обеспечение и инфраструктура основывались на отечественных технологиях и решениях, которые прошли соответствующую проверку и сертификацию. Конечно, не в ущерб конкуренции, — отметил российский лидер.
»

Говоря о других приоритетах в информационной сфере, Путин назвал среди них проведение исследований в этой сфере в кооперации с бизнесом и учеными. По словам президента, это позволит продвигать отечественные технологии и создавать на их базе востребованные и конкурентоспособные продукты.

Во время своего выступления Владимир Путин также обратил внимание на то, что число кибератак на российские ресурсы в первом квартале 2018 года по сравнению с аналогичным периодом 2017-го выросло на треть.

2017

Верховный суд РФ пояснил тонкости квалификации кибермошенничества

Верховный суд РФ разъяснил судьям, как следует квалифицировать кибермошенничество и мошенничество с банковскими картами. Пленум ВС РФ выпустил постановление «О судебной практике по делам о мошенничестве, присвоении и растрате», в котором впервые объясняется, в каких случаях и каким образом должны применяться новые статьи о мошенничестве, добавленные в УК РФ в 2012 году, сообщает в ноябре 2017 года ТАСС Информационное агентство России[39].

В статье «Мошенничество в сфере компьютерной информации» (159.6 УК РФ) предусматривается использование ПО или программно-аппаратных средств для воздействия на серверы, компьютеры (в том числе портативные) или на информационно-телекоммуникационные сети с целью незаконного завладения чужим имуществом или получения права на него. Подобные действия должны быть квалифицированы дополнительно по статьям УК о неправомерном доступе к компьютерной информации или о создании, использовании и распространении вредоносного ПО.

Использование чужих учетных данных подлежит квалификации по статье «Кража». Под использованием чужих учетных данных имеется в виду тайное или обманное использование подключенного к услуге «Мобильный банк» телефона жертвы, авторизация в системе интернет-платежей под похищенными учетными данными и т.п.

Как обычное мошенничество, предусмотренное ст. 159 УК РФ, следует рассматривать хищение имущества путем распространения в Сети заведомо ложных сведений (создание поддельных сайтов, online-магазинов, использование электронной почты).

К статье «Мошенничество с использованием платежных карт» (159.3 УК РФ) следует прибегать в случаях, если мошенник выдавал себя за истинного владельца банковской карты при оплате покупок или осуществлении банковских операций. Обналичивание средств через банкоматы квалифицируется как кража.

Как поясняется в постановлении ВС РФ, хищение безналичных средств с помощью личных данных владельца, пароля, данных карты, полученных преступником от ее владельца путем обмана или злоупотребления доверием, также должно рассматриваться судом как кража.

Изготовление, хранение, перевозка поддельных платежных карт, технических устройств и ПО для неправомерного приема, выдачи, перевода денежных средств, следует считать приготовлением к преступлению (если преступление так и не было совершено по независящим от злоумышленника причинам).

Реализация непригодных к использованию поддельных платежных карт, технических устройств и ПО якобы для хищения денег расценивается как мошенничество или мелкое хищение.

Изготовление или покупка поддельных банковских карт с целью хищения в крупном или особо крупном размере без доведения умысла до конца (по независящим от злоумышленника причинам) является одновременно и приготовлением к хищению, и оконченным преступлением, предусмотренным ст. 187 УК РФ («Неправомерный оборот средств платежей»).

PwC: Большинство российских компаний не могут противостоять кибератакам

Большинство российских компаний не могут успешно противостоять кибератакам, говорится в исследовании международной консалтинговой компании PwC, выпущенном в ноябре 2017 года.[40].

В PwC считают, что компании должны инвестировать время и средства в технологии обеспечения кибербезопасности

Половина российских респондентов отмечает, что в их компаниях нет общей стратегии информационной безопасности, а в 48% компаний нет программы обучения, направленной на повышение уровня осведомленности сотрудников в вопросах безопасности.

Кроме того, 56% компаний признались, что у них не отработан процесс реагирования на кибератаки. В способности найти хакеров полностью уверены лишь 19% участников исследования PwC в России и 39% респондентов во всем мире.

Среди основных мер для обнаружения киберрисков российские участники опроса назвали оценку киберугроз (50%), постоянный мониторинг системы информационной безопасности (48%), оценку уровня уязвимости (44%) и тест на проникновение для проверки системы защиты (40%).

Почти четверть российских компаний утверждают, что к проблемам с информационной безопасностью привело использование мобильных устройств. Этот фактор занял второе место после фишинговых атак, которые лидируют среди называемых угроз.

«
Киберинциденты происходят каждый день, при этом бренду и репутации компании, ставшей объектом хакерской атаки, наносится серьезный ущерб. Компаниям необходимо защищать доверие со стороны клиентов путем инвестирования времени и средств в работу по внедрению надлежащих систем и технологий, направленных на обеспечение кибербезопасности, — отметил руководитель практики по оказанию услуг в области информационной безопасности PwC в России Роман Чаплыгин.
»

По его словам, еще одним эффективным инструментом в борьбе с киберпреступностью может стать регулярный обмен информацией между компаниями.

Обязательное страхование киберрисков может появиться в России в 2022 году

На страховании рисков в области защиты информации государственный сектор России может заработать около 50 миллиардов рублей. Инициатива введения страхования киберрисков и введения киберстраховки озвучена в рамках госпрограммы `Цифровая экономика`.

Планируется, что киберриски будут обязаны страховать все компании независимо от формы собственности, которые занимаются обработкой и хранением данных. Под эту категорию попадают мобильные и интернет операторы, хостинг провайдеры и крупные IT-компании, что, безусловно, гарантирует высокую доходность от подобного вида страхования. При каких условиях и в каком объеме будут производится выплаты по страховым случаям – пока не известно[41].

Смотрите также InsurTech - Информационные технологии и цифровизация в страховании (киберстрахование и телематические данные)

МВД и Group-IB ликвидировали группировку, укравшую 50 млн рублей с помощью трояна

В мае 2017 года в нескольких городах России задержаны два десятка киберпреступников, которые с помощью вредоносного ПО для мобильных устройств похитили более 50 млн рублей.

Участники преступной группировки заразили более 1 млн смартфонов вредоносной программой Cron — троянцем для ОС Android, с помощью которого злоумышленники похищали денежные средства с банковских счетов. С помощью скрытых SMS-команд деньги переводились на заранее подготовленные счета.

Group-IB помогла МВД задержать укравших 50 млн рублей хакеров
«
В ходе поведения оперативно-розыскных мероприятий было установлено, что в состав группы входит 20 человек, проживающих на территории Ивановской, Московской, Ростовской, Челябинской, Ярославской областей и Республики Марий Эл, а организатором незаконного бизнеса является 30-летний житель г. Иваново, — указывается в сообщении пресс-службы МВД РФ [42].
»

В разработке преступной группы активно участвовала компания Group-IB, эксперты которой первыми обнаружили троянца Cron.

Первая информация о нем появилась в марте 2015 года: компания Group-IB зафиксировала активность новой преступной группы, распространяющей на хакерских форумах вредоносные программы «viber.apk», «Google-Play.apk», «Google_Play.apk» для ОС Android. Cron атаковал пользователей крупных российских банков из ТОП-50», сообщали в Group-IB. [43]

Заражение происходило двумя способами — с помощью фишинговых SMS-рассылок и с помощью приложений, замаскированных под легитимные. Троян распространялся под видом следующих приложений: Navitel, Framaroot, Pornhub и другие. В случае фишинговых рассылок, потенциальные жертвы получали ссылки на сайты, подконтрольные злоумышленникам, где с помощью социальной инженерии их побуждали вручную установить себе вредоносное приложение.

Попадая на телефон жертвы, троян устанавливался в автозагрузку устройства и дальше самостоятельно отправлял SMS-сообщения на указанные преступниками телефонные номера, пересылал текст получаемых жертвой SMS-сообщений на удаленные сервера, а также скрывал поступающие по SMS уведомления от банка.

По данным Group-IB, хакеры открыли более 6000 банковских счетов, на которые переводились деньги жертв. Каждый день вредоносная программа заражала около 3500 пользователей и пыталась похитить деньги у 50-60 клиентов разных банков. Средний объем хищений — около 8000 рублей. Общий ущерб от действий Cron оценивается в 50 млн рублей.

В планах злоумышленников, по-видимому, было расширение своего ареала деятельности за пределы РФ. Та же группировка в июне 2016 года взяла в аренду банковский мобильный троян Tiny.z, нацеленный уже не только на российские кредитные учреждения, но и на банки Великобритании, Германии, Франции, США, Турции, Сингапура, Австралии и других стран.

В результате операции российских полицейских и экспертов по безопасности все активные участники банды Cron были задержаны. Как выяснилось, у многих из них уже имеется богатый криминальный опыт.

По сообщению пресс-службы МВД, в отношении четырех задержанных судом избрана мера пресечения в виде заключения под стражу, в отношении остальных – подписка о невыезде. На территории шести регионов России проведено 20 обысков, в ходе которых изъята компьютерная техника, сотни банковских карт и сим-карт, оформленных на подставных лиц.

Возбуждено уголовное дело по признакам составов преступлений, предусмотренных ч. 4 ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации).

«
В западной прессе часто раздаются обвинения российских властей в том, что они не препятствуют деятельности киберпреступников и чуть ли не прямо потворствуют им, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Данная история – один из примеров, доказывающих несостоятельность такой оценки. Просто какие-то факты попадают в фокус внимания иностранной прессы, а другие зачастую игнорируются.
»

Минобороны Дании: российские хакеры два года взламывали почту наших сотрудников

Хакеры из России, связанные с руководством страны, два года получали доступ к электронным почтовым ящикам Минобороны Дании. Об этом рассказал в апреле 2017 года министр обороны страны Клаус Йорт Фредриксен.

В отчете, который приводит Berlingske, сообщается, что в течение 2015 и 2016 годов хакеры из группировки Fancy Bear имели доступ к несекретному содержимому почты некоторых сотрудников военного ведомства.

По информации издания, «в течение длительного времени хакеры рассылали большое количество электронных писем конкретным сотрудникам в минобороны». Сотрудники получали сообщения, что «система требует обновления, и «они должны ввести свои пароли». Чтобы ввести в заблуждение сотрудников министерства, хакеры использовали фейковые страницы для входа, которые представляли собой точную копию страниц министерства. Кроме того, целью предполагаемых хакеров, информирует газета, могло быть не только получение необходимой информации, но и возможная вербовка агентов из числа сотрудников министерства.

Отмечается, что взлом стал возможен потому, что не все почтовые ящики были достаточно защищены. Теперь эту проблему устранили[44].

Киберпреступники маскируются под «русских» хакеров

Вредоносное ПО, примененное в недавних кибератаках на польские банки, содержит подложные доказательства, указывающее на то, что атаки были осуществлены якобы русскоговорящими хакерами. К такому выводу пришли эксперты компании BAE Systems Шевченко Сергей и Адриан Ниш (Adrian Nish) по итогам анализа[45].

Исследованный специалистами образец вредоносного ПО содержал большое количество исковерканных русских слов, которые никогда не используются нативными носителями русского языка. Как показал анализ, вирусописатели использовали сервисы online-перевода, такие как Google Translate, для перевода слов с английского на русский. По словам Шевченко, тот, кто переводил текст, никогда не имел дела с русским языком, поэтому не обратил внимания на разницу в фонетическом написании.

В частности, при переводе английского слова «client» вирусописатель использовал его фонетическое написание («kliyent»), вместо «client» или «klient». Кроме того, команды также переводились с помощью online-переводчиков. Например, команда «установить» была написана как «ustanavlivat», команда «выйти» как «vykhodit» и так далее.

Подобные ошибки были обнаружены не только во вредоносном ПО, но и в кастомном эксплоит-ките, использовавшемся для доставки вредоноса на компьютеры жертв.

Авиакосмическая отрасль России привлекает растущий интерес кибершпионов

В феврале 2017 года стало известно о том, что китайские хакеры стали интенсивно атаковать авиакосмические компании в России и Белоруссии. Такой вывод сделали эксперты компании Proofpoint, отслеживающие деятельность группировки, ранее замеченной в атаках на правительственные структуры и коммерческие компании по всему миру. [46]

Хакеры, предположительно действующие в интересах правительства КНР, использовали троянец NetTraveler и инструмент удаленного администрирования PlugX. С их помощью преступники осуществляли шпионскую деятельность по всему миру.

Подготовка к запуску космического аппарата

Начиная с лета 2016 года эта группировка начала использовать новый зловред, получивший название ZeroT, который после попадания в систему скачивает и устанавливает PlugX.

Сам ZeroT распространяется с помощью спиэр-фишинговых (узконаправленных) писем, содержащих вложения в формате HTML Help (.chm). Хакеры использовали .chm-документы с интегрированными в них исполняемыми файлами. Система контроля учетных записей (UAC) исправно реагировала на попытки открытия этих .chm-файлов (а в действительности - попытки запуска исполняемых компонентов), однако как минимум в нескольких случаях пользователи "послушно" способствовали заражению.

В немалой степени это связано с эффективностью заголовков в фишинговых письмах, таких как "Федеральная целевая программа 2017-2020 гг.", "Изменения в списке аффилированных лиц по состоянию на 21.06.2016" и так далее.

Хакеры также активно эксплуатировали уязвимость CVE-2012-0158, рассылая файлы для Microsoft Word с эксплойтами, и самораспаковывающиеся .rar-файлы, содержавшие компоненты для обхода системы учета контрольных записей.

Китай регулярно обвиняют в активном кибершпионаже против других стран. Власти КНР категорически опровергают все обвинения, однако эксперты по кибербезопасности во всём мире набрали достаточное количество свидетельств тому, что в составе вооруженных сил КНР есть подразделения, занимающиеся кибершпионажем и кибератаками.

«
Кибершпионаж, как и шпионаж традиционный, давно уже стал фактором международной политики, который приходится постоянно иметь в виду, - говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". - Мы живем в эпоху "холодной кибервойны" глобальных масштабов. Любая отрасль стратегического значения становится объектом недружественного интереса, и попытки атак - это лишь вопрос времени. Что же касается их успешности, то здесь всё зависит от того, насколько персонал атакуемых организаций готов к нападению, умеет выявлять попытки кибератак, умеет отличать фишинговые письма от легитимных, и насколько внимательно ИТ-персонал следит за своевременным обновлением ПО.
»

2016

Германия: у русских хакеров длинные руки

Глава Федерального ведомства по охране конституции Ханс Георг Маасен заявил в конце года, что анализ, проведенный организацией, показал, что в атаке на информационную систему ОБСЕ в ноябре 2016 года есть сходство, указывающее на причастность к ней группировки хакеров APT 28, которая также известна как Fancy Bear[47].

Причиной атаки на ОБСЕ, как считают в Германии, является попытка помешать миссии организации на Украине. Отмечается, что в 2016 году председателем организации была как раз ФРГ.

Также, по заявлениям Маасена, кибератака на ОБСЕ была схожа со взломом партии Христианско-демократического союза (ХДС) канцлера ФРГ Ангелы Меркель и сайта бундестага еще в 2015 году, пишет Frankfurter Allgemeine Zeitung[48].

Несмотря на давний срок того события, 1 декабря портал WikiLeaks опубликовал около 90 гигабайт данных с содержанием секретных документов о расследовании связей Агентства национальной безопасности (АНБ) США с немецкой контрразведкой.

При этом причиной утечки в организацию Джулиана Ассанжа все же считают не хакеров, а некоего информатора внутри самого бундестага. Немецкие правоохранительные органы в конце декабря пришли к выводу, что данные мог передавать один из депутатов или сотрудников аппарата парламента. По их мнению, в руках хакеров после атаки 2015 года оказалось лишь 16 гигабайт секретной информации.

Возможно, после публикации «несекретной» версии доклада разведки США, в котором WikiLeaks фактически называется пособником прокремлевских хакеров, немецкие власти также поменяют свое мнение и найдут связь между инцидентом 2015 года и утечками, оказавшимися в распоряжении организации.

По мнению руководителя Федеральной разведывательной службы Германии Бруно Каля, кибератаки преследуют единственную цель — вызвать политическую неуверенность. Оставленные цифровые следы, как он полагает, создают впечатление, будто кто-то пытался продемонстрировать свои способности, пишет Deutsche Welle[49].

Российские компании осознают ИТ-риски и угрозы

23 декабря 2016 года компания Ernst and Young опубликовала результаты исследования «Путь к киберустойчивости: прогноз, защита, реагирование» (Path to cyber resilience: Sense, resist, react), согласно которым российские компании осознают риски и угрозы развития информационных технологий и готовы инвестировать в организацию эффективных систем информационной безопасности [50].

«
За последний год в компаниях России и СНГ на всех уровнях руководства мы отмечаем существенное повышение внимания к вопросам обеспечения информационной безопасности. Организации осознают риски и угрозы, которые несет сегодняшнее развитие информационных технологий, и готовы инвестировать в построение эффективных систем информационной безопасности.

Николай Самодаев, партнер EY, руководитель направления по предоставлению услуг в области бизнес-рисков, управления ИТ и ИТ-рисками в СНГ
»

42% респондентов отметили рост инвестиций в течение 2016 года, при этом значительная часть участников исследования (37%) планирует их увеличение в будущем.

Более половины респондентов отметили действие операционных центров информационной безопасности (SOC) в своих компаниях. В сравнении с мировыми тенденциями, российские компании недостаточно активно взаимодействуют в части обмена данными с другими SOC (7% в России по сравнению с 32% в мире). 25% российских SOC используют платные подписки с целью проактивного информирования о киберугрозах (в мире – 41%), 18% имеют в штате выделенных экспертов-аналитиков по киберугрозам (в мире – 32%).

Российские участники исследования отметили возросшие риски с ростом распространения мобильных устройств. Респонденты отметили значимость рисков и угроз потери, краж мобильных устройств (61%), их взлом (45%), несоблюдение правил их использования (71%). В 2015 году наиболее распространенным недостатком в системах внутреннего контроля оказался слабый уровень осведомленности пользователей в вопросах реагирования на фишинговые атаки, что повлекло за собой рост кибератак этого типа.

«
Построение эффективной системы информационной безопасности подразумевает непрерывный процесс анализа и улучшения процессов управления кибербезопасностью, включая переоценку актуальных угроз и пересмотр механизмов защиты. Это не только обеспечение эффективных технических и организационных мер защиты. Создание полноценной программы противодействия киберугрозам средств возможно лишь при тесном взаимодействии между техническими специалистами и бизнес-руководством организации, которое обеспечивает целостное видение бизнеса и бизнес-среды, понимание взаимосвязей бизнес-процессов и используемых информационных систем, правильную оценку киберугроз и возможных последствий, и, как следствие, оптимальный выбор адекватных превентивных и реактивных мер защиты.

Николай Самодаев
»

В России за кибератаки будут сажать на 10 лет

Законодательная защита от киберугроз

Правительство России внесло в декабре на рассмотрение Госдумы несколько законопроектов, направленных на защиту информационных систем РФ от кибреугроз. Пакет законопроектов «О безопасности критической информационной инфраструктуры (КИИ) РФ»[51], был внесен в Госдуму 6 декабря 2016 г., сообщает «Интерфакс». В частности, для хакеров в нем предусмотрено наказание в виде лишения свободы до 10 лет.

Защита критической информационной инфраструктуры

К объектам критической информационной инфраструктуры авторы законопроектов относят ИТ-системы государственных органов, энергетических, оборонных, топливных предприятий и других важных государственных объектов, отмечая, что «при развитии событий по наихудшему сценарию компьютерная атака способна парализовать критическую информационную инфраструктуру государства и вызвать социальную, финансовую и/или экологическую катастрофу».

«По данным за последние годы, исходя из различных методик оценки ущерба от вредоносных программ, он составлял от $300 млрд до $1 трлн, то есть от 0,4% до 1,4% общемирового ежегодного ВВП, и эти показатели имеют тенденцию к неуклонному росту. Характерными примерами последствий негативного воздействия компьютерных атак на критическую инфраструктуру государства могут послужить остановка центрифуг иранской атомной станции с помощью компьютерного вируса StuxNet в сентябре 2010 г. и паралич работы нескольких крупных финансовых учреждений Южной Кореи в марте 2013 г.», — говорится в сопроводительных документах к законопроектам.

Законопроекты должны «установить основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов РФ в области обеспечения безопасности критической информационной структуры, а также права, обязанности и ответственность лиц, владеющих объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов».

Реестр объектов КИИ

В качестве одной из мер обеспечения безопасности КИИ предлагается создать специальный реестр, который будет включать в себя все имеющие важность объекты инфраструктуры, распределенные по своей политической, экономической, экологической и социальной значимости. Предполагается, что объекты, внесенные в реестр, будут иметь одну из трех категорий значимости: высокую, среднюю или низкую.

Представители объектов КИИ, входящих в реестр, обязаны будут информировать об инцидентах кибератак и оказывать содействие в ликвидации их последствий. В частности, владельцев критической инфраструктуры обяжут создать и обеспечить функционирование системы кибернетической безопасности их объектов, а также следить за созданием и хранением резервных копий информации, необходимой для нормального функционирования ИТ-систем.

Хакерам будут давать до десяти лет

Также предлагается дополнить уголовный кодекс РФ статьей 274.1 «Неправомерное воздействие на КИИ РФ». Статья будет предусматривать уголовную ответственность за создание и распространение вредоносных компьютерных программ, предназначенных для атак на КИИ, за неправомерный доступ к данным, содержащимся в КИИ, и нарушение правил систем хранения и обработки таких данных.

Статья предусматривает штрафы для злоумышленников до 2 млн и тюремные сроки до 10 лет — в зависимости от тяжести совершенного преступления, наличия предварительного сговора и числа участников. Авторы законопроектов подчеркивают, что «опасность могут представлять атаки, совершаемые в преступных, террористических и разведывательных целях со стороны отдельных лиц, сообществ, иностранных специальных служб и организаций».

Планируется, что поправки, внесенные на рассмотрение, вступят в силу с 1 января 2017 г., за исключением нескольких статей, среди которых положения о введении уголовной ответственности за нарушения в области безопасности критической инфраструктуры. Они вступят в силу с начала 2018 г.

Суд в США признал сына депутата Селезнева виновным в кибермошенничестве

Российский гражданин Роман Селезнев признан судом присяжных в Сиэтле виновным в кибермошенничестве. Об этом сообщает «РИА Новости» со ссылкой на своего корреспондента[52].

Против россиянина было выдвинуто обвинение в общей сложности по 40 преступным эпизодам, ему вменяли четыре статьи, включая кибермошенничество, взлом компьютеров и кражу персональных данных. По версии следствия, Селезнев причастен к краже и продаже 1,7 млн номеров кредитных карт. Обвинение заявило, что Селезнев нанес ущерб на $170 млн.

Роман Селезнев, являющийся сыном депутата Госдумы Валерия Селезнева, был задержан на Мальдивах в 2014 году, а затем вывезен на территорию США.

Защита Селезнева и его отец назвали задержание россиянина похищением. МИД России называл случившееся «очередным недружественным шагом Вашингтона» и нарушением норм международного права.

Эксперты по информационной безопасности: «Русские хакеры» это миф

Эксперты в сфере информационной безопасности из «Информзащиты», «Лаборатории Касперского», ESET и «Аладдин Р. Д.» прокомментировали феномен «русских хакеров», которых США обвиняют в крупном взломе компьютеров своих политиков[53].


Интеллектуальный потенциал как предпосылка обвинений

Базу для создания мифа о «русских хакерах» заложили успехи российских программистов, которые с конца 1990-х годов востребованы в США, говорит Климов Евгений, технический директор "Информзащиты". Убедившись в профессионализме российских программистов, иностранные компании легко могли предположить, что российские хакеры не менее талантливы.

В России существует молодое поколение ИТ-специалистов, и некоторые его представители действительно занимаются хакерством, однако не являются преступниками, считает Климов. Это так называемые «этические хакеры» (ethical hackers), которые работают в интересах коммерческих и государственных организаций, помогая им защитить свою информацию и ИТ-инфраструктуру. Российские ethical hackers занимаются взломом в основном в рамках bounty-программ различных брендов и конкурсов на поиск уязвимостей за деньги.

Реально ли отследить «русский след» в киберпреступлениях?

Одна из главных причин, по которым невозможно доказать причастность граждан какой-либо конкретной страны к определенному киберпреступлению – это умение хакеров «заметать следы».

«В современном мире практически невозможно установить источник атаки, если уровень знаний атакующего позволяет ему взламывать самые защищенные информационные системы в мире, – считает Евгений Климов. – Хакеры имеют целый пул инструментов для того, чтобы уничтожить малейшие зацепки о своем местоположении не только в определенном городе, но и на целой планете. Более того, эти гениальные парни имеют возможность создавать любое представление о своей геопозиции, чтобы подозрение падало на кого-то другого, например, на конкретную страну».
«Русские хакеры» – это классический стереотип девяностых и начала нулевых. Сегодня он широко используется в целях пропаганды, – считает Баранов Артем, вирусный аналитик компании ESET. – Да, в его основе есть доля правды – русскоговорящие программисты имеют высокую квалификацию и теоретически могут обратить знания «на темную сторону» – заняться разработкой вредоносных программ. С другой стороны, в век глобализации странно делать упор на национальную принадлежность хакеров. Качественное образование в области программирования можно получить не только в России, киберпреступления совершаются по всему миру, кибер-группы объединяют выходцев из разных стран. Множество хакеров, попадавших в поле зрения вирусной лаборатории ESET, действовали из Китая или, например, стран Латинской Америки».

Политические корни концепта «русских хакеров»

Самые громкие атаки, приписываемые «русским хакерам» – это диверсии, направленные против правительств стран, граничащих с Россией, но придерживающихся прозападной ориентации: Украины, Грузии, стран Прибалтики. Поэтому велика вероятность, что за обвинениями стоят не только реальные факты, выявленные следствием, но и политические мотивы.

«Безусловно, российские киберпреступники существуют, более того, они довольно известны во всем мире, – считает эксперт «Лаборатории Касперского» [Гостев Александр]]. – Но здесь правильнее говорить скорее о русскоязычных киберпреступниках». Под русскоязычными в данном случае подразумеваются киберпреступники, являющиеся не только гражданами Российской Федерации, но и некоторых граничащих с ней стран бывшего Cоветского Cоюза. В большинстве случаев к таким странам относятся Украина и страны Прибалтики, считает «Лаборатория Касперского». Это приводит к парадоксальной ситуации, когда выходцы из Украины и Прибалтики участвуют в атаках на правительства собственных стран, но ответственность за это общественность возлагает на «русских хакеров».

Кто есть кто в мире киберпреступности

«Русскоязычные хакеры долгое время были лидерами, но сейчас уступили первенство китайским (в основном исключительно из-за численности)». Третье место в мире занимает латиноамериканское хакерское сообщество, куда входят и бразильцы. В последние годы стремительно развивается так называемая «мусульманская» киберпреступность, сгруппированная в основном вокруг туркоязычного сообщества.

Инвестиции в преступность

24 июня 2016 год об активном инвестировании киберпреступностью средств, похищенных у сограждан, в исследования с целью совершенствования стало известно от Ильи Медведовского, гендиректора компании Digital Security (Диджитал Секьюрити) [54].

Согласно мнению эксперта, до 30–40% денег, похищенных с карт граждан, хакеры направляют на исследования, цель которых — совершенствование преступных схем. Хакеры начали тратить значительные суммы на исследования, в связи со сменой приоритета — целью мошенников стали коррсчета банков. Исследования преступники заказывают по легальным каналам.

По данным ЦБ, в 2015 году объем потерь от кибермошенничества составил 1,14 млрд руб. Треть этой суммы инвестирована. По оценкам Ильи Медведовского, хакеры могут направлять на исследования до 300–400 млн руб. Ранее на эти цели хакеры тратили не более 10–20 млн рублей .

«
Кибермошенники изучают новые технологии, которые позволят им упростить схемы атак. Под прицелом банки и платежные системы с их нововведениями по картам, интернет- и мобильному банку. Хакеры заказывают исследования под видом легальных стартапов, финтехов. Это гигантские суммы на исследования в сфере кибербезопасности. Легальные компании на рынке тратят на исследования в разы меньше. Инвестиции в дальнейшем помогают хакерам проводить такие сложные с технической точки зрения схемы, как атака на банк «Кузнецкий», ущерб от которой составил 500 млн рублей. Это актуально и в связи с тем, что кибермошенники стали переключаться на корсчета банков.
»

Прогноз эксперта: хакеры будут вкладывать до половины своей «прибыли» в дальнейшее развитие.

О смене приоритетов кибермошенников на корсчета банков сообщал и Артем Сычев, заместитель начальника главного управления безопасности и защиты информации Центробанка. По оценкам ЦБ, в 2016 году потери от кибермошенничества, в первую очередь от взломов корсчетов банков, составят около 4 млрд руб.

Сергей Никитин, заместитель руководителя лаборатории компьютерной криминалистики Group-IB считает, хакеры инвестируют похищенные суммы в написание вредоносного кода высокого качества; регулярное шифрование исполняемых файлов, дабы скрыть их от антивирусного ПО; покупку и поиск эксплоитов — программ для эксплуатации уязвимостей в самых различных платформах; оплату трафика — заражение компьютеров с целью расширения собственных ботнетов (сетей зараженных компьютеров); каналы по легализации денежных средств.

По словам Артема Сычева, координатору атаки достается примерно 40% от похищенной суммы, "заливщику" - он отправляет трояны и иное вредоносное программное обеспечение для взлома счета клиента, информационной системы банка — 10%. 8% получают люди, выводящие украденные деньги (получают карты в отделениях банка или самостоятельно изготавливают карты-клоны для последующего снятия наличных в банкоматах). 30–40% достается тем, кто снимает наличные через банкоматы и передает их заказчику. Вредоносное программное обеспечение (ПО) тоже стоит немалых денег, до $50 тыс. за программу.

Представитель ЦБ описал техническую организацию схемы атаки на коррсчета банков:

  • мошенники запускают вредоносное ПО для взлома информационной системы кредитной организации.
  • идет захват информационной инфраструктуры банка — фактически злоумышленники начинают управлять сетью, им становится доступна информация обо всех операциях банка, частоте и объеме транcакций, остатке по корсчету.
  • хакеры «сидят» в сети банка неделю, максимум две.
  • готовится бригада для вывода (обналичивания) похищенных средств,
  • формируются фальшивые документы о списании средств с корсчета, заверяемые легальными подписями ответственных лиц банка.
  • платежные поручения направляются в платежную систему, для которой это легальный платежный документ, поэтому она обязана его исполнить в соответствии с договором и законодательством.

«
Чтобы быть на шаг впереди преступников, банкам надо сконцентрироваться на ряде аспектов, интересующих хакеров: произвести тщательный анализ собственных платежных процессов и ИТ-технологий с точки зрения реальных рисков взлома, не расставлять средства защиты по периметру, а интегрировать защитные технологии в автоматизированную банковскую систему, заняться обучением своих пользователей правилам интернет-банка, переходить от хаотичного к процессному обеспечению информационной безопасности.

Андрей Янкин, руководитель отдела консалтинга центра информационной безопасности компании «Инфосистемы Джет»
»

2015

ФСБ возьмет безопасность в Рунете под контроль

В России объявлено о создании "Система борьбы" с киберугрозами. Национальный координационный центр по компьютерным инцидентам при ФСБ станет в одним из ключевых компонентов. Система создается на основе ФСБ и еще одного уполномоченного федерального органа власти, название которого не раскрывается[55].

Безопасность сайтов отечественных органов государственной власти будет обеспечивать особое подразделение ФСБ - Национальный координационный центр по компьютерным инцидентам.

Офис ФСБ, Москва, 2013


Информация о его создании содержится в «Концепции государственной Системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России», выписка из которой опубликована на сайте ФСБ. Согласно публикации на сайте ФСБ, президент России 12 декабря 2014 года утвердил нормативный документ под названием «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», но его фрагмент в публичном доступе впервые.

Опубликованная выписка из «Концепции» посвящена организационной структуре Системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, которая создается на основе президентского Указа №31с от 15 января 2013 года.

В «Концепции» Система описывается как «единый централизованный, территориально распределенный комплекс», в составе которого силы (уполномоченные силовые подразделения) и средства (технологические решения) обнаружения, предупреждения и ликвидации последствий компьютерных атак.

В Систему войдут два федеральных органа исполнительной власти: один из них уполномочен обеспечивать безопасность критической информационной инфраструктуры РФ (он в документе не поименован), второй - создавать и обеспечивать функционирование Системы. Обязанность по созданию Системы Указом №31с возложена на ФСБ.

В «Концепции» перечислены 12 функций по обеспечению информационной безопасности интернет-ресурсов, возложенных на Систему. Среди них:

  • выявление признаков проведения компьютерных атак,
  • разработка методов и средств обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  • формирование детализированной информации об информационных ресурсах РФ, находящихся в зоне ответственности Системы (то есть ресурсов органов власти);
  • прогнозы в области обеспечения ИБ Российской Федерации;
  • организация и взаимодействие с правоохранительными органами и другими госорганами, владельцами информационных ресурсов Российской Федерации, операторами связи, интернет-провайдерами и иными заинтересованными организациями на национальном и международном уровнях в области обнаружения компьютерных атак и установления их источников;
  • организация и проведение научных исследований в сфере обнаружения, предупреждения и ликвидации последствий компьютерных атак и др.

Хотя указанная основная цель Системы в «Концепции» - защита сайтов госорганов (информационных ресурсов РФ), изучение ее документированных функций допускает предположение, о безграничной широте полномочий ФСБ по обеспечению информационной безопасности в Рунете.

Киберугрозы в онлайн-ритейле

Исследовательское агентство 42Future по заказу Qrator Labs провело опрос двадцати крупных онлайн-ритейлеров на тему DDoS-атак. В опросе приняли участие менеджеры компаний среднего и высшего звена, хорошо осведомлённые по данному вопросу.

2014

Данные Лаборатории Касперского и B2B International

В результате действий киберпреступников в 2014 году треть финансовых компаний (36%) в России столкнулась с утечкой важных данных, связанных с осуществлением денежных операций. При этом 81% финансовых организаций считают, что они «принимают все необходимые меры для поддержания актуальности защитных технологий». Такие данные были получены в ходе исследования, проведенного "Лабораторией Касперского" совместно с компанией B2B International.

Финансовые организации принимают, обрабатывают и хранят большие массивы конфиденциальной информации своих клиентов. Именно поэтому в бизнесе, где высоко ценится доверие со стороны клиента, кибератаки могут оказаться особенно чувствительными и привести к повышенным рискам, как материальным, так и репутационным. Как показало исследование, финансовые организации об этом хорошо осведомлены — 52% из них сообщили о том, что готовы внедрять новые технологии для дополнительной защиты финансовых транзакций.

После серьезных инцидентов компании, как правило, уделяют больше внимания информационной безопасности. Самой популярной мерой в этом году среди российских финансовых организаций стало обеспечение безопасного соединения клиентских транзакций — этому последовали 86% респондентов. Компании также более заинтересованы в предоставлении своим клиентам специализированных приложений для работы с онлайн-банкингом для мобильных устройств (61%). Это свидетельствует о том, что безопасность мобильных платежей становится одной из приоритетных задач.

Наименее распространенной мерой было предоставление своим клиентам защитного решения — бесплатно или по сниженной стоимости. Только 53% респондентов обеспокоились внедрением специализированных средств защиты на компьютерах и мобильных устройствах клиентов после утечки данных. Это указывает на более высокую заинтересованность компаний в обеспечении безопасности собственной инфраструктуры, нежели пользовательской.

  • Данные исследования «Информационная безопасность бизнеса», проведенного «Лабораторией Касперского» и B2B International в период с апреля 2013 по апрель 2014 года. В исследовании приняли участие более 3900 IT-специалистов из 27 стран мира, включая Россию.

Данные Proofpoint

Уэйн Хуань (Wayne Huang) из занятой информационной безопасностью компании Proofpoint опубликовал осенью 2014 года подробный отчет о группировке хакеров Qbot, скрытно получающей доступ к чужим учетным записям в банках. На пике группировка Qbot контролировала около 500 тыс. ПК, собирая данные о вводе с клавиатуры пользовательских паролей к банковским сервисам [56].

Полмиллиона зараженных ПК - это не слишком большая ботсеть по нынешним стандартам, однако, исследование, опубликованное исследователем экспертом Proofpoint интересно тем, что описывает сложную тактику авторов этого ботнета, и, кроме того, оно указывает на их русское происхождение.

Гипотеза о русских (русскоязычных) корнях создателей ботнета основана на панели управления Qbot, к которой получили доступ исследователи Proofpoint. На скриншотах, представленных в отчетах Proofpoint, хорошо видны пункты меню и комментарии на правильном русском языке на управляющих страницах ботнета.

По данным исследования, Qbot, которую в Proofpoint также называют Qakbot, была нацелена на атаку систем дистанционного банковского обслуживания американских банков. На США приходится 75% IP-адресов, на связь с которыми выходили управляющие сервера ботнета, причем 59% из них принадлежат клиентам пяти крупнейших американских банков. На остальные страны мира приходится лишь четверть подконтрольных ПК.

Интересно, что 52% ПК, которые удалось заразить Qbot, работают под управлением Windows XP, хотя, как подчеркивают авторы отчета, эта ОС сейчас занимает долю лишь в 20-30% ПК как в домашних хозяйствах, так и в корпоративном секторе. Поддержка Windows XP была прекращена Microsoft в апреле 2014 г.

Согласно анализу Proofpoint, 82% успешных заражений Qbot были совершены посредством браузера Internet Explorer.

Атаки на компьютеры потенциальных жертв проводились с сайтов, построенных на движке WordPress. Первоначальный доступ к ним создатели ботнета получили, купив на черном рынке базу админских имен и паролей, после чего внедрили в сайты свой вредоносный код.

При посещении потенциальной жертвой зараженного сайта специальная система управления трафиком анализировала ПК потенциальной жертвы по признакам его IP-адреса, типа браузера, операционной системы, установленного защитного ПО и других критериев. Таким образом создатели ботнета минимизировали опасность обнаружения их внедренного в сайты вредоносного программного обеспечения.

Большинство зараженных сайтов выполняло регулярные антивирусные сканирования, однако внедренный вредоносный код оставался незамеченым, поскольку атакующие старались использовать эксплойты, не вызывающие реакции у антивирусных программ. По данным Уэйна Хуаньа, перед загрузкой вредонсоного кода он проверялся по базе данных Scan4U, агрегирующей данные от десятков антивирусных компаний. Если база узнавала вредоносный код, его меняли на такой, у которого сканирование не вызывало проблем.

Создатели Qbot приняли меры для защиты от антиврусных компаний: если посетитель их сайта был похож на автоматический антивирусный сканер, то система управления трафиком перенаправляла его к незараженной версии сайта. В распоряжении хакеров имелся список IP-адресов, используемых ИБ-компаниями, и любой трафик от них также переадресовывался к «чистым» копиям сайтов. Вследствие этих мер, как пишет Уэйн Хуань, многие владельцы сайтов, с которыми он связывался, не верили, что они атакованы.

Для целей сниффинга (сканирования клавиатурных нажатий при вводе банковского логина и пароля) авторы Qbot использовали целый массив уязвимостей в плагинах PDF, Java, Flash и Internet Explorer, которые выбирались в каждом конкретном случае в зависимости от уникальных особенностей целевой системы. Эксплойты для эксплуатации этих уязвимостей обычно приобретались на черном рынке, и хакеры от них отказывались, когда они становились слишком распространены.

Хуань пишет в своем исследовании, что авторы Qbot, просканировав 500 тыс. компьютеров, смогли получить данные примерно о 800 тыс. банковских учетных записях.

По его данным, организованные преступные группировки готовы покупать данные о банковских учетках, исходя из цены $25 тыс. за штуку, и, таким образом, даже если создатели Qbot «продадут на черном рынке долю процента учетных записей, они получат многомиллионную прибыль от своей операции».

Хотя внутренние средства безопасности создателей Qbot были хороши, совершенными их назвать нельзя, говорит Хуань и приводит забавную подробность: когда он нашел веб-адрес панели управления ботнетом, обнаружилось, что доступ к ней не требует пароля.

Народные онлайн-дружины

Общественная палата предложила организовать народные онлайн-дружины, которые будут в интернете отслеживать и выявлять сайты и аккаунты киберпреступников, сообщил РИА Новости замсекретаря ОП Владислав Гриб[57].

«Специалистов из числа правоохранительных органов, которые борются с интернет-преступниками не так много. Силы у правоохранителей в мониторинге интернет-преступников очень незначительны, а преступников в интернете у нас сейчас не меньше, чем в реальной жизни. Много активных пользователей сети интернет из числа членов ОП готовы организовать так называемой онлай-мониторинг киберпространства», — сказал Гриб.

Он сообщил, что Общественная палата хотела бы создать некие народные дружины в интернете и привлечь туда несколько тысяч человек, чтобы они выявляли правонарушения в сети и сообщали об этом в компетентные органы и Роскомсвязьнадзор.

Совфед предлагает поощрять "белых" хакеров

Концепция Стратегии кибербезопасности РФ предусматривает разработку механизмов поощрения граждан, оказывающих помощь в части поиска уязвимостей защищаемых информационных ресурсов и формирования предложений по их устранению, следует из проекта концепции[58].

Проект концепции содержит несколько разделов, посвященных: общесистемным мерам по обеспечению кибербезопасности; совершенствованию нормативно-правовой базы, научным исследованиям; созданию условий для разработки, производства и применения средств обеспечения кибербезопасности; совершенствованию кадрового обеспечения и организационных мер; организации внутреннего и международного взаимодействия по обеспечению кибербезопасности; формированию и развитию культуры безопасного поведения в киберпространстве.

Среди предлагаемых мер, в частности, развитие государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Кроме того, предлагается ужесточение административной и уголовной ответственности за преступления, совершенные в киберпространстве.

В качестве одной из мер предполагается разработка системных мер по внедрению и применению отечественных программных и аппаратных средств, в том числе средств обеспечения кибербезопасности, вместо аналогов иностранного производства в государственных информационных системах, информационно-телекоммуникационных сетях, информационных системах критически важных объектов.

Recorded Future проанализировала российских проправительственных хакеров

Международный информационно-аналитический проект Recorded Future, базирующийся в США и Швеции, опубликовал в ноябре 2014 года обзор деятельности российских «проправительственных» хакерских группировок. Речь идет о вредоносном ПО групп Uroburous, Energetic Bear и APT28, фигурирующих под разными названиями в истории киберпреступлений последних лет[59].

Сопоставив информацию об активности, используемых инструментах и способах действий, исследователи пришли к выводу, что три группировки создавались с разными целями — политический и экономический шпионаж (Uroburous), предварительное позиционирование России для ведения будущей кибервойны (Energetic Bear), а также мониторинг и регулирование геополитической ситуации (APT28). Эти цели, по мнению авторов материала, могут привести к главным действующим лицам, стоящим за организацией атак.

Деятельность описанных групп является хорошо спланированной на стратегическом, тактическом и операционном уровнях, о чем свидетельствуют постоянно меняющиеся, но непересекающиеся цели, полагают исследователи Recorded Future. Организованная и аккуратная работа российских кибергрупп, отмечают они, делает затруднительными их идентификацию и анализ по сравнению, например, с небрежностью китайских хакеров. Все это возводит Россию в ранг серьезной киберугрозы в мировом масштабе.

2013

Данные Symantec

По результатам отчета Norton Report 2013:

  • 85% россиян в 2013 году сталкивались с киберпреступлениями
  • 59% пользователей смартфонов сталкивались с мобильными киберпреступлениями в последний год
  • 56% пользователей мобильных устройств в России не знают о существовании решений для безопасности для них
  • 56% работающих пользователей старше 18 лет используют свое личное мобильное устройство и для развлечения, и для работы
  • 60% пользователей старше 18 лет используют публичные или незащищенные сети Wi-Fi

Оценка ущерба от кибератак

Каждая кибератака на сети крупных российских компаний наносит финансовый ущерб организации в среднем на сумму в $695 тыс. Компании среднего и малого бизнеса теряют около $14 тыс. за один киберинцидент. Такие выводы сделаны в совместном исследовании компании B2B International и «Лаборатории Касперского»[60].

Ущерб, наносимый компаниям, устанавливался исследователями B2B International путем опроса ИТ-специалистов из 24 стран мира, включая Россию. Всего при подготовке отчета было опрошено 2895 респондентов.

По мнению составителей исследования, к финансовым потерям ведут три главных следствия кибератак: вынужденный простой компании, упущенные возможности для ее бизнеса (в том числе потери контрактов) и дополнительные расходы на услуги специалистов. Исходя из затрат этих факторов рассчитывалась средняя сумма ущерба.

Самым дорогостоящим фактором по данным отчета признан вынужденный простой компаний. Для крупных предприятий он обходился в суммы до $791 тыс., компаниям СМБ-сегмента - в среднем в $13 тыс.

Ущерб от упущенных возможностей (в частности, не заключенных компаниями контрактов) достигал $375 тыс. для крупных компаний и $16 тыс. для малых и средних предприятий.

Наконец, привлечение сторонних специалистов для ликвидации последствий кибератак стоило соответственно в $6,6 тыс. для сегмента СМБ и в $26 тыс. для крупных предприятий. Эти данные, собранные в российских компаниях отличаются от глобальных данных из того же отчета: в среднем по миру дополнительные расходы СМБ-компаний после кибератак составляли в среднем $13 тыс., а крупных предприятий - $109 тыс.

Deutsche Telekom: Россия - главный источник кибератак в мире

Немецкая ИТ-компания Deutsche Telekom запустила весной 2013 года сайт, отображающий кибератаки по всему миру в режиме реального времени. Согласно карте портала, Россия занимает первое место в мире по количеству исходящих интернет-угроз.

Портал http://www.sicherheitstacho.eu показывает кибератаки, зарегистрированные «ловушками для хакеров» («honeypot»). Из России в феврале 2013 года было зарегистрировано почти 2,5 млн атак, что в 2,5 раза больше, чем из Тайвани, занявшей второе место. Далее следует Германия с более 900 тысячами угроз. Для мониторинга Deutsche Telekom задействовала более 90 сенсоров по всему миру. Сайт показывает, что ежедневно появляется около 200 000 новых версий вирусов, троянов и червей, угрожающих безопасности компьютеров и их владельцев.
«Конечно, не все 2,5 миллиона атак – дело рук российских хакеров, часть интернет-преступников просто используют российские сервера. Группа Deutsche Telekom разработала этот инструмент мониторинга, так как компания работает с личными данными заказчиков и уделяет особое внимание защите информации. Представленная на сайте статистика может быть использована любой компанией для оценки ситуации, в том числе в динамике, и создания комплексной системы защиты от кибер-угроз. Любой пользователь с публичным IP может установить бесплатное приложение и разместить у себя на компьютере ловушку (honeyspot), все необходимы ссылки есть на портале. В обмен на это ему гарантируется доступ к IP адресам атакующих и атакуемых машин», – комментирует генеральный директор T-Systems CIS Тоскин Алексей.

На сайте Sicherheitstacho представлена схематическая карта мира, показывающая источники кибератак. Здесь же указывается, на какие цели направлены атаки, отображается статистика атак по их формам и странам. Впрочем, злоумышленники не обязательно физически находятся в тех же странах, что и их серверы. По словам разработчиков, новая платформа Sicherheitstacho позволит пресекать киберпреступность в зародыше.

2012

Данные Symantec

Компания NortonLifeLock (ранее Symantec) представила в сентябре 2012 года результаты своего ежегодного исследования по киберпреступлениям, совершенным в отношении пользователей, Norton Cybercrime Report 2012. Общий ущерб пользователей от киберпреступлений в мире специалисты Norton оценили в 110 млрд долл. США. В России суммарный ущерб составил около 2 млрд. долл., а жертвами киберпреступников стали 31,4 млн человек.

Несмотря на то, что большинство пользователей предпринимают базовые действия по защите персональных данных и информации, почти 40% из них пренебрегают простыми методами предосторожности, в частности, создают простые пароли или меняют их нерегулярно. Еще одной проблемой является то, что многие пользователи не знают о том, как изменились с годами некоторые формы киберпреступности. Например, 40% пользователей не знают, что вредоносные программы могут действовать незаметно и трудно определить, что компьютер поражен, а более половины (55%) не уверены, заражен ли их компьютер вирусом.

NCC Group: США лидируют по числу хакерских атак, Россия на 3-м месте

Исследование, опубликованное в начале 2012 года британской компанией NCC Group, показало, что США лидирует среди остальных стран по числу исходящих хакерских атак. Результаты этого исследования основываются на данных мониторинга логов попыток кибер-атак по всему миру, предоставленных DShield - сообществом в области информационной безопасности, базирующимся в Штатах. Страна-источник попытки атаки определялась по IP-адресу.

По данным исследования, США генерирует 22,3% всех попыток атаковать компьютеры. За ней следует Китай – 16%. По оценкам NCC Group, совокупно эти страны своими хакерскими действиями ежегодно наносят ущерб мировой экономике в размере свыше $43 млрд.

С очень большим отрывом от них Россия занимает третье место по числу попыток атаковать компьютеры – 3,6%, говорится в отчете британских аналитиков. Годовой ущерб от действий ее кибер-злоумышленников оценивается примерно в $4 млрд. Ненамного от России отстает Бразилия с 3,5%. На западноевропейские страны – Нидерландах, Францию, Италию, Данию, Германию в среднем приходится от 2,5% до 3,2% всех кибер-атак в мире.

Сами же США регулярно указывают на Россию и Китай как на главные источники угроз кибер-безопасности для своей страны. Так, недавно, глава национальной разведки США Джеймс Р. Клэппер (James R. Clapper), выступая на слушаниях комитета по разведке палаты представителей конгресса США, выразил серьезную озабоченность ростом числа кибер-атак со стороны российских хакеров на американские компьютерные сети.

Файл:Сша_рассадник.jpg
«Мы особенно обеспокоены тем, что некоторые организации в Китае и России осуществляют вторжения в американские компьютерные сети и крадут информацию. И усиливающаяся роль этих игроков в киберпространстве является прекрасным примером легкого доступа подобных лиц к потенциально разрушительным технологиям и производственным секретам», - цитировали его западные СМИ. О «российско-китайской» кибер-угрозе он же ранее неоднократно упоминал в своих официальных докладах.

В последнее время Россию часто обвиняют в различных противоправных кибер-действиях, при этом нередки случаи, когда различные взломы списывают на российских хакеров без достаточных на то оснований. Так, в конце 2011 г. Россию обвинили в атаке на инфраструктуру США: местные СМИ распространили сообщение о том, что российские хакеры получили доступ к компьютеру и нарушили работу водонапорной станции в штате Иллинойс.

Как впоследствии показало официальное расследование по этому поводу, в ИТ-системе станции действительно был зарегистрирован вход с российского IP-адреса, однако его осуществил сотрудник самой же станции во время пребывания в России, который позднее сам и признался в этом, а работа станции и вовсе нарушена не была.

В январе 2012 года американские СМИ распространили сообщение о том, что компьютерный вирус в ИТ-системе одного из колледжей в Сан-Франциско на протяжении нескольких лет отправлял данные ее пользователей в Россию, Китай и ряд других стран, несмотря на то, что этот факт еще не был подтвержден местными следователями.

Кибер-полиция РФ

В феврале 2012 года Президент России Дмитрий Медведев предложил создать новую структуру в системе министерства внутренних дел по борьбе с преступлениями в Интернете. На коллегии в МВД Медведев заявил, что «необходимо думать о создании таких подразделений, которые принципиально новые и ориентированы на выявление и раскрытие очень сложных в технологическом плане преступлений». По словам Медведева, полиция должна уделять больше внимания преступности в информационном пространстве, а полицейские начальники — уметь пользоваться Интернетом. Он подчеркнул, что в Сети можно встретить не только финансовых аферистов, но и торговцев наркотиками, экстремистов, другие виды преступности, передает «Интерфакс».

В российских Вооруженных силах создается новый род войск для борьбы с киберугрозами. Эту информацию подтвердил в августе 2013 года в эфире радио «Эхо Москвы» глава российского Фонда перспективных исследований Андрей Григорьев. По его словам, сейчас идет работа над концепцией самой программы, которую будет развивать военное ведомство. Российский Фонд перспективных исследований был создан как аналог Агентства перспективных исследований США. Он занимается разработками в интересах обороны страны, уточняется в сообщении радиостанции.

2011: Отчет Symantec об интернет-угрозах

Согласно ежегодному отчету корпорации Symantec об интернет-угрозах (Internet Security Threat Report, Volume 17) Россия заняла шестое место в мире по уровню вредоносной активности в интернете за 2011 год. При этом Россия находится на третьем месте в мире по количеству спам-зомби, а Москва занимает 11 место в мире по числу ботов (вредоносных программ, автоматически выполняющая действия вместо людей, зачастую без их согласия).

За 2011 год Россия совершила два существенных скачка в мировых рейтингах стран с наибольшим количеством спама и сетевых атак. В 2010 году страна занимала 6 строчку в рейтинге по количеству спама, а в 2011 году поднялась на 3 позицию и по-прежнему занимает 1 место среди стран региона EMEA, включающего страны Европы, Ближнего Востока и Африки.

За год Россия также поднялась с 8 на 5 строчку рейтинга по количеству сетевых атак. В 2011 году наметилась тенденция к планомерному росту количества атак вредоносным кодом, а также фишинг-сайтов. Кроме этого, прослеживается рост и по количеству активных ботов в сети – каждый сотый бот в мире имеет московскую прописку (11 место в мире). Следом за Москвой по количеству ботов идут такие города, как Санкт-Петербург, Тверь, Воронеж и Нижний Новгород.

Из общей тенденции к увеличению числа угроз выбиваются только веб-атаки. Тут Россия показала хороший результат и упала в рейтинге с 7 на 8 строку. Тем не менее, на фоне других, российский пользователь выглядят привлекательной мишенью для киберпреступников - в мировом рейтинге стран по вредоносной активности в 2011 году Россия поднялась с 10 на 6 место.

Кроме того, Россия занимает 9 место в мире по числу веб-атакам (по сравнению с 10 местом в прошлом году), сохранила 7 место в мире по числу веб-атак.

Image:Лидеры рейтинга стран-источников вредоносной активности в Интернете.jpg

Лидеры рейтинга стран-источников вредоносной активности в Интернете

Image:Лидеры рейтинга стран-источников вредоносной активности в Интернете таблица ботов.jpg

2010: За год хакеры в России заработали 2-2,5 млрд евро - ESET

Объем заработанных киберпреступниками денежных средств в 2010 году насчитывает в России около 2-2,5 миллиардов евро. Процентное соотношение инцидентов в области информационной безопасности, произошедших у физических и юридических лиц составило 50% на 50%. При этом количество финансовых средств, полученных злоумышленниками в результате злонамеренных атак на различные компании, значительно больше, чем при распространении вредоносного ПО среди домашних пользователей.

2010 год можно назвать годом целенаправленных атак. Для публичного доступа была открыта информация о двух подобных крупных инцидентах. Первая атака, реализованная в начале года и получившая кодовое название «Аврора», была направлена на целую группу всемирно известных компаний. Целью для направленной атаки может быть не только конкретная организация, но и IT-инфраструктура определенного типа. Именно такая методология была применена при другой атаке, черве Stuxnet, проникающем на промышленные предприятия.

Возросшее количество троянских программ, нацеленных на банковский сектор, в том числе на конкретные банковские системы, позволяет говорить о направленных атаках на определенные банки и системы дистанционного банковского обслуживания (ДБО). Кроме того, аналитики ESET прогнозируют, что интерес киберпреступников при распространении банковских троянов в 2011 году еще в большей степени сместится на популярные системы интернет-банкинга. Это связано с огромным количеством извлекаемой прибыли, поскольку один успешный инцидент может принести злоумышленникам до нескольких миллионов рублей.

Реализовать целенаправленные атаки во многом помогают ранее не известные уязвимости в программном обеспечении (0-days или уязвимости «нулевого дня»). В прошедшем году было зафиксировано большое количество таких «дыр», как в самых популярных браузерах, так и в не менее распространённых расширениях к ним. Бессменными лидерами среди обнаруженных и наиболее часто используемых уязвимостей стали продукты компании Adobe. Однако в начале осени первенство по количеству эксплуатируемых уязвимостей «нулевого» дня перехватила программная платформа Java. По статистическим данным технологии раннего обнаружения ThreatSense.Net, в России наиболее часто использовались следующие эксплойты и троянцы-загрузчики: Java/Exploit.CVE-2009-3867, JS/Exploit.CVE-2010-0806, Java/TrojanDownloader.OpenStream, Java/TrojanDownloader.Agent.

Что касается наиболее распространенного ПО в нашем регионе, то российскую десятку в 2010 году возглавили различные модификации червя Conficker с общим показателем в 10,76%. На втором месте семейство вредоносных программ, передающихся на сменных носителях - INF/Autorun (6,39%). Завершает тройку лидеров Win32/Spy.Ursnif.A (5,73%), который крадет персональную информацию и учетные записи с зараженного компьютера, а затем отправляет их на удаленный сервер. Кроме того, троянец может распространяться в составе другого вредоносного ПО.

Также относительно российского региона выросло количество инцидентов, связанных с заражением компьютеров семейством программ-вымогателей Win32/Hoax.ArchSMS (по классификации ESET), которое практически не покидало двадцатку самых распространенных угроз в России во втором полугодии 2010 года. Этот вид мошенничества подразумевает распространение популярного контента, например, флеш-плейеров или электронных книг, со специальной программой-установщиком, которая требует отправить SMS-сообщение в процессе инсталляции для ее продолжения. Не смотря на то, что злонамеренная программа Hoax.ArchSMS не попала в ТОП-10 рейтинга самых распространенных угроз, она доставила немало проблем российским пользователям и принесла немалый доход мошенникам в 2010 году. Данные предоставлены компанией ESET.

По оценкам аналитиков компании Group-IB за 2011 год «русские» хакеры заработали около 4,5 млрд долларов
. В 2011 г. ущерб от киберпреступлений в России, совершенных резидентами РФ, составил сумму около 2,3 млрд долларов, в то время как мировой ущерб от киберпреступлений превысил 12,3 млрд долларов. Киберпреступников на российском рынке практически перестали интересовать счета с суммой менее 500 тыс. долларов. Так, по данным компании Group-IB, самая крупная киберкража составила 26 млн долларов: эта сумма была украдена за 3 месяца. При этом средний возраст киберпреступника – 25 лет, средняя цена за 1000 зараженных компьютеров в настоящее время составляет 20 долларов, а одно расследование в сфере киберпреступления в России длится минимум 2-3 года.

Ключевые тенденции 2011 года:

  • Удвоение финансовых показателей российского рынка. Финансовые показатели мирового рынка компьютерной преступности в 2011 году составили 12,5 млрд долларов. Из них на долю «русских» хакеров приходится до трети всех доходов — около 4,5 млрд долларов. Эта сумма включает в себя и доходы российского сегмента — 2,3 млрд долларов. Таким образом, можно говорить о практически двукратном увеличении прошлогодних показателей рынка киберпреступности в России.

  • Централизация рынка киберпреступности. За счет консолидации участников и проникновения традиционных преступных группировок рынок киберпреступности России переживает период динамического перехода от хаотического состояния к централизованному.

  • Интернет-мошенничество и спам составляют более половины рынка. В 2011 году российские интернет-мошенники сумели похитить около $942 млн; за ними следуют спамеры, которые заработали $830 млн; внутренний рынок Cybercrime to Cybercrime составил $230 млн; а DDoS — $130 млн.

2000-2010: Самые громкие сообщения о киберконфликтах с участием России

Российская ассоциация электронных коммуникаций (РАЭК) совместно с британским исследовательским агентством Powerscourt выпустили в середине 2011 года рейтинг самых громких материалов о России по теме киберпреступности и кибервойны. Рейтинг составлен по материалам масштабного контент-исследования западной прессы за период с января 2000 года по март 2010 года.

«Задача рейтинга — показать главные точки напряжения в отношениях России с Западом в высокотехнологичной сфере и рассказать о главных антигероях, которые за последние 10 лет причинили ущерб имиджу России и снизили инвестиционную привлекательность нашей страны в целом, — рассказывает Председатель Совета НП «РАЭК» Марк Твердынин. — Рейтинг, как и само исследование, показывает, что за последние годы образ нашей страны в сфере IT изменился в негативную сторону. Россию изображают, как родину опасных киберпреступников и одного из главных врагов США и Европы, способного вести противостояние на виртуальном поле битвы. В условиях, когда российская экономика делает ставку на инновации в технологической сфере, эта тенденция является угрозой для развития нашей страны. Особенно, когда в нашей стране появляются такие проекты, как RBN или Glavmed».

Рейтинг составлялся на основе полноценного исследования крупнейших европейских и американских газет и журналов по принципу анализа упоминаний России в связи с ключевыми словами: хакеры (хакинг), киберпреступления, вредоносное программное обеспечение (вирусы, сетевые черви), ботнеты (сети зараженных компьютеров), фишинг (мошенничество с целью получения личных сведений), кибербезопасность и кибервойна.

В рейтинг вошли статьи о настоящих киберпреступниках, а также материалы, ставшие результатом активных пропагандистских кампаний, развернутых в западных СМИ. Например, кампания, связанная с недавними событиями в Грузии. Темы в рейтинге распределены по абсолютному количеству оригинальных публикаций. Общее число перепечаток на несколько порядков превышает число оригинальных материалов.

Самые громкие сообщения о киберконфликтах с участием России 2000-2010

Место Описание события Время Количество публикаций

  1. Кибератаки на Грузию и грузинских блоггеров в LiveJournal, Август 2008, 65 публикаций
  2. Годовщина войны в Грузии, кибератаки на грузинских блоггеров в Twitter и Facebook, Август 2009, 60 публикаций
  3. Крупнейшая в мире фармацевтическая сеть спаммеров Glavmed рекламирует и продает с помощью спама поддельные средства для защиты от свиного гриппа, Ноябрь 2009, 40 публикаций
  4. Российских хакеров обвиняют во взломе почтовых ящиков ученых-климатологов, обсуждающих отсутствие проблемы глобального потепления, Декабрь 2007, 38 публикаций
  5. Сообщения о деятельности и последующем закрытии Russian Business Network, Ноябрь 2007, 35 публикаций
  6. Кибератаки на eBay и Yahoo!, которые привели к затруднениям в деятельности этих интернет-компаний и падению курса их акций, Январь 2000, 27 публикаций
  7. Задержание сотрудниками ФБР хакеров Василия Горшкова и Алексея Иванова, которые взламывали сети безопасности американских компаний и предлагали защиту от собственного взлома, Октябрь 2000, 21 публикаций
  8. Кампания в защиту программиста компании «Элкомсофт» Дмитрия Склярова, взломавшего защиту файлов популярного формата PDF и арестованного по обвинению компании Adobe на выставке в Лас-Вегасе, США, Июль 2000, 19 публикаций
  9. Вирусная эпидемия сетевого червя MyDoom, ставшего самой быстрораспространяющейся вредоносной программой в мире, Февраль 2004, 17 публикаций
  10. Сообщения об угрозе глобальной эпидемии вируса Conficker, к создателям которого причисляют неизвестных российских программистов, Февраль 2010, 15 публикаций



Изображение России в западной прессе в связи с киберконфликтами последнего десятилетия


"Изображение России в западной прессе в связи с киберконфликтами последнего десятилетия", Исследование Powerscourt, London специально для НП «РАЭК»

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. «Сбер» оценил ущерб экономике России от кибератак в 1 трлн рублей
  2. Вирус на плюс: россиян атакует троян с имитацией уведомлений от банков
  3. Сотрудники ФСБ Урала выявили группу, вымогавшую у жителя Тюмени 900 тыс. рублей
  4. Хроники DFIR: как атаковали APT-группировки в 1 половина 2024 года
  5. Злоумышленники атакуют российские госучреждения через «Живой Журнал»
  6. Миллионеры из трущоб
  7. How an Indian startup hacked the world
  8. «Лаборатория Касперского» обнаружила атаки на российские учреждения с целью кражи данных
  9. МВД расширяет перечень мероприятий для документирования преступлений с использованием информтехнологий
  10. Мошенники предлагают зарабатывать на расшифровке аудиозаписей
  11. Имущество, полученное в результате киберпреступлений, будет конфисковываться
  12. Цифровые жулики
  13. Хакеры выходят в эфир
  14. Рабочая встреча с Заместителем Председателя Правительства Дмитрием Чернышенко
  15. На работу как на фишинг
  16. В компании зашли с мобильного
  17. С взломами наперевес
  18. В 99% регионов созданы штабы по кибербезопасности
  19. Российских хакеров подозревают в шпионаже за Австрией и Эстонией
  20. Китайские хакеры без объяснения причин обрушились на российские госструктуры, оборонку и госкомпании
  21. China's computers hacked by US to attack Russia, Ukraine, Belarus - report
  22. Хакеры взялись за чиновников. Эксперты обнаружили кибератаку на сотрудников госведомств
  23. Посла США вызвали в МИД РФ из-за вмешательства в российские выборы
  24. Китайские правительственные хакеры впервые атаковали российские компании
  25. ФСБ России договорилась с властями США о совместном выявлении киберпреступников
  26. Собянин отметил 40-процентный рост киберпреступности в Москве
  27. НИИ шагу назад. Российскую науку атакуют превосходящие силы иностранных хакеров
  28. «Ростелеком-Солар» назвал ключевые уязвимости в ИТ-инфраструктурах госорганизаций и органов власти
  29. Перечислены регионы РФ с наибольшей киберпреступностью
  30. Российские полицейские создали онлайн-магазин по торговле наркотиками
  31. ФСБ России совместно со Следственным Департаментом МВД России проведена масштабная спецоперация
  32. К пандемии подцепились вирусы
  33. Кто правит баллом: у тысяч россиян украдены бонусы со скидочных карт
  34. Trend Micro Admits it Was Hacked, Symantec Denies Claims of `Fxmsp` Breach
  35. Хакеры встроились в систему
  36. Количество кибератак в России удвоилось
  37. Герман Греф предложил создать министерство по чрезвычайным ситуациям в цифровой сфере
  38. В России появится автоматизированная система обмена информацией о киберугрозах
  39. Верховный суд РФ пояснил тонкости квалификации кибермошенничества
  40. Большинство российских компаний не устойчивы к кибератакам, заявили в PwC
  41. В России хотят ввести киберстраховку
  42. Управлением «К» МВД России пресечена деятельность организованной группы, подозреваемой в хищении денежных средств с банковских счетов при помощи троянской программы
  43. Падение «Крона»
  44. Минобороны Дании: российские хакеры два года взламывали почту наших сотрудников
  45. Киберпреступники маскируются под «русских» хакеров
  46. Oops, they did it again: APT Targets Russia and Belarus with ZeroT and PlugX
  47. Германия: у русских хакеров длинные руки
  48. Russland soll auch für Cyber-Angriff auf OSZE verantwortlich sein
  49. Может ли Кремль повлиять на выборы в Германии?
  50. Киберпреступность в мире
  51. CNews: В России за кибератаки будут сажать на 10 лет
  52. Суд в США признал сына депутата Селезнева виновным в кибермошенничестве
  53. CNews: Эксперты по информационной безопасности: «Русские хакеры» это миф
  54. Кибермошенники тратят 40% похищенных средств на исследования
  55. ФСБ будет руководить безопасностью в Рунете
  56. Русские хакеры провели масштабную операцию по взлому банковских счетов в США и Европе
  57. Общественная палата предложила создать кибердружины
  58. Совфед предлагает поощрять "белых" хакеров
  59. Recorded Future проанализировала российских проправительственных хакеров
  60. За год 95% российских компаний подверглись кибератакам