Киберпреступление как услуга. Влияние CaaS на ландшафт угроз в области ИКТ

В последние 20‑25 лет развитие киберпреступности происходит сразу по нескольким направлениям. Первое из них — ​это изменение мотивации киберпреступников. Если на рубеже XX‑XXI веков основным движителем хакеров было желание продемонстрировать свои умения или прикоснуться к ­каким-либо знаниям, недоступным для большинства людей (в качестве примера можно привести шотландского хакера Гэри Маккиннона (Gary McKinnon), совершившего взлом серверов Пентагона и NASA с целью получения… доказательств сотрудничества правительства США с инопланетянами), то начиная с 2005 года основным мотивом киберпреступников стало извлечение материальной выгоды.

Изменение мотивации привело к завершению «эпохи бескорыстных хакеров» и положило начало эпохе организованной преступности в ИТ-сфере. Представители «традиционного» криминального бизнеса быстро оценили все прелести информационных технологий и ринулись покорять новую для себя область, вкладывая значительные деньги в развитие киберпреступности.

Успех подобной интеграции традиционной и «цифровой» преступности был связан еще и с тем, что она происходила на фоне стремительной цифровизации нашего общества, развития электронной коммерции и безналичных платежей. Все это привело к размытию границы между двумя категориями преступлений: преступлений в сфере информационных и телекоммуникационных технологий, то есть составов преступлений, немыслимых в отрыве от ИКТ; а также преступлений, совершаемых с использованием информационных и телекоммуникационных технологий, — ​традиционных видов преступной деятельности, в рамках которых ИКТ выступают в качестве прикладного инструмента.

Такие традиционные виды преступлений, как кражи, мошенничества или вымогательства, стали совершаться с использованием вредоносных компьютерных программ или благодаря неправомерному доступу к компьютерной информации жертвы. При этом стоит отметить широкое использование социальной инженерии, завязанное на электронные коммуникации.

Второе направление развития — ​это переход от преступников-­одиночек к распределенным и зачастую трансграничным преступным сообществам. И это логично, ведь каждое преступление в ИТ-сфере, сопряженное с хищением денежных средств, — ​сложный и многоэтапный процесс, требующий привлечения значительного количества специалистов, обладающих самой разной квалификацией: начиная с тех, кто будет непосредственно проводить атаку или создавать и поддерживать вредоносное программное обеспечение, и заканчивая теми, кто обеспечит вывод и обналичивание похищенных денег.

Так мы получили целую плеяду криминальных сообществ, пик деятельности которых пришелся на 2010‑е годы. Однако эволюция киберкриминала не стоит на месте, и дальнейшим витком развития киберпреступности стало широкое распространение концепции CaaS — ​Cybercrime as a Service, или «киберпреступление как услуга».

Суть данной концепции предельно проста. Злоумышленники создают готовые инструменты и сопутствующую инфраструктуру, которые позволяют даже неподготовленным людям с легкостью, буквально в два клика, совершать технически сложные преступления, после чего предоставляют эти инструменты всем желающим на условии аренды, подписки или комиссии от суммы похищенных с их помощью денежных средств.

Сама по себе концепция CaaS зародилась примерно в середине 2010‑х годов и была обкатана на вредоносных программах, предназначенных для хищения денег с банковских счетов физических лиц. Любой желающий мог арендовать готовую бот-сеть, состоящую из тысяч зараженных компьютеров или смартфонов, и использовать все ее возможности для собственного обогащения. В состав подписки входил доступ в командный центр бот-сети, обладающий простым и понятным веб-интерфейсом, сервис вывода похищенных денег, а также, в ряде случаев, круглосуточная техническая поддержка. Таким образом, организаторам преступного бизнеса удалось в значительной степени вывести себя из-под вероятного попадания под уголовное преследование за непосредственное участие в совершении киберпреступлений, т. к. они уже напрямую не занимались хищением денег, сосредоточившись на поддержании функционирования сервиса, а арендаторам продукта CaaS больше не нужно было вникать в технические детали работы схемы и совершать свои преступления «в два клика».

Концепция CaaS привела к революции в киберпреступном мире, значительно снизив планку требований к квалификации киберпреступника, в результате которой в эту отрасль за легкими деньгами ринулось огромное количество неподготовленных людей.

Очень скоро стало понятно, что даже далекий от ИТ-человек при наличии у него автоматизированных инструментов с интуитивно понятным интерфейсом может совершать технически сложные преступления. Отличным примером этого является целая череда достаточно мощных DDoS-атак, совершенных в прошлом десятилетии школьниками, имевшими в своем распоряжении лишь вредоносную программу под названием Low Orbit Ion Cannon. Для детей все выглядело как игра: предварительно обсудив план в соцсетях, они вводили в соответствующее поле программы адрес атакуемого ресурса, в установленное время нажимали на кнопку, и ресурс «падал», не выдерживая нагрузки.

Концепция CaaS уверенно вошла в третье десятилетие XXI века. Помимо вредоносных программ стало появляться много примеров «бизнеса под ключ», реализуемых в рамках CaaS. Самым ярким примером последнего года, пожалуй, является схема, связанная с мошенничествами на электронных торговых площадках, именуемая своими создателями и адептами «Охотой на мамонта».

Сама по себе суть «Охоты на мамонта» предельно проста и заключается в обмане пользователей сайтов бесплатных объявлений с использованием методов социальной инженерии. Жертву вынуждают ввести данные своей банковской карты на фишинговом сайте, закамуфлированном либо под саму торговую площадку, либо под ресурс одной из популярных служб доставки. Данная криминальная схема буквально расцвела на фоне пандемии и самоизоляции.

При этом на протяжении всего 2020 года схема непрерывно эволюционировала и совершенствовалась: существенно расширилась ее география; выросло количество охватываемых площадок: от сайтов типа «Авито» и «Юлы» злоумышленники перешли к сайтам, посвященным продаже автомобилей, а также аренде недвижимости; значительно увеличилась автоматизация процесса создания фишинговых страниц; улучшились методы сокрытия ресурсов от систем противодействия фишингу. В течение 2020 года в сети ежемесячно появлялось примерно 700‑800 новых фишинговых сайтов, созданных в рамках «Охоты на мамонта».

В соответствии с концепцией CaaS всех участников можно поделить на два категории:

• Организаторы — ​люди, занимающиеся организационно-­техническими аспектами работы и не вовлеченные напрямую в процесс хищения денег. Однако именно они являются основными выгодоприобретателями, так как алгоритмы «Охоты на мамонта» подразумевают автоматическое списание комиссии в пользу организаторов с каждой похищенной при помощи этой схемы суммы денег.
• Вторая категория, «воркеры» — ​участники, непосредственно осуществляющие мошеннические действия на торговых площадках и иных охватываемых схемой сайтах.

Понятно, что финансовое благополучие организаторов напрямую зависит от количества и успешности работы «воркеров», поэтому они активно рекламируют данную схему на различных сетевых площадках, позиционируя ее в качестве средства легкого и «безопасного» заработка.

Схема имеет предельно низкий порог вхождения. Желающему опробовать свои силы в качестве сетевого мошенника не требуется буквально ничего. Достаточно вступить в соответствующую группу в Telegram или отправить сообщение боту. В распоряжении участников-­воркеров имеются обучающие материалы, шаблоны общения с жертвами, инструменты, позволяющие в два клика создать фишинговую страницу под конкретную жертву и обеспечить быстрый и безопасный вывод денежных средств.

Все эти факторы привели к новому и крайне опасному явлению — ​массовому вовлечению в этот преступный бизнес несовершеннолетних.

Анализ тематических Telegram-­каналов показывает, что до 80% участников сообществ, посвященных «Охоте на мамонта», составляют несовершеннолетние. При этом масштабы их вовлечения в преступный бизнес поражают. Некоторые сообщества насчитывают десятки тысяч участников. Большая часть состоящих в такого рода сообществах людей пытаются заниматься самообманом, объясняя прежде всего самим себе, что подобный «бизнес» якобы не является ­чем-то противозаконным, а они сами должны воспринимать самые настоящие киберпреступления в качестве некой игры, которая позволяет не только «заработать» денег, но и почувствовать себя умнее жертвы, которая может быть намного старше их. При этом, вполне естественно, ни у кого из них якобы не возникает мысли о том, что они становятся обычными соучастниками классического многоэпизодного преступления, совершаемого группой лиц по предварительному сговору.

Несмотря на то что в рамках каждого эпизода сумма хищения, как правило, невелика, их массовость позволяет организаторам криминальных схем получать стабильно высокий доход.

Подводя итог, хочется обозначить проблемы, с которыми мы уже столкнулись и с которыми нам еще предстоит сталкиваться.

Концепция CaaS позволяет формировать стойкие и масштабные распределенные преступные сообщества, объединяющие единой целью тысячи людей, в том числе находящихся на территории разных стран.

Несмотря на то что прибыльность схемы зависит от количества и эффективности работы рядовых низовых участников («воркеров»), сами по себе «воркеры» по сути являются «пушечным мясом»: в случае задержания правоохранительными органами «воркеры» не смогут выдать никого из организаторов преступного бизнеса или нарушить стабильность функционирования криминальной схемы. А на место одних мошенников сразу же придут другие желающие подзаработать.

Второй проблемой является сложность контроля за вовлечением людей в подобного рода криминальные структуры. Все общение между участниками в значительной степени обезличено, они используют методы сетевой конспирации и активно обучают им друг друга.

И третья проблема заключается в том, что при всей простоте совершения подобных преступлений их расследование является крайне сложным и длительным процессом, требующим проведения компьютерных исследований и экспертиз, а также привлечения высококвалифицированных специалистов.

На сегодняшний день можно уверенно сказать, что CaaS является настоящим и будущим компьютерной преступности — ​концепция уже показала свою состоятельность и продолжает активно развиваться. И нам, в свою очередь, необходимо сосредоточиться на выработке путей решения данной проблемы и недопущения усугубления ситуации в будущем.