WWW.LIBRUS.DOBROTA.BIZ
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - собрание публикаций
 

«Виннора де Сомбре и Дэн Бирнс 10 Октября, 2018 Ограничительная пометка: оманда Insikt Group, принадлежащая к проекту к Recorded Future, проанализировала рекламные объявления, сообщения и ...»

Воры и гики: российские и китайские

хакинг-сообщества

Виннора де Сомбре и Дэн Бирнс 10 Октября, 2018

Ограничительная пометка: оманда Insikt Group, принадлежащая к проекту

к

Recorded Future, проанализировала рекламные объявления, сообщения и

беседы на хакинговых форумах, чтобы исследовать возможности, культуру и

принципы организации китайских и российских хакинг-сообществ. В

исследовании использовались продукты Recorded Future, а также фиктивные

учетки «россиян» и «китайцев», создаваемые Recorded Future для общения с участниками этих форумов .

Этот отчёт будет представлять большой интерес для организаций, желающих понять, что лежит в основе действий преступников, как мониторить специфичные для индустрии или конкретной компании угрозы безопасности, а также тех, кто исследует преступные сообщества России и Китая .

Резюме Большинство исследователей феномена киберпреступности фокусируются на товарах и услугах, продаваемых на рынках дарквеба. При этом обычно не уделяют внимания различных типам сообществ, которые обитают на этих форумах. А если и уделяют, то только российским группам хакеров. Из-за этого у читателей возникает впечатление, что «сообщество хакеров» — это аморфный коллектив людей, никак не разделенный по культурному и национальному признаку. В реальности картина совсем иная — хакеры каждой страны уникальны, с их собственными нормами поведения, форумами, мотивами и предпочитаемыми методами оплаты. Recorded Future проанализировали активность на теневых рынках и форумах, предназначенных для русско- и китайскоговорящей аудитории за прошедший год, и обнаружили множество различий как в контенте форумов, так и в принципах их организации и правилах поведения на них .

Ключевые умозаключения:

И российские, и китайские форумы содержат большое количество контента, имеющего международный характер. Следует заметить, что распространение утечек данных российских компаний — это довольно редкая картина на российских форумах. Однако вредоносное ПО и сливы данных, имеющих отношение к китайским компаниям часто можно найти только на китайских форумах .

Китайскоговорящие пользователи активны на форумах на китайском, английском и русском языках, в то время как мало кто из русско- и англоговорящих пользователей используют китайские форумы .

Несмотря на то что имеющиеся китайские посты на некитайских форумах предназначены для китайских покупателей, Recorded Future считает маловероятным, что эти покупатели будут распространять специфичные для китайских форумов услуги, информацию и вредоносное ПО среди международной аудитории .

Российские форумы, вероятней всего, продолжат предлагать контент для широкой аудитории, чтобы получать максимально возможную прибыль .

Российские форумы более нацелены на бизнес-транзакции, в то время как китайские форумы больше фокусируются на создании китайского хакинг-сообщества. Оба сообщества продают товары и услуги соотечественникам, однако на китайских форумах эта тенденция заметна гораздо более отчётливо .

Хактивизм китайского происхождения, возникший в результате резонансных международных событий, не прекратился даже после роспуска групп хакеров-патриотов и, вероятно, будет продолжаться и в будущем .

Анализ Русские форумы — дух воровства Хотя и китайские, и российские группы хакеров происходят из похожих авторитарных государств, они имеют различную историю возникновения и действуют по-разному. Среди ценностей русскоговорящих киберпреступников доминируют деньги. Несмотря на то что технически сложная киберпреступность — это своего рода торговая марка стран бывшего советского Блока, сам феномен финансово мотивированного хакинга впервые появился в США .





В 2000 году появился Counterfeit Library, один из первых форумов кардеров и других мошенников, ориентированных на англоговорящее сообщество. В ответ русскоговорящие хакеры создали собственный аналог — «Одесский Саммит»

(Odessa Summit.). Этот ресурс объединял группу из двух десятков наиболее влиятельных украинских мошенников, которые позже основали русскоязычный «Альянс кардеров» (Carders Alliance), который также называли «Планетой кардеров» (CarderPlanet) .

На «Планете кардеров» использовалась строгая иерархия модераторов, которые тщательно проверяли всех поставщиков, прежде чем допускать их к продаже любых продуктов, связанных с кардингом: дампов баз данных, кодов CVV, номеров социального страхования, учеток eBay, кодеров магнитных полосок, скиммеров и др .

Приняв вызов «Планеты кардеров», англоязычный мир ответил созданием ShadowCrew, форума кардеров, предназначенного для западных мошенников .

При создании нового форума был использован передовой опыт русскоговорящих «коллег», в том числе и в плане структуры организации сообщества. Несколько лет спустя, в 2005-м году, был создан Carders Market, на котором Западные и Восточных хакеры могли совершать сделки друг с другом .

Домашняя страница Counterfeit Library, одного из первых форумов кардеров и других мошенников В то время, когда сообщества киберпреступников только начинали формироваться, большая часть действий, связанных с мошенничеством с кредитками, фишингом, спаммингом и другими подобными преступлениями, совершалась американцами. Это подтверждалось серией крупных задержаний и арестов в результате таких операций, как Shrouded Horizon, Firewall, а также ликвидации DarkMarket. Эти операции силовиков положили конец многим серьёзным сообществам кардеров .

В Восточной Европе технологии распространялись медленней, поэтому потребовалось больше времени, прежде чем персональные компьютеры с доступом в Интернет появились повсеместно на территории стран бывшего СССР. Низкая оплата труда приводила к тому, что граждане с хорошим техническим образованием и навыками начинали совершать преступления против организаций и частных лиц западных стран .

Это подтверждается бурным развитием мошеннической деятельности и хакерского софта, инициированного русскими в начале 2000-х. В качестве примеров можно привести форумы «веб-мастеров», такие как Crutop или Master-X. Эти ресурсы фокусировались на направлении трафика на бесчисленные нишевые порносайты .

Недобросовестные фармацевтические компании запускали различного рода партнерки (например GlavMed или Rx-Promotion), через которые они платили участникам за массовую рассылку спама с рекламой антидепрессантов и лекарств от эректильной дисфункции .

Пётр Левашов, aka Severa, известен тем, что распространял поддельный антивирусный софт, который был не только абсолютно бесполезным, но и превращал компьютер жертвы в часть печально известных ботнетов Waledac и Kelihos .

Евгений Богачев, разработал специальный троян ZeuS. Благодаря ему, команды JabberZeuS, Business Club и других преступных сообществ совокупно успели похитить более $200 миллионов у финансовых учреждений США и Великобритании, прежде чем органы правопорядка смогли положить этому конец .

Это лишь небольшая часть из числа известных успешных операций интернет-мошенников, при этом признаков того, что уровень киберпреступности идёт на убыль, практически не наблюдается .

Текущая ситуация На русскоговорящих форумах остаётся мало места для дружбы. Эти сайты — скорее бизнес-ресурсы, нежели площадки для общения. Уважение и доверие завоёвываются через проведение успешных финансовых операций. В результате постоянные и надёжные участники форумов выдвигаются в топ, в то время как менее активные пользователи имеют низкие рейтинги. В этом уголке даркнета не существует института наставничества, очень немногие форумчане готовы обучать кого бы то ни было, не имея чёткой финансовой мотивации .

Несмотря на явную ориентированность на деньги, успешные киберпреступники часто предлагают своим клиентам полезные инструменты и хороший уровень сервиса. Клиентоориентированные кардеры-оптовики, которые предлагают своевременный возврат средств за отклонённые карты, выгодно отличаются от других поставщиков и вознаграждаются высокой лояльностью клиентов .

Продавцы троянов и спам-рассылок устраивают праздничные скидки и распродажи, а абузоустойчивые хостеры переводят вознаграждение своим клиентам за привлечение рефералов. Эти участники киберподполья перенимают наиболее успешные маркетинговые приёмы крупнейших корпораций — тех, которые зачастую и становятся целями их атак .

kidala.info — это сайт, посвящённый хакерам-кидалам. На сайте их 15,839 и это число растёт Также известны случаи, когда российские хакеры участвовали в атаках по патриотическим мотивам, принимая на себя роль народных мстителей .

Жертвами таких атак становились Эстония, Грузия и другие государства, а также должностные и частные лица, замеченные в недружественном отношении к Российской Федерации .

Согласно исследованию Arbor Networks под названием «Политически мотивированные DDoS-атаки», прокремлёвская молодёжная группа «Наши»

предположительно имела отношение к DDoS-атаке против Эстонии после демонтажа памятника советским солдатам. На популярном блог-ресурсе LiveJournal был выложен bash-скрипт DDoS, который атаковал определённый список эстонский айпишников. Это позволяло менее технически подкованным гражданам тоже принять участие в борьбе .

Исследователи также обнаружили, что во время краткой русско-грузинской войны DDoS-атака ботнетов, имеющих отношение к группе BlackEnergy, была запущена одновременно с выдвижением российских танков. Некий источник утверждал: спаммер Пётр Левашов (Severa) рассылал спам с неподтверждённой информацией о том, что Кремль, Михаил Прохоров и хакеры из сообщества «Гражданский антитеррор» атаковали сайты чеченских боевиков и исламистов. К числу хакеров, поддерживаемых Кремлём, исследователи относят Карима Баратова и Алексея Белана. Существует ряд доказательств, подтверждающих, что они были завербованы ФСБ, чтобы возглавить взлом Yahoo в 2014 .

Китайские форумы — гик-атмосфера В отличие от хакинг-сообщества России, многие из ведущих хакеров Китая объединились на фоне патриотических настроений. В значительной степени это обусловлено национальной идеей, в соответствии с которой в Китае никогда не должно повториться «столетие унижений». Этим определением китайцы называют период XIX и начала XX века, когда великие зарубежные державы принуждали Китай подписывать неравноправные договоры, концессии и провоцировали опиумные войны .

Первые группы китайских хакеров появились в конце 1990-х на фоне антикитайских беспорядков в Индонезии. Китайские интернет-пользователи выражали возмущение из-за презрительного отношения к их согражданам и создавали специальные форумы, группы в соцсетях и электронные доски объявлений, на которых обсуждали дефейс-акции против правительственных сайтов Индонезии (дефейс — вид атаки, в результате которой содержимое главной страницы сайта подменяется, а доступ к остальным блокируется .

прим. пер.). Многие из этих ресурсов впоследствии породили первые китайские группы хакеров: the Green Army, China Eagle Union и Hongke (или Honker) Union .

Эти группы участвовали в первых атаках на США и других противников Китая, которые выражались в дефейсе правительственных сайтов, DDoS-атаках и краже персональных данных. Одна из наиболее известных атак этого времени была проведена Hongke Union против сайта Белого Дома. Помимо правительственного сайта, DDoS-атаке подверглись и многие сайты крупных американских корпораций. Сама акция позиционировалась в качестве возмездия за произошедшее месяцем ранее столкновение между американским самолетом-разведчиком и китайским истребителем над островом Хайнань .

Результат дефейса американского веб-сайта группой Hongke (Honker) Union group Хотя в итоге все эти три первых группы распались, закрылись или же просто исчезли, их кибер-патриотизм положил начало тесных отношений между государством Китая и хакерами. Отдельных участников хакинг-форумов даже нанимали на работу в правительственные структуры. В результате сейчас многие знаменитые хакеры из числа первопроходцев возглавляют крупные IT-компании, действующие на бурноразвивающемся китайском рынке кибербезопасности, и при этом сохраняют отличные бизнес-связи с китайским правительством. Многие китайские хакеры признавались в том, что оказывали свои услуги национальным разведывательным агентствам и военным организациям, таким как Министерство Госбезопасности и Народно-Освободительной Армии .

Патриотические хакинг-сайты до сих пор существуют, хотя многие из них и трансформировались в новостные форумы, посвящённые кибербезопасности .

Исторически китайский хактивизм имеет тенденцию заметно усиливаться, когда в Восточно-Азиатском регионе происходят геополитические события, вызывающие общественный резонанс. Группы китайских хактивистов снова вышли на сцену, чтобы атаковать сайты государств, вовлечённых в территориальные споры с Китаем в отношении островов Южного и Восточно-китайского морей .

В 2012 году на форуме, связанном с Hongke Union, были опубликованы названия около 300 японских организаций, потенциальных целей для дефейса .

Эта акция должна была поддержать действия Китая по провозглашению китайского суверенитета над островами Дяоюй, которые стали причиной активного дипломатического диспута между Китаем и Японией в то время .

Стоит отметить, что это произошло через 8 лет после того, как лидеры Hongke Union официально объявили о роспуске группы .

Новая группа хактивистов, 1937CN, скомпрометировала ряд вьетнамских сайтов в мае 2014 после серии китайских погромов, последовавших за размещением китайской буровой установки в территориальных водах Вьетнама. Год спустя группа атаковала филиппинские сайты, а в 2016-м взломала системы регистрации ряда вьетнамских аэропортов, опубликовав персональные данные более 400 тысяч пассажиров. Предположительно, это стало ответом китайских хакеров-патриотов на размещение Вьетнамом пусковых ракетных установок на спорных островах в Южно-Китайском море .

Трудно определить наверняка, насколько независимы действия этих хакеров .

Вредоносный код, использовавшийся в атаке группы 1937CN на вьетнамские аэропорты был также использован в более масштабной кампании кибершпионажа против Вьетнама, которую предположительно спонсировало китайское правительство. Однако группа также демонстрировала и элементы хактивизма .

К примеру, 1937CN имеет свой аккаунт на дефейс-портале Zone-H, аккаунты в различных соц. сетях, связанные с их сайтом и даже промовидео, залитое на популярный видеохостинг в июле 2017 года и изображающее нескольких человек в капюшонах и масках Гая Фокса. Стоит отметить, что китайское правительство закрыло сайт 1937CN в марте 2017, как оно уже поступало с другими группами хакеров, которые слишком активно вредили репутации Китая .

Текущая ситуация Китайские хакинг-форумы пронизаны духом сообщества. Термин «дух гика» ( ) используется для обозначения культуры форумов и относится к технически образованным людям, которые надеются создать более справедливое общество. На многих из таких форумов, прежде чем приобрести или продать вредоносное ПО, участник должен связаться с контрагентом через комментарий или личное сообщение. Ежедневная активность и общение с другими участниками могут быть условиями для сохранения членства на форуме или способами генерировать внутрифорумную валюту .

Подобные требования поддержания общения между участниками помогают сплотить сообщество; комментарии на форумах разнятся от сленговых отзывов, восхваляющих хакинговые инструменты, до искренней благодарности продавцу лично. Кроме того, китайские хакеры продвигают специальные программы, в рамках которых более опытные хакеры обучают новичков за деньги. При этом учителями выступают и другие участники форумов, в зависимости от уровня их мастерства. Сами же будущие хакеры часто находятся под опекой старших участников для большей вовлечённости в сообщество. Это желание обучать других и высокий уровень вовлечения в жизнь сообщества представляют собой разительный контраст с обычиями, царящими на русскоговорящих форумах, которые мы описывали выше .

–  –  –

Принципы организации российских хакинг-форумов Российские преступные форумы довольно хорошо структурированы и отличаются высоким профессионализмом. Это подтверждается тем фактом, что российские мошенники и хакеры в основном действуют на разных форумах .

Форумы мошенников и кардеров фокусируются на продаже украденной финансовой информации, в то время как хакинговые форумы больше ориентируются на различного рода уязвимости, зловреды и другие технические инструменты .

Можно условно выделить три основных типа хакинг-форумов: открытые, полуприватные и закрытые. Открытые форумы обычно доступны всем пользователям. Требуется только наличие рабочего почтового ящика для регистрации. Полуприватные сообщества вводят некоторые пороги для членства, например вступительный взнос в размере $50 или подтверждение членства на других ресурсах. Администраторы более престижных «закрытых»

форумов требуют от потенциальных участников подтверждения аутентичности предлагаемых ими услуг и/или применяют институт поручительства действующих членов сообщества. На некоторые форумах, например на Exploit, необходимо набрать определённое количество постов, прежде чем получить доступ к более ценному контенту .

Так сложилось, что доступ ко многим из подобных форумов возможен напрямую, без использования средств обхода блокировок. Однако нередки и случаи использования Tor-зеркал в качестве альтернативного способа доступа к этим ресурсам. Администраторы форума Verified полностью переключились на Tor в 2018 году, ввиду того, что становилось всё сложнее постоянно менять домены и IP-адреса, чтобы оставаться доступными для пользователей без VPN. Другие преступные ресурсы, например магазин кардеров Joker’s Stash, начали применять технологию блокчейн DNS, которая позволяет использовать децентрализованный подход к кардинговым операциям и обеспечивает защиту от традиционных средств блокировки .

Баннерные объявления на русском и английском языках, размещённые на форуме Korovka Русские мошенники и хакеры мало полагаются на традиционные банковские организации для проведения транзакций. Некоторые электронные платёжные системы, например ныне прекратившие существование E-gold, ePassporte и Liberty Reserve, требовали только работающий адрес электронной почты, чтобы можно было переводить украденные деньги на реальные банковские счета и дебетовые карты .

В течение более чем десяти лет WebMoney был главным методом оплаты, используемой на российских форумах. Однако по мере расширения применения криптовалют его популярность, по оценкам Recorded Future, пошла на убыль. В настоящее время биткоин, Monero и другие криптовалюты получили широкое распространение на форумах киберпреступников, в результате чего сильно облегчилась процедура обналичивания средств путём прямого обмена этих монет в рубли или доллары. Помимо криптовалют также использовались и другие способы отмывания денег, например через Fethard Finance или сервис ChronoPay, использующие сеть постоянно меняющихся банков и подставных компаний, цель которых — скрыть конечное назначение средств, полученных незаконным способом .

Для того чтобы оставаться на свободе, российские киберпреступники должны соблюдать неписаный закон: не совершать преступлений против граждан стран СНГ. Несмотря на то что хакеры из стран восточного блока часто тестируют свои разработки на согражданах, прежде чем применить их против иностранцев — тех преступников, кто идёт дальше обычного тестирования, очень быстро задерживают .

Дмитрий Фёдоров aka «Paunch» использовал совокупность программ собственной разработки, названную «Blackhole», чтобы распространять вредоносное ПО по всему миру. Однако задержан он был вскоре после того, как продал свои наработки для использования в троянах Carberp, жертвами которых становились россияне .

Павел Врублевский, владелец российского процессингового сервиса ChronoPay, оказывал услуги отмывания денег, полученных от продаж нелегальных лекарств и поддельных антивирусов, без помех со стороны российского государства. Однако после того, как он заказал DDoS-атаку на конкурирующую отечественную платёжную систему Assist, Павел был арестован. Recorded Future не раз встречало и продолжает встречать российских хакеров, утверждающих, что разработанное ими вредоносное программное обеспечение не должно использоваться против граждан России и других стран СНГ .

Принципы организации китайских хакинг-форумов Принципы организации групп китайских хакеров сильно отличаются от тех, что используют их российские «коллеги». Частично это объясняется режимом строгой цензуры внутри Китая. Проект Golden Shield, который позднее стал известен под названием «Великий Китайский Файервол» был запущен Министерством Общественной Безопасности КНР в 2000 году .

Первоначальной целью проекта было содействие внедрению передовых технологий для укрепления центрального полицейского контроля, реагирования и совершенствования мер борьбы с преступностью. Тем не менее со временем проект сильно изменился. По мере распространения доступа к интернету внутри Китая, фокус проекта постепенно смещался в сторону ограничения доступа китайских граждан к определённому контенту с помощью блокировки IP-адресов, перенаправлению трафика и фильтрации данных .

Великий Китайский Файервол блокирует веб-сайты, приложения, социальные сети, электронную почту, отдельные сообщения, VPN и другой интернет-контент, определяемый Китайским государством как неуместный или оскорбительный. Во многом это затрудняет китайским хакерам поиск и продажу хакинг-материала за границей. Великий Файервол даже умеет определять и прерывать исходящие подключения к сети Tor, которая необходима для доступа к международным форумам и торговым площадкам киберпреступников. Одним из последних способов «перепрыгнуть» Великий Файервол для китайцев остаётся использование VPN .

Начиная с 2017 года Министерство промышленности и информационных технологий Китая постановило, что поставщики VPN в Китае должны получить лицензии от властей. Многие VPN-сервисы были впоследствии закрыты под предлогом отсутствия такой лицензии. Это ещё больше урезало возможности китайских хакеров анонимно использовать сеть и посещать международные хакинг-порталы. Ввиду высокой сложности преодоления Великого Файервола, китайские хакеры используют Tor значительно меньше, чем русско- и англоговорящие киберпреступники .

Вместо этого они развивают собственные сообщества, построенные на базе первых патриотических хакерских групп, а также создают большое количество низкоуровневых хакинг-форумов, легко доступных в китайском Интернете .

Помимо указанных сообществ, китайские хакеры активно используют закрытые чаты и форумы, созданные в популярных китайских мессенжерах и соцсетях:

QQ, Baidu и WeChat. Однако и эти ресурсы часто подвергаются цензуре .

Правительство использует различные юридические основания для закрытия мошеннических и хакинговых сайтов, групп и чатов. Отдельные группы QQ, реклама которых по-прежнему ведётся в даркнете уже закрыты, а поисковые запросы по названиям известных хакинг-сообществ в соц. платформе Tieba часто заканчивается ничем .

Более того: китайское правительство управляет хакерской деятельностью внутри страны с момента появления первых групп через официальные и неофициальные каналы. Большинство пользователей на форумах киберпреступников хорошо осознают возможные последствия нарушения неписаной договорённости и поэтому воздерживаются от атак на отечественные информационные системы .

Реклама закрытой QQ-группы хакеров Многие китайские форумы для новичков не используют биткойн и другие криптовалюты из-за их фактического запрета на территории Китая. Начиная с сентября 2017 года государство активно блокирует доступ граждан к международным биржам криптовалюты. А китайские финансовые организации потеряли возможность проведения транзакций в Биткойн ещё в 2013-м году .

Ввиду этих сложностей предпочитаемыми методами оплаты на китайских форумах являются электронные платёжные системы вроде Alipay, а также денежные переводы между китайскими банками. Пользователи также могут зарабатывать внутрифорумную валюту через общение и взаимодействие в рамках сообщества .

Админский пост на китайском форуме. Рассказывает, что на форуме принимают платежи через Alipay, WeChat, QQ, онлайн-банкинг и PayPal В целом, можно сказать, что китайские форумы не так хорошо структурированы, как российские, и фокусируются больше на построении сообщества, чем на получении прибыли. Мошенники и хакеры часто используют одни и те же ресурсы (хотя и продвигают свои товары в разных разделах) .

Например, китайские площадки, на которых продаются наркотики или порнография, часто содержат и раздел для хакеров. Нелегальные сайты с эротическим контентом могут содержать видео с веб-камер, расположенных в душевых, туалетах и спальнях, взломанных начинающими хакерами .

На многих китайских форумах применяется геймификация. Уровень пользовательского аккаунта может зависеть от частоты посещения ресурса, количества продаж и покупок, соблюдения/нарушения правил сообщества .

Поощряется также общение внутри форума и публикация постов во внешний мир .

Это немного напоминает российские форумы, где для доступа к расширенному контенту требуется наличие определённого числа постов. Однако, несмотря на то что как китайские, так и российские форумы поощряют активность пользователей, только китайские ресурсы выплачивают за это реальное вознаграждение в виде внутрифорумной валюты .

Меню сайта по продаже наркотиков с разделом «Хакинг», рядом с разделами «Грибы» и «ЛСД»

Подобно российским форумам, китайские также можно условно разделить на три типа: открытые, полуприватные и закрытые. По мере возрастания закрытости ресурса растут качество и сложность предлагаемых товаров. Чем выше надёжность и технические навыки поставщика — тем выше вероятность того, что он будет использовать закрытые площадки .

Независимо от национальной принадлежности, все форумы поддерживают функционал чёрных списков. Пользователи могут предоставить доказательства того, что они получили некачественный или откровенно поддельный материал, а админы, проверив эту информацию, добавляют поставщика в чёрный список .

В большинстве случаев это является достаточной защитой от недобросовестных продавцов .

Закрытые форумы предъявляют более высокие требования к продавцам .

Помимо явных условий участия: оплата членского взноса администрации ресурса, доказательства наличия аккаунтов на сторонних ресурсах и рекомендаций действующих участников, существуют менее явные требования .

К примеру, отдельные китайские хакерские группы в QQ и WeChat продвигаются только на полуприватных форумах. Это значит, что для получения доступа к желаемой площадке, помимо выполнения требований для участия в ней необходимо сначала выполнить условия членства нижестоящего ресурса .

Другим методом отбора для участников сообщества может быть хостинг с использованием сети Tor. Смысл кроется в том, что хотя для использования Tor требуется только наличие работающего электронного почтового ящика, пользователи из Китая должны также обойти Великий Китайский Файервол. В результате до таких форумов добираются только пользователи с действительно хорошими техническими навыками .

Контент на российских форумах и маркетплейсах Зловред Вредоносные программы на российских форумах быстро развивались, но суть менялась незначительно. Программы-вымогатели, загрузчики, трояны, наборы эксплойтов, установщики, спам-боты, поддельные документы, денежные мулы, банковские счета и кредитные карты всё ещё присутствуют в продаже, хотя и выглядят немного иначе. Например, поддельные антивирусы превратилась сначала в запугивателей, потом в блокировщиков, затем вернулись обратно к тактике запугивания, а потом к вымогательству .

Независимо от сути, зловреды превращают компьютеры в бесполезный кусок железа до тех пор, пока жертва не заплатит отступные. Наборы эксплойтов Blackhole, Phoenix и Nuclear уже в прошлом, сегодня их место заняли Rig, Magnitude и Grandsoft. Одним из немногих существенных различий в поведении зловредов сегодня является то, что современных вредоносных в программах при открытии doc. файла выполняется макрос .

На сегодняшний день на русских форумах шаблоном для многих троянов остаётся ZeuS, несмотря на то что его победили ещё в 2014 году. Утечка его исходников позволила создать множество банковских троянов, таких как SpyEye, Dridex и Carberp, продолжают выходить и новые зловреды на основе ZeuS. В то время как банковские трояны, безусловно, всё ещё в игре, такие группы, как FIN 7, воруют деньги у банков напрямую. Хотя уже трое из главных участников группы находятся в тюрьме, Recorded Future полагает, что оставшиеся на свободе члены ombi Security C могли получить достаточно знаний, чтобы представлять угрозу для финансовых организаций сегодня .

Поскольку расшаривание исходников зловреда ведёт к увеличению количества продавцов, предлагающих идентичные программы (как это было с ZeuS), разработчики предпочитают держать код в секрете. Вредоносные программы, например банковские трояны или загрузчики, продаются в виде билдов. При этом по логике лицензирования зловреды не сильно отличаются от любого другого ПО .

Например, Smokebot, созданный хакером Smoke Ldr, стоит $400 за лицензию, с возможностью приобретения дополнительных модулей: form-grabber за $300 и криптомайнер за $100. Есть даже некое подобие лицензионного соглашения, согласно которому одна лицензия может использоваться только одним пользователем и не может быть перепродана. Любое обновление стоит $10 дополнительно, даже если пользователь хочет просто изменить файл конфига или решает использовать новый сервер вместо попавшего в блеклист. Только сам SmokeLdr может выпускать апдейты и править конфиги, так как он единственный владеет исходниками. Все эти обстоятельства — полный контроль над исходным кодом, дополнительными модулями и опциональными апдейтами, позволяют максимально монетизировать Smokebot и являются обычной практикой среди киберпреступников в России .

Различного рода реферальные партнерки также позволяют разработчикам зловредов получать максимальную прибыль от своих творений. Часто этот метод используется в программах-вымогателях, таких как Cerber .

Хакер crbr, разработавший Cerber, передает его сборки пользователям, участвующим в партнерке. Те, в свою очередь, распространяют его дальше с помощью спама и поддельных баннеров, а взамен получают процент от общего объёма выплат заражённых ими жертв. Подобная схема позволяет разработчикам зловредов сфокусироваться на разработке самого продукта, делегируя задачи дистрибуции на аутсорс. Это удобно и безопасно, так как исходники остаются у разработчика .

Мошенничество Мошенничество предполагает работу с большими объёмами данных .

Злоумышленники, атаковавшие торговые сети Target и Home Depot похитили данные 40 и 56 миллионов банковских карт соответственно. Продажа этого количества карт на форумах или через Jabber-чаты была бы титаническим трудом, который потребовал бы привлечь большое количество помощников, работающих круглосуточно .

Для решения этой проблемы были созданы автоматизированные торговые площадки (также называемые «кардинг-магазинами»), такие как Rescator, Trump’s Dumps и Joker’s Stash. Эти ресурсы позволяют кардерам покупать данные кредитных и дебетовых карт определенного типа в требуемых количествах без участия живых людей .

Эти площадки построены по типу Amazon или Ebay: покупатели могут просматривать и выбирать желаемый контент, добавлять его в корзину и оплачивать заказы всего за пару кликов. Сложно представить себе, какой объем работы требовался бы для продажи такого огромного объема данных вручную .

Другие услуги, связанные с мошенничеством, требуют более индивидуального подхода.

На русских форумах часто продаются различного рода документы:

паспорта, водительские удостоверения и др .

Злоумышленник под ником vengativo предлагает подобные услуги и утверждает, что сделанные им документы неотличимы от официальных документов. Он продаёт удостоверения личности десятков европейских стран стоимостью до 400 долларов, паспорта для таких стран, как США и Германия стоят уже 2000 долларов. В продаже также имеются поддельные дипломы литовских университетов .

Качественные поддельные документы необходимы преступникам, планирующим использовать краденые карты для покупок в оффлайне или открывать счета в банках для отмывания денег .

Другие услуги: абузоустойчивый хостинг и VPN Информационные ресурсы киберпреступников, такие как форумы, Jabber-серверы и торговые площадки, не могли бы существовать без надёжного хостинга. А самим хакерам и мошенникам приходилось бы очень тяжело без гарантий анонимности. Именно поэтому абузоустойчивый хостинг, функционирующий вне зоны полномочий правоохранительных органов и крупных технологических компаний — это основа функционирования преступного мира, обитающего в Интернете .

Компания Whost предлагает аренду серверов в Бейруте (Ливан) по цене от $100 в месяц. Существуют и другие подобные компании, которые работают уже более 10 лет. Пользователь под ником Yalishanda предлагает востребованные в криминальном мире хостинг-услуги, предполагающие использование большого количества прокси-серверов и постоянную смену IP. Использование подобных приёмов сильно затрудняет борьбу с преступной деятельностью в сети .

Услуги VPN, позволяющие скрывать реальные IP-адреса хакеров также можно приобрести на российских форумах. Такие компании, как First VPN, предлагают различные конфигурации VPN для серверов, расположенных в 24 разных странах. Это делает невозможным отслеживание сетевой активности правоохранителями. Подобные сервисы играют роль теневого интернет-провайдера, на услугах которого строится преступное подполье .

Контент на китайских форумах и маркетплейсах Зловред Основными товарами на китайских форумах, распространяющих вредоносное ПО, являются инструменты DDoS, троянские программы удалённого доступа, программы обхода антивирусов и решений, предупреждающих о взломе. На некоторых форумах можно также купить взломанные версии лицензионных решений или нанять хакеров под конкретный проект .

Помимо продажи зловредов и других инструментов на форумах можно также найти материалы, обучающие программированию и взлому, или даже запросы и предложения на услуги хакеров-наставников. Учитывая, что многие китайские ресурсы открыты для всеобщего доступа, зачастую в описание хакерских инструментов добавляют специальные формулировки о том, что данные решения предназначены только для «исследовательских целей» .

Многие открытые китайские форумы рекламируют зловреды, созданные иностранными разработчиками, а также решения с открытым исходным кодом .

Тем не менее те же форумы часто содержат и уникальное вредоносное ПО .

Значительная часть подобных предложений создаётся хакерами-новичками, которые хотят получить обратную связь и критику своей работы. Это позволяет им усовершенствовать свои навыки и получить доступ к более высокоуровневым ресурсам .

Зачастую хакерские разработки, выкладываемые на китайских форумах сопровождаются пользовательскими обзорами. Причём некоторые из них даже содержат рекомендации, как улучшить то или иное решение. Поэтому разработчики часто выпускают множество сборок своего продукта, что схоже с ситуацией на русских форумах. Отличительной же чертой является то, что китайский зловред может предлагаться вместе с исходным кодом, доступным за небольшую плату. Это позволяет разработчикам получать обратную связь от пользователей и использовать её для усовершенствования продукта в будущем .

Взломанное лицензионное ПО также предлагается на китайских форумах. Но в основном это решения, предназначенные для рынков Восточной Азии. К примеру Xunlei Download Manager, YangCong Math и Baidu Wangpan — это всё продукты, используемые в основном китайскоговорящими пользователями, а их взломанные копии предлагаются только на китайских подпольных форумах .

Категории одного из китайских форумов: решения с открытыми исходниками, взломанное лицензионное ПО, зловреды и хакерское ПО, трояны для удалённого доступа

Упоминания взломанного ПО, найденные Recorded Future

Мошенничество На китайских форумах можно встретить предложения о покупке финансовой и персональной информации, принадлежащей иностранцам, а также крупным международным корпорациям. Однако, данных китайских компаний там не меньше. К примеру, учеток Taobao и Alipay на китайских хакинг-ресурсах содержится примерно столько же, сколько и данных краденых карт Visa на некоторых форумах, несмотря на то, что основные клиенты этих компаний — граждане стран Восточной Азии .

Более того, зачастую подобные данные можно найти только на китайских форумах. В качестве примера можно привести дамп данных портала 51job, Inc .

В результате взлома базы данных крупнейшего китайского ресурса по поиску работы в июне 2018, хакеры похитили данные около 2,45 млн. учётных записей. Единственным местом, где команда Recorded Future смогла найти эти данные, был китайский ресурс DeepWebChinese. В июле 2018 года от утечки данных пострадала и китайская служба доставки SF Express. Аналогично предыдущему примеру, украденные данные были опубликованы только на китайских форумах .

Есть основания полагать, что сливы данных китайских компаний в большинстве случаев не распространяются за пределы Китая. Отчасти это объясняется языковым барьером, однако, есть и другие возможные объяснения. Дело в том, что попытка как-либо использовать украденные учётки китайских граждан потребует знание и понимание местных реалий. Рынок информационных технологий Китая в основном предназначен для внутреннего потребителя. В результате зачастую китайские продукты по функциональности и принципам работы сильно отличаются от западных аналогов. Именно поэтому взломанные и украденные учётные записи китайских граждан в основном используются их же соотечественниками .

Помимо продаж персональных данных, на китайских подпольных интернет-рынках могут зарабатывать и на продаже поддельных документов. В большинстве случаев эти документы предназначены для китайцев. Огромной популярностью пользуются поддельные дипломы международных ВУЗов. В основном такие подделки используются, только чтобы обмануть друзей и родных. Однако некоторые продавцы утверждают, что их документы могут открыть дорогу к должности в госкорпорациях, несмотря на то что те проверяют все дипломы через китайское Министерство образования .

На рынке подделок можно также найти фальшивые иностранные паспорта и китайские лицензии на ведение бизнеса. Чтобы привлекать и удерживать клиентов продавцы подделок стараются «поддерживать лицо», то есть репутацию .

Подробнее о «лице»:

Понятие «лица» (включает завоевание и удержание уважения окружающих. Очень многое в культуре Китая вращается вокруг этой концепции, особенно когда речь идет о семье и бизнесе. «Потеря лица» может быть настолько страшна для китайцев, что они скорее обманут других, чем честно расскажут о своих недостатках. Например, одинокие китаянки, которые планируют посетить родителей во время государственных праздников, часто заказывают интересную услугу «жених напрокат», чтобы замаскировать неудачи в личной жизни. Подобной логикой руководствуются и молодые китайские специалисты, когда решают купить поддельные диплом, чтобы усилить своё резюме .

Как и китайские хакеры, их соотечественники-мошенники также открыто продают учебные пособия и материалы .

Другое: оружие, порно, VPNs На китайских подпольных рынках предлагается широкий ассортимент товаров, предназначеных для покупателей из стран Восточной Азии. Многие из этих товаров и услуг находятся в свободном обращении в других странах, однако на территории материкового Китая они запрещены. Это касается, например, порнографии. Лишь небольшая доля порнографической продукции, распространяемой на китайских форумах, будет считаться запрещённой в других государствах. Однако Коммунистическая партия Китая считает, что вся порнография является одной из форм «незаконной публикации», а Главное управление Прессы и публикаций (GAPP) борется с порносайтами с начала 2000-х годов .

В таких условиях распространители порнографии в Интернете перешли от открытой рекламы к использованию завуалированных выражений и интернет-сленга. Открытые сайты сменились приложениями для потоковой передачи видео и приватными форумами .

Если говорить про оружие, то в первую очередь следует отметить тот факт, что к свободной продаже в Китае запрещены ножи с длиной лезвия более 15 см .

Это связано с атаками уйгурских сепаратистов (2008, 2011 и 2014), которые использовали ножи против гражданских лиц. Приобрести нож, превышающий официально разрешённые размеры в Китае можно только в дарквебе .

Хотя продажа VPN-услуг не является уникальной характеристикой китайских форумов, количество предложений со стороны поставщиков этих услуг весьма примечательно. Количество упоминаний VPN на китайских ресурсах для киберпреступников неуклонно увеличивалось с января 2017 года, когда Министерство промышленности и информационных технологий объявило, о необходимости государственного лицензирования для VPN-провайдеров .

Причём частота упоминаний значительно возросла, когда официальный запрет Китая против VPN вступил в силу в марте 2018 года .

Материалы Recorded Future: частота упоминаний VPN на китайских дарквеб-форумах и маркетплейсах Взаимодействие между китайскими и российскими хакерами Recorded Future провела анализ ряда российских и китайских подпольных форумов киберперступников. Исследование показало, что большинство постов на российских форумах написаны на русском или английском языках, с небольшим вкраплением китайского. Наличие постов на китайском свидетельствует, что китайских хакеры общаются с китайскими покупателями на иностранных форумах. Стоит отметить, что большинство китайских постов на русских и английских форумах посвящены услугам мошенников, предназначенных для китайской аудитории, например, тем же поддельным дипломам .

В противоположность российским форумам, посты на китайских ресурсах написаны на китайском. Английский язык используется редко, в основном для обозначения цифр, номеров, кодов и самых простых слов .

Таким образом, будет справедливым замечание, что,в то время как некоторые продавцы и покупатели на российских форумах являются китайцами, лишь немногие пользователи китайских хакинг-сайтов китайцами не являются. Это объясняется языковым барьером: китайский язык — это один из самых сложных языков в мире и лишь небольшой процент россиян способен говорить на иностранном языке .

Однако, вполне возможно также, что большое количество англо- и русскоговорящих форумов позволяет киберпреступникам, владеющим этими языками, не думать о поиске нужной информации на других форумах .

Последние два умозаключения могут также объяснить небольшое количество китайских зловредов и украденных данных китайских граждан и компаний на некитайских форумах. Не стоит также забывать, что значительная часть товаров и услуг, предлагаемых китайскими киберпреступниками на отечественных ресурсах, вряд ли может быть использована иностранными пользователями .

С другой стороны, даже небольшой процент китайскоговорящих пользователей на некитайских форумах позволяет предположить, что китайские киберпреступники стремятся снизить свою зависимость от мер государственного регулирования и цензуры внутри страны. Если это предположение верно, то закончиться всё может попыткой Китайского Правительства закрывать китайские форумы или подвергать их цензуре .

Разбивка постов отдельных форумов по языкам, данные Recorded Future Перспективы Хакинг-культура Китая и России имеет различное происхождение и развивалась в условиях уникальных региональных условий. Понимание различий между этими сообществами имеет важное значение для понимания природы угроз, которые они представляют сегодня, а также прогнозирования их будущего развития .

Recorded Future считает, что российские киберпреступники с высокой долей вероятности будут и дальше ориентироваться прежде всего на деньги .

Хотя на их форумах общаются в основном граждане стран бывшего советского блока, эти ресурсы представляют большой интерес для международного сообщества, поскольку базы данных и кредитные карты, продаваемые на них, похищаются у жертв по всему миру. Инструменты для взлома и абузоусточивый хостинг может приобрести любой, кто имеет достаточно биткоинов, чтобы заплатить за них. Некоторые посты на российских форумах размещаются сразу на русском и английском языках, что демонстрирует готовность к экспансии на другие рынки .

Подобные кросскультурные начинания напоминают самые первые форумы мошенников, что сближает русско- и англоговорящие хакерские сообщества .

В то же самое время китайцы, владеющие английским в достаточной степени, могут воспользоваться российскими форумами и получить доступ к внушительному хакинг-арсеналу, который они содержат. Учитывая, что английский язык в настоящее время является обязательным для изучения в Китае, весьма вероятно, что китайцы начнут активнее пользоваться российскими форумами. Это может привести к налаживанию обмена опытом и тактикой между англо-, русско- и китайскоговорящими сообществами, что позволит создать новые методы атак на жертвы по всему миру .

Члены русскоязычного киберподполья представляют глобальную угрозу в силу своей изощрённости и многообразия возможной тактики. Независимо от местоположения, каждое финансовое учреждение, социальная сеть и интернет-провайдер должны иметь в виду, что они и их клиенты уже являются или могут стать мишенью. Такие организации должны принимать максимум мер, чтобы совершенствовать защиту своих информационных систем от всех возможных уязвимостей .

Recorded Future также представила свой прогноз результативности политики крестового похода Китая к «чистому и праведному интернету» для своих граждан. Хотя существуют определённые основания полагать, что политика окажется успешной, вероятность того, что борьба против Tor и VPN приведет к закрытию китайских площадок для киберпреступников все же невелика. В результате всё большее число китайских хакеров будут перемещаться на иностранные ресурсы и предлагать свои товары и услуги там. В свою очередь, это приведёт к тому, что зарубежные злоумышленники получат доступ к уникальным данным китайских граждан и компаний, а также смогут приобрести специальные зловреды для самостоятельного получения таких данных .

Если китайская политика ужесточения борьбы с киберпреступностью и интернет-анонимностью не приведёт к значительным изменениям и закрытию подпольных ресурсов, Recorded Future предполагает, что это будет означать неверное понимание природы киберпреступности китайскими властями .

На сегодняшний день компаниям, занимающимся бизнесом в Китае или других странах Восточной Азии, рекомендуется отслеживать активности на китайских хакерских форумах, а также товары, продающиеся на подпольных онлайн-рынках. Это позволит им своевременно реагировать на возможные утечки данных из своих компаний, а также оперативно укреплять защиту собственной инфраструктуры. Также следует обращать внимание на резонансные события из мира политики, которые могут спровоцировать новые




Похожие работы:

«AMIT 1(46) 2019 АНАЛИЗ ВЛИЯНИЯ ДЕЯТЕЛЬНОСТИ ЗАХВАТНИЧЕСКИХ ПЛЕМЕН И ГОСУДАРСТВ НА АРХИТЕКТУРУ И ИСКУССТВО ДАГЕСТАНА УДК 72.03(470.67) ББК 85.113(2Рос.Даг) Г.А. Алиева Московский архитектурный институт (государственная академия), Москва,...»

«Положение городского школьного Интернет-проекта "Персоны Х" Интернет-проект посвящен Году культуры в Российской Федерации. Проект направлен на организацию коллективной работы школьников над созданием информацион...»

«СОДЕРЖАНИЕ ВВЕДЕНИЕ ГЛАВА 1. СОЦИОКУЛЬТУРНАЯ КОМПЕТЕНЦИЯ.5 1.1. Социальная культура..5 1.2. Компетенция..6 1.3 Методы и средства формирования социокультурной компетенции..9 ГЛАВА 2. СОЦИОКУЛЬТУРНАЯ КОМПЕТЕНЦИЯ В УМК ПО ФРАНЦУЗСКОМУ ЯЗЫКУ...24 2.1 Требования к УМК..24 2.2 Социокультурная компетенция в УМК по французскому языку ГЛАВА...»

«МБОУ СУРГУТСКИЙ АЯ ПЕРЕМЕНА ЕСТЕСТВЕННОБОЛЬШ НАУЧНЫЙ ЛИЦЕЙ Май 2018 ЛИЦЕЙ НАУЧНЫЙ ЛИЦЕЙ ТВОРЧЕСКИЙ ЛИЦЕЙ СПОРТИВНЫЙ Стр. 2 БОЛЬШАЯ ПЕРЕМЕНА ЛИЦЕЙ НАУЧНЫЙ Стр. 3 БОЛЬШАЯ ПЕРЕМЕНА ДНИ НАУКИ В ЛИЦЕЕ Наука – двигатель прогресса, страна не может без науки жить, И не могла терять Россия весавеликих достижений ждал ее народ. Быть...»

«САНКТ-ПЕТЕРБУРГСКИЙ ГУМАНИТАРНЫЙ УНИВЕРСИТЕТ ПРОФСОЮЗОВ СУДЕБНАЯ ПРАКТИКА РАЗРЕШЕНИЯ СОЦИАЛЬНО-ТРУДОВЫХ СПОРОВ В СОВРЕМЕННОЙ РОССИИ Издано в рамках Программы получателя субсидии Министерства труда и социальной защиты РФ в 2018 году СОЦИАЛЬНО-ТРУДОВЫЕ КОНФЛИКТЫ Выпуск 6 Санкт-Петербург ББК 65.291.66 С89 Научный редактор А. С. Запесоцкий, член-кор...»

«White Paper v1.0.4 March, 2018 Предисловие Для мира творческой свободы и новых инноваций. GeAR освободит сотни миллионов производителей креативного контента во всем мире. С е г о д н я в игровой индустрии активн...»

«ПРИКАЗ lГ-д.' (5 IJ. 2017 г. Москва г. Содержание: О проведении Дня открытых дверей В целях привлечения, профориентации и информирования абитуриентов, демонстрации им современных достижений науки и техники, обеспечения нового набора студентов в 2017...»

«"УТВЕРЖДАЮ" "СОГЛАСОВАНО" Председатель Ярославского Генеральный директор ОУ отделения "Центральный автомотоклуб ДОСААФ России ДОСААФ России" И.Н. Чех И.В. Ушанов "" 2018 г. "_" _ 2018 г. "СОГЛАСОВАНО" "СОГЛАСОВАНО" Директор департамента Начальник управления по физической к...»







 
2019 www.librus.dobrota.biz - «Бесплатная электронная библиотека - собрание публикаций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.