Как появляются и чем грозят отряды программистов, которые работают на ИГИЛ? Что происходит в темной части интернета?

Кибертеррористы
Мы помним, как в середине декабря на рождественской ярмарке в Берлине огромный грузовик въехал в толпу людей. Летом тот же вид атаки впервые опробовали террористы в Ницце. Для спецслужб подобные трагедии оказываются неожиданными: общение преступников происходит через секретные чаты, они ипользуют защищенные почтовые сервисы и браузеры. Террористы делают все для того, чтобы их переговоры остались незамеченными. Но прогнозы на ближайшее будущее выглядят даже более устрашающими: аварии на железных дорогах, в метро и аэропортах, массовые отключения света и выведенные из строя заводы... Представители спецслужб и эксперты по безопасности по всему миру называют одной из самых явных и растущих угроз атаки на инфраструктурные и промышленные объекты. И уже есть примеры. Насколько же далеко террористы продвинулись в кибервойне?

Надежда террористов

Кибертеррористы

Сейчас около двенадцати ячеек, которые связаны с ИГИЛ, занимающиеся единственной простой вещью – они ищут критическую инфраструктуру с одним только желанием что-нибудь сломать или взорвать, сказал в декабре Илья Сачков, чья компания Group-IB расследует киберпреступления. По его словам, в ближайшие два года мы будем вынуждены столкнуться с первыми атаками на критическую инфраструктуру: «Я вам это гарантирую, так как большинство организаций, являющиеся объектами критической инфраструктуры, совершенно уверены, что они отлично защищены».
В последнем отчете Group-IB, который был опубликован в октябре, говорится, что экстремистские и террористические группировки открыто рекрутируют хакеров в теневом сегменте интернета (Dark Web). Террористы нуждаются в специалистах, которые способны совершать целевые атаки на важные объекты.

Но подробно рассказывать об этом специалисты крупнейших российских профильных компаний – Group-IB и «Лаборатории Касперского» – отказываются. Один человек в ответ на вопрос, почему компании не хотят общаться на эту тему, лишь постучал двумя пальцами по плечу, изобразив воображаемые погоны.

В августе 2015 года 21-летний хакер Джунейд Хуссейн, известный под ником TriCk, получил и открыл ссылку от знакомого в защищенном мессенджере Surespot. Через несколько минут американский беспилотник нанес авиаудар, и Хуссейн был убит. Знакомый, приславший ссылку, был хакером, работавшим на спецслужбы США. Ссылка вела на зараженную страницу: так удалось узнать IP-адрес Хуссейна и выяснить его местоположение. Зачем американские спецслужбы охотились за Хуссейном?

Британец пакистанского происхождения, TriCk входил в группировку хакеров TeaMp0isoN. Группа известна атаками на ООН, NASA, НАТО, аккаунты основателя Facebook Марка Цукерберга и экс-президента Франции Николя Саркози. Таких хакеров, которые занимаются взломами в криминальных целях, принято называть «черными шляпами». TriCk был одним из ключевых членов этой группы. В 2012 году его арестовали за взлом и публикацию личных данных британского премьер-министра Тони Блэра. Хуссейн отсидел полгода в тюрьме, а в 2013 году перебрался в Сирию. Считается, что тогда его завербовало «Исламское государство». В Сирии Хуссейн возглавил группу Cyber Caliphate и начал вербовать знакомых хакеров. До убийства Хуссейна журналистам удалось поговорить еще с одним из лидеров TeaMp0isoN – хакером под ником MLT. Он рассказал, что TriCk может воровать деньги с банковских счетов и аккаунтов PayPal – «не сотни долларов, а сотни тысяч или даже миллионы»: «Я думаю, этот парень представляет серьезную угрозу, его нужно воспринимать всерьез».

Группировка Cyber Caliphate, которую возглавил Хуссейн, была одной из самых известных групп хакеров, поддерживающих ИГИЛ. Она взламывала аккаунты Центрального командования США в Twitter и YouTube, аккаунт Newsweek, устроила массовую атаку на французские сайты после теракта в редакции Charlie Hebdo. Но есть и другие пособники террористов. Американская компания Flashpoint, специализирующаяся на изучении Dark Web, в своем исследовании, опубликованном в июле 2016 года, насчитала еще шесть крупных группировок: Islamic State Hacking Division, Islamic Cyber Army, Rabitat Al-Ansar, Sons Caliphate Army, Cyber Caliphate Section, Kalashnikov E-security Team. Есть и более мелкие группы, вроде Team System Dz, а также группы хакеров-исламистов, которые не считают себя сторонниками ИГИЛ, – например, тунисская FallaGa Team.

Как считают эксперты Института технологий критической инфраструктуры (ICIT), связующим звеном между разными группами был Хуссейн. После его смерти часть связей была утеряна. Однако в апреле 2016 года четыре крупные группировки все же решили объединиться под названием United Cyber Caliphat, о чем объявили в своих Telegram-каналах. Какова их связь непосредственно с руководством ИГИЛ, до конца неизвестно: хакеров, поддерживающих террористическую организацию, много, но само «Исламское государство» официально не признавало ни одну из них своей частью, рассказал старший эксперт Flashpoint по Ближнему Востоку и Северной Африке Алекс Кассирер.

Расстрельный список

Кибертеррористы

Какими кибероперациями могут похвастаться хакеры-террористы? Переход на сторону ИГИЛ профессионального хакера Хуссейна должен был означать рост числа крупных атак исламистов. Но этого не произошло. Хуссейн не успел завербовать почти никого из своей бывшей команды TeaMp0isoN или других профессиональных групп. У обычных хакеров и тех, кто поддерживает ИГИЛ, совершенно разная мотивация, объясняет Кассирер. Цель хакеров-террористов – совершить физическое насилие, внушить страх, парализовать общество. Для этого террористам нужна публичность. А обычные хакеры заинтересованы прежде всего в деньгах – привлечение внимания им не нужно.

Но примеры удачных операций Хуссейна и его соратников все же есть. В августе 2015 года, за две недели до смерти, Хуссейн опубликовал в твиттере ссылку на документ, который содержал фамилии, имена, телефоны, домашние адреса и другую личную информацию более 1300 американских военных и госслужащих. Этот список в прессе назвали Kill List. «Мы впервые увидели очень реальную и опасную угрозу национальной безопасности, которая появилась в результате объединения террористов и хакеров», – говорил о нем помощник генерального прокурора США Джон Карлин.

Хуссейну список передал косовский албанец Ардит Феризи. Считается, что Феризи, который использовал ник Th3Dir3ctorY, был главой группы Kosovo Hackers Group, которая известна атаками на сайты Интерпола, правительственных структур Израиля и публикацией данных нескольких тысяч банковских карт жителей Израиля. С Хуссейном и его соратниками Феризи общался через твиттер – в аккаунте он указал не только свой ник, но и полное имя. В октябре 2015 года Феризи был арестован в Малайзии, где учился в университете, экстрадирован в США, а год спустя приговорен к 20 годам тюрьмы. Как хакеру удалось добыть данные американских граждан и как его поймали?

В своем отчете специальный агент ФБР Кевин Галлахер, расследовавший дело, пишет, что первоисточником данных для Феризи стал сервер крупного онлайн-магазина (его название в отчете не публикуется). Взломав его, он получил персональные данные 100 тысяч клиентов магазина. Из них Феризи смог вычленить список американских военных и госслужащих – либо по их фамилиям, либо по почтовым адресам в домене «.gov».Погубила хакера самоуверенность. Серверы компании он взламывал несколько раз и на третий раз прислал в магазин сообщение, что всего за два биткоина (тогда около $500) расскажет компании, как он ее взламывает, и даже поможет с защитой. Сотрудники ФБР выяснили, что письмо в компанию было отправлено с того же IP-адреса, с которого пользователь заходил в аккаунт Феризи в фейсбуке, и так выяснили его местоположение.

Такие результативные атаки пока редкость для хакеров, поддерживающих ИГИЛ. По большей части они занимаются дефейсом (сменой главной страницы) сайтов и взламывают аккаунты в соцсетях, через которые затем ведут пропаганду. Иногда хакерам удается взломать аккаунты крупных структур – например, ими был взломан твиттер Центрального командования Вооруженных сил США. Тогда хакеры утверждали, что получили доступ к документам США, но позднее выяснилось, что они опубликовали общедоступные данные.

Подобные атаки происходят и в России. По данным Group-IB, с середины 2014 по лето 2015 года хакеры, поддерживающие ИГИЛ, атаковали более 600 российских сайтов (полный перечень атак компания не раскрывала, а публично о серьезных взломах не сообщалось). Атаки продолжаются и сейчас, хотя их цели часто кажутся несерьезными. Например, в мае был взломан сайт, посвященный 250-летию Николая Карамзина. Обычно после взлома на главной странице сайтов появляются изображения исламистов и видеоролики о них.

«Активность, которую мы видим сейчас, в основном очень непритязательна. И даже когда хакеры говорят о взломе систем, они часто просто собирают информацию из открытых источников, а затем просто переупаковывают ее», – говорит Кассирер. Означает ли это, что угроза со стороны хакеров-террористов отсутствует? Нет. У сторонников ИГИЛ есть целая сеть сайтов, на которых начинающих хакеров учат взламывать системы и оставаться в сети инкогнито. А значит, ситуация может измениться в любой момент.

Круглосуточная поддержка

Кибертеррористы

В конце декабря 2015 года большая часть Ивано-Франковской области на западе Украины погрузилась во тьму. Электричество отключилось в 15 часов 30 минут. Около 200 тысяч человек оставались без света три часа. Это была первая не только в истории Украины, но и в мире успешная атака на энергетический объект. Атаке подверглась компания «Прикарпатьеоблэнерго». Хакеры сначала проникли во внутреннюю сеть компании, а затем отключили подачу энергии. Обнаружившие атаку операторы доступ к управлению обратно получить не смогли. «В странах СНГ хакерам играет на руку технологическая отсталость. Ситуацию спасло то, что сотрудники ногами дошли до подстанций и переключили рубильники», – говорит Александр Гостев, главный эксперт «Лаборатории Касперского».

Первые атаки на инфраструктурные объекты Украины начались еще в мае 2014 года. Как писала в своем отчете украинская компания Cys Centrum, тогда случилась первая массовая рассылка фишинговых писем, которые содержали вложенный Excel-файл с вредоносным кодом. Основными адресатами были железнодорожные предприятия, но письмо получили в том числе и в «Прикарпатьеоблэнерго». Письмо было отправлено якобы из Министерства промышленности Украины. В нем представитель ведомства просил проверить, не содержатся ли в файле пароли от компьютеров предприятия.

Вредоносную программу BlackEnergy, код которой содержался в фишинговом письме, написал еще в 2007 году украинский хакер Дмитрий Олексюк (Cr4sh), но потом якобы продал код за $700. Изначально с помощью BlackEnergy можно было создавать бот-сети для DDoS-атак. Но потом появилось еще несколько версий программы, которые получили расширенный функционал. В отчетах об атаках на «Прикарпатьеоблэнерго» фигурирует уже BlackEnergy 3. Создатели новой версии BlackEnergy, как пишут специалисты Cys Centrum, оставили в коде послание: в грубой форме на английском языке они написали, что Касперский не сможет распознать эту программу, а Cisco поблагодарили за уязвимости в ее телеком-оборудовании.

После заражения компьютера хакеры начали искать в системе предприятия новые уязвимости, которые позволяли им глубже проникать в компьютерную сеть. Набор уязвимостей называется связкой, говорит участник хакерских форумов в теневом интернете: «О том, какую связку использовали, считается даже неприличным спрашивать друг у друга». Есть универсальные решения, вроде программы Blackhole от российского хакера Paunch (Дмитрий Федотов), которая была одной из самых популярных в 2011–2012 годах. Они содержат набор эксплойтов – небольших программ, способных задействовать ту или иную уязвимость для поражения сети. Аренда Blackhole в 2012 году стоила $50 в сутки, причем ее создатели даже предоставляли свои серверы. По оценке антивирусной компании AVG, в том же году 49% вирусов распространялось с помощью BlackHole. В 2013 году Федотова задержали и в апреле 2016-го приговорили к семи годам колонии. Но на его место пришли другие.

Ответственность за атаку на энергетические объекты на Украине никто на себя не взял. Украинские спецслужбы подозревали, что это могли сделать хакеры, связанные с Россией. Но круг подозреваемых может быть широким: BlackEnergy проста в использовании для опытного хакера. Если у ИГИЛ были хакеры, которые обладали навыками TriCk, они могли бы оперировать BlackEnergy, утверждает старший исследователь ICIT Джеймс Скотт, который вместе с коллегами изучал технологические возможности ИГИЛ.
Как отмечает Скотт в своем отчете, в ноябре 2015 года стало известно, что сторонники ИГИЛ запустили своеобразную круглосуточную службу киберподдержки, над созданием которой работали около года. Считается, что руку к ней приложил еще Хуссейн. В эту службу входят форумы, приложения, каналы в социальных сетях, где рассказывается о том, как оставаться анонимным в интернете, общаться в секретных мессенджерах, отключать геометки в сообщениях и фотографиях. Существуют и обучающие курсы по основам взлома. По словам Кассирера, обучение ведется на закрытых форумах, куда попасть не так просто, а для регистрации нужно получить рекомендации.

В июле 2016 года Flashpoint опубликовала отчет о технологиях сохранения анонимности, которыми пользуются сторонники ИГИЛ. Хотя джихадисты обычно не ассоциируются с технологиями, но от них зависит их успех и выживание, поэтому им приходится постоянно обучаться и адаптировать технические средства под свои нужды, говорится в документе. Помимо доступных всем браузера Tor, VPN-сервисов и прокси-серверов, специалисты Flashpoint насчитали пять защищенных почтовых сервисов, специальные приложения для быстрого удаления данных и подмены GPS-координат, блокировки звонков и SMS, несколько защищенных мессенджеров, включая собственный Asrar al-Dardashah. При этом Telegram Павла Дурова остается самым популярным мессенджером среди джихадистов, отмечают эксперты Flashpoint.

«С бородачами никто не хочет иметь дело»

Кибертеррористы

У сторонников ИГИЛ есть и противники среди хакеров. После терактов в Париже войну им объявили хакеры движения Anonymous. После этого, к примеру, появилась Ghost Security Group, основной целью которой стала борьба с исламистами в интернете. Активисты стараются помогать предотвращать теракты, разыскивают и блокируют сайты и аккаунты террористов в социальных сетях. На сайте Ghost Security Group говорится, что они закрыли уже более 100 тысяч аккаунтов и почти 200 сайтов.
В апреле 2016 года к борьбе против ИГИЛ в интернете подключилосьспециальное подразделение Агентства национальной безопасности США – Cyber Command. Правительственные хакеры должны мешать сторонникам ИГИЛ связываться друг с другом в интернете и вербовать новых сторонников, пытаться нарушать финансовые потоки. Как отмечает The New York Times, публично о таких кампаниях объявляется крайне редко. Власти США объясняют это тем, что публичность заставит командиров ИГИЛ нервничать из-за того, что профессиональные хакеры будут следить за ними. А потенциальные новобранцы ИГИЛ могут перестать общаться с террористами, поскольку их переговоры могут быть небезопасными.

Помимо аккаунтов в соцсетях, сайтов и каналов в телеграме, радикальные исламисты выпускают и собственные приложения. Специалисты Flashpoint в своем отчете говорят о трех таких приложениях: два из них – это интернет-радио, третье учит маленьких детей арабскому алфавиту. В последнем для объяснения детям букв используются танки, автоматы и армейские термины. Собственное мобильное приложение Dawn of Glad Tidings («Заря счастливых перемен») у ИГИЛ появилось еще в 2014 году, с его помощью сторонники террористов могут массово рассылать в твиттере сообщения с пропагандой. Когда сторонники ИГИЛ захватили Мосул, через приложение было опубликовано около 40 тысяч твитов, написанных не самими пользователями, а СММ-специалистами ИГИЛ. Как отмечает Скотт из ICIT, его успели скачать тысячи, прежде чем в Google удалили его из своего магазина приложений.

Скотт указывает на одну особенность приложения – оно запрашивает у пользователя слишком много прав: разрешение сканировать сети Wi-Fi вокруг, возможность изменять и удалять контент на накопителе в смартфоне. Чем это может грозить? С помощью таких приложений ИГИЛ может использовать телефоны сторонников для DDoS-атак. Эксперты считают, что приложение официального информагентства ИГИЛ Amaq могло использоваться в конце 2015 года в ходе DDoS-атаки на корневые серверы интернета, которые поддерживают работу глобальной сети. Правда, атака не увенчалась успехом. Сложность заключается в том, что невозможно точно определить, сколько человек пользуются тем или иным приложением. Ссылки на их скачивание распространяются через сайты, форумы, телеграм-каналы.

Для DDoS-атак можно использовать и уже существующие бот-сети. Доступ к ним можно купить на форумах в теневом интернете. Правда, как уверяет один из людей, знакомый с содержанием подобных форумов, хакерам ИГИЛ будет трудно получить доступ к таким сетям: «Владельцы бот-сетей, по сути, сдают их в аренду. Ты должен назвать им цель, и они устраивают атаку. По цели сразу понятно, кто заказчик. А с бородачами никто не хочет иметь дело». Получить доступ к таким форумам, по его словам, сложно – нужно иметь рекомендации от нескольких участников. Правда, он признает, что подобных площадок в теневом интернете много. Бывает, что создатели форума ссорятся друг с другом и открывают конкурирующие ресурсы. «Единого улья, где сидят злые хакеры, нет».

Все готово для атак

Кибертеррористы

В октябре 2016 года генеральный директор МАГАТЭ Юкия Амано заявил, что два-три года назад одна из атомных электростанций подверглась кибератаке, которая, впрочем, не нарушила ее работу. Под угрозой не только АЭС. Компания Darktrace, занимающаяся информационной безопасностью, заявила, что в 2016 году обнаружила как минимум четыре кибератаки на систему железных дорог Великобритании. Представители компании отметили, что это скорее была разведка, нарушений в работе не было. Уязвимость в системе подтвердили и эксперты «Лаборатории Касперского», которая де-юре зарегистрирована в Британии.

В России, по данным «Лаборатории Касперского», больше 10% промышленных объектов подвергаются хакерским атакам. «Это не значит, что они постоянно заражены. Часто мы узнаем об атаке, когда отбиваем ее», – говорит руководитель центра компетенции по защите критической инфраструктуры «Лаборатории Касперского» Евгений Гончаров. По его словам, сейчас растет проникновение технологий в промышленность, а значит, и уровень угроз. При этом атаковать могут даже не само предприятие: иногда доступ к его системе можно получить через компьютер компании, которая проектировала систему (у проектировщиков может оставаться удаленный доступ).

На предприятиях очень сложно быстро устранять даже известные уязвимости, объясняет Гончаров. Для этого иногда нужно остановить оборудование. Но у промышленных предприятий часто очень жесткие регламенты. Они физически не могут обновляться часто. Так, промышленные объекты становятся уязвимыми, особенно если речь идет об «уязвимостях нулевого дня», когда дырка обнаруживается в уже работающей программе. Гончаров отмечает, что есть закономерность: чем больше в стране говорят о такой опасности, тем меньше заражений.
Софт, задействующий такие уязвимости при атаках, можно купить в теневом интернете, но эксперт затруднился назвать их стоимость. «Я никогда не покупал. Знаю, что у нас два человека за неполные полгода нашли около 70 уязвимостей нулевого дня. Узнайте их зарплату и примерно посчитайте, сколько стоит их поиск», – сказал Гончаров. Деньги для хакеров не проблема: например, ущерб от действий группы Carbanak оценивается в $1 млрд (правда, сколько из этого досталось лично хакерам, неизвестно). «Это маленькая группа. ИГИЛ же может обучить сотню хакеров, которые будут каждый день искать уязвимости», – предупреждает Скотт.

Еще один способ заработка хакеров, как отмечают американские эксперты, использование программ-шифровальщиков. Если компьютер пользователя заражается такой программой, то данные на нем шифруются, а у пользователя требуют выкуп за возвращение доступа к данным. Если жертва платит, то хакеры, возможно, разблокируют компьютер. И Group-IB, и «Лаборатория Касперского» отмечают резкий рост числа таких атак в этом году. По данным «Касперского», количество подобных инцидентов за последние 12 месяцев увеличилось в два раза, а число новых модификаций шифровальщиков – в 11 раз.

Директор Центра внутренней и кибербезопасности при Университете Джорджа Вашингтона Франк Циллуффо, выступая перед представителями Конгресса США и Комитета внутренней безопасности в феврале этого года, называл хакеров ИГИЛ одной из растущих киберопасностей для США. «Поскольку кибервозможности террористов становятся все совершеннее, один из возможных сценариев – атаки террористов на критическую инфраструктуру США», – говорил Циллуффо. В России в декабре ФСБ представила проект закона «О безопасности критической информационной инфраструктуры», который должен улучшить защиту объектов. Необходимость в нем председатель Общественного совета при ФСБ России Василий Титов тоже объяснял ростом попыток массированных кибератак на объекты российской финансовой, информационной и другой «критически значимой для нормальной жизнедеятельности страны инфраструктуры».
Действительно ли объекты инфраструктуры можно так легко сломать? Гончаров рассказал, что «Лаборатория Касперского» уже дважды проводила соревнования Capture the Flag, когда перед специалистами ставилась задача взломать модель промышленной системы. В прошлом году победители конкурса взломали модель энергетического объекта за три часа, хотя им на это отводилось два дня. «Но нужно учесть, что это были, наверное, одни из лучших специалистов в отрасли. Не всем они доступны, и не всем они по карману», – говорит Гончаров. По его словам, хакеров такого же уровня он пока не встречал. Но это не значит, что они не появятся, да и на взлом у них будет больше времени.