На чем зарабатывают хакеры
Исследование: успешный взлом приносит в среднем 14,7 тыс. долларов, но хакеры быстро сдаются
Организация Ponemon Institute провела опрос среди экспертов компьютерной безопасности, целью которого было выяснить, насколько прибыльны кибератаки. Также ставился вопрос о том, какова мотивация хакеров: либо это политика, какие-то репутационные интересы, либо сугубо материальные потребности. Исследование состояло из опроса 304 экспертов по угрозам компьютерной безопасности из США (158), Великобритании (70) и Германии (76). Как утверждает Ponemon Institute, все эти люди помогали деятельности организации или засветились на конференциях по компьютерной безопасности. Эксперты согласились участвовать в опросе на условиях анонимности, и достоверность данных полностью обеспечивается честностью ответов.
Опрос выявил, что наибольшую роль в мотивации взломщика играет именно материальная выгода. Исследователи пришли к простому выводу: преступники отдают предпочтение слабо защищённым системам и быстро сдаются, если наталкиваются на трудности.
Итак, типичный участник опроса — это мужчина от 18 до 40 лет, который является активным участником сообществ взломщиков. Опыт проникновения в системы разнится, многие занимаются этим годами. Новичков (менее 5 лет опыта) среди опрошенных почти не было (2 %). Большинство респондентов — фрилансеры, многие работают в сфере ИТ.
Для осуществления взлома нужны соответствующие знания и технические инструменты. В среднем хакер тратит 1367 долларов в год на специализированные наборы программного обеспечения для проведения атак. Использование подобного софта растёт, а само программное обеспечение высокоэффективно: 63 % заметили, что инструментами чаще пользуются, 64 % считают такие программы эффективными.
Что мотивирует людей с неплохими способностями в сфере информационных технологий осуществлять незаконную деятельность по проникновению в компьютерные системы? Респонденты отвечают, что это деньги: большинство считает, что атакующие мотивированы экономической выгодой.
Один из выводов, к которому приходит исследование — это то, что для защиты доступа к важной информации необходимо сделать взлом систем как можно более длинным. При выборе целей хакеры проявляют оппортунизм, говорят 72 % опрошенных. Они выбирают простые цели, взлом которых обещает выгоду, а хорошо защищённые системы заставляют отступить.
60 процентов атакующих меняют цель после 40 часов безуспешных попыток. Технически грамотный взломщик «открывает» типичную защиту менее, чем за 3 суток (70 часов) работы. Системы безопасности, которые взломщики называют «отличными», требуют в два раза больше времени — 147 часов. В среднем 209 часов попыток заставляют сдаться и перейти к другой цели. Впрочем, на взлом уходит всё меньше времени благодаря автоматизированным инструментам, говорят респонденты.
Для сравнения: официально трудоустроенный эксперт по ИБ зарабатывает в среднем около 60 долларов за час, но работает более 1900 часов в год. (С другой стороны, криминальную деятельность можно осуществлять в свободное время в качестве дополнительного дохода. Также ей может заняться житель страны победнее.) Сами респонденты тоже понимают, что blackhat-хакер мог бы зарабатывать лучше, работая «в белую» на какую-нибудь компанию или государственную структуру. Так считает 64 %.
🧨 Bug Bounty: как заработать на взломе
Vlada Korzun
Bug Bounty – программа вознаграждения, по которой исследователи (хакеры) ищут пробелы в цифровой безопасности компании. Когда заказчик решает воспользоваться услугами взломщиков, разрабатывается специальный документ – программа Bug Bounty. Иногда она зашивается в другие документы по безопасности. Там описываются условия, с учетом которых можно отправляться на поиски багов.
Если хакер первым находит проблему и высылает понятный и правильно оформленный отчет, он получает вознаграждение. Вознаграждение – не всегда деньги, поэтому внимательно читайте политики (программы), если вы планируете зарабатывать таким способом. В Bug Bounty хакеры идут не только за материальной наградой. Некоторые ищут опыт, зарабатывают репутацию, а также решают захватывающие задачи с сервисами и продуктами, которые их больше всего интересуют.
В свою очередь для компаний Bug Bounty – это шанс избежать многомиллионных затрат и репутационного ущерба в случае реального взлома.
Важно! Не путайте программы Bug Bounty с пентестом. Во втором случае заключается контракт с заведомо квалифицированным сотрудником, у которого есть четкие дедлайны. Оплата идет за время, а не за нахождение уязвимостей.
Программы Bug Bounty
Программы бывают публичными и приватными. Первые доступны всем, хотя иногда можно наткнуться на требования к опыту и предыдущим результатам. В приватные программы компания сама отбирает подходящих ей специалистов. Если вас пригласили в приватную программу, количество конкурентов существенно меньше, а потому шансы заработать выше.
Обычно заказчики начинают с приватных программ. Когда они уже в состоянии обработать большое количество отчетов, некоторые переходят в публичный формат. В свою очередь хакеры, у которых не было опыта в Bug Bounty, начинают с публичных программ, чтобы собрать портфолио и заслужить хорошую репутацию.
Программы размещаются на собственных сайтах заказчиков и в специальных платформах (подробнее о них – ниже). Многие компании создают такие программы, поэтому если вам хочется исследовать какую-то определенную организацию, стоит поискать информацию о Bug Bounty в ее документации по безопасности.
Платформы для взаимодействия хакеров и компаний
Чтобы компаниям было проще находить исследователей, а исследователям – интересующие программы Bug Bounty, существует много специальных платформ. Там происходит общение, туда хакеры присылают отчеты, а компании платят через эти системы вознаграждения.
Чтобы вас пригласили на привлекательные приватные программы, нужны хорошие показатели. В HackerOne такой показатель – репутация, которая начисляется в формате очков в зависимости от размера вознаграждения и критичности уязвимости. В то же время репутация может снижаться, если вы посылаете плохие отчеты или спам.
В разделе «Hacktivity» можно изучить последние найденные уязвимости. В профилях компаний еще есть раздел «Thanks» – что-то вроде доски почета.
2. Bugcrowd – достаточно популярная платформа, которая используется рядом известных компаний. У них есть таксономия серьезности уязвимостей, по которой оценивается работа хакеров и назначается вознаграждение. Компаниям не нужно отдельно прописывать в политиках, какие уязвимости к какому уровню серьезности относятся.
Образовательные программы здесь скорее для тех, у кого уже есть база по кибербезопасности. Они знакомят хакеров с особенностями работы с Bug Bounty. Уроки состоят из видео, презетаций и лабораторий для ДЗ.
В профилях организаций есть раздел с объявлениями («announcements»), где публикуются апдейты по разным вопросам. Те хакеры, которые отправили хотя бы один релевантный отчет по этой программе, публикуются в разделе «Hall of fame».
За хорошие отчеты дают очки. Еще есть значки за достижения, прямо как в игре.
Значки зарабатываются по уровням, с накоплением количества отправленных отчетов и найденных уязвимостей.
Какими бывают условия
В своих программах Bug Bounty большинство компаний указывают:
Примеры условий Bug Bounty от известных компаний
У них приватная программа, но можно исследовать и посылать отчеты, которые одобрят или нет. Запрещено использовать инструменты автоматизированного сканирования и тестировать DoS-атаки.
Чего ожидать от Bug Bounty
Темный лорд Русскоязычный хакер держит в страхе весь мир и зарабатывает миллионы. Кто он и как это ему удается?
Несколько лет крупнейшие компании мира жили в постоянном страхе. Они боялись стать жертвами одного из опаснейших киберпреступников современности — русскоязычного хакера под ником Fxmsp. Казалось, что он может проникнуть в сеть любой компании, — а за ним и любой другой, у кого хватит денег выкупить доступ. За свою недолгую карьеру Fxmsp заработал не менее 1,5 миллиона долларов, продавая услуги в темном интернете, и скомпрометировал более сотни сетей. Недавно специалисты из компании Group-IB сумели рассекретить личность «невидимого бога сети», чтобы правоохранителям было проще его отыскать. Что успел натворить плодовитый преступник и как его удалось обнаружить — в материале «Ленты.ру».
Первый шаг
Пользователь под ником Fxmsp впервые появился на хакерских форумах еще в сентябре 2016 года. Скорее всего, тогда он еще не обладал достаточными знаниями и опытом, необходимыми для продажи доступов к взломанным сетям, хотя ему уже было что предложить потенциальным покупателям. На этом этапе он решил майнить криптовалюту с помощью захваченных ресурсов: в ноябре он попросил помощи в поиске необходимого программного обеспечения. Но тогда получил лишь грубый ответ. Вскоре хакер вновь попытался найти нужную программу — в этот раз для заражения, но и тогда его усилия были бесплодными. До мая 2017-го Fxmsp затих, а потом вновь вернулся с несколькими вопросами в адрес «коллег».
В июне хакер забросил свой аккаунт на первом форуме, но при этом зарегистрировался на нескольких новых. Тогда он все еще планировал майнить Monero на захваченных мощностях. Но вскоре Fxmsp перепрофилировался, занявшись продажей доступа к взломанным корпоративным сетям. Первое объявление о продаже появилось в сети 1 октября 2017-го. Через несколько дней он уточняет жертву — ею оказался нигерийский банк. Делая первые шаги в незаконной деятельности, многие хакеры бывают неосторожны: они указывают в своих профилях контактные данные или оставляют иные заметные следы. Киберпреступник промахнулся, оставив для связи jabber, — благодаря этой информации его в итоге удалось вычислить.
Фото: Pilar Olivares / Reuters
Вскоре список лотов от Fxmsp пополняют сеть премиальных отелей по всему миру, африканский банк с многомиллиардной капитализацией и база данных российской таможни в паре городов, а также банкомат, тоже находящийся в России. Видимо, ему все-таки удалось найти покупателя, потому что «таможенный» лот был быстро снят с продажи. Однако на форуме хакера заблокировали за компрометацию российских сетей. Русскоязычные киберпреступники стараются не работать с «зоной ру», чтобы не попасть под суд. Хакеру пришлось удалить объявления, чтобы восстановиться в правах на форуме.
В январе 2018 года Fxmsp пришлось рассказать больше о своих покупателях, — по его словам, их было уже 18. Таким образом он отреагировал на недоверие коллег — те полагали, что хакер обманывает их, рассказывая о своих «подвигах» по захвату сетей. С октября 2017-го до конца июля 2018-го Fxmsp опубликовал объявления о продаже доступа к сетям 51 компании из 21 страны мира. Совокупная цена лотов превысила 268 тысяч долларов. К этому моменту взломщик решил доверить реализацию лотов личному менеджеру по продажам. Им стал пользователь Lampeduza, который также использовал на других форумах ники andropov, Gromyko, BigPetya, Nikolay, Antony Moricone и другие.
Расцвет империи
В сентябре 2018 года Lampeduza написал в одном из рекламных объявлений: «У вас будет полный доступ ко всей сети компании. Вы станете НЕВИДИМЫМ БОГОМ СЕТИ». Основная его активность пришлась на осень, как только Fxmsp уполномочил его продавать свой «продукт». За этот короткий срок хакер вышел на новый уровень: на форуме было выставлено 62 лота общей стоимостью 1,1 миллиона долларов. Однако вскоре схема чуть не развалилась: пользователь g0rx создал топик, где рассказал, что Fxmsp и Lampeduza одновременно продают доступ к сети разным людям, что запрещено правилами. По его словам, его знакомый купил у хакера доступ к взломанной корпоративной сети компании в ОАЭ, однако позднее сам g0rx также получил предложение купить такой доступ. Более того, в скопрометированной сети были обнаружены майнеры криптовалюты. В ответ Lampeduza объявил, что больше не сотрудничает с Fxmsp, но администрация хакерского форума заблокировала обоих. Предполагается, что они стали сотрудничать с узким кругом покупателей, в которых были уверены. Вернулись подельники на андеграундные площадки только в марте 2019-го.
Известно, что Fxmsp не использовал фишинговые рассылки для атак (классический способ проникновения в сеть). Исследователи считают, что он проводил не целенаправленные, а скорее массовые атаки. Его нападение состояло из нескольких этапов. Первый — сканирование диапазона IP-адресов с помощью специальной программы Masscan и других сканеров, чтобы обнаружить открытые RDP порты (3389). Обнаружив потенциальную жертву с открытыми портами, он пытался распознать данные учетных записей (например, логины, чтобы далее подбирать лишь пароли). Далее хакер проводил брутфорс, то есть поиск верного пароля с помощью подбора. Следом происходило закрепление в сети, отключение антивирусов и файервола, захват доступа к контроллеру, установка бэкдора. Fxmsp ставил бэкдоры на бэкапы: если бы вдруг его деятельность заметили, администрация сети бы сменила пароли и «откатила» систему. Хакеру было важно, чтобы и на «откатном» варианте у него был доступ к сети. После захвата доступ можно было продавать.
Апогей карьеры Fxmsp пришелся на апрель 2019 года: тогда компания AdvIntel заявила, что хакер сообщил о взломе сетей крупнейших производителей антивирусного обеспечения, а также завладел их наработками и даже исходным кодом. В качестве жертв он назвал McAfee, Symantec и TrendMicro (первые две компании официально опровергли данные о взломе). Цена лота составила рекордные 300 тысяч долларов. Lampeduza, в свою очередь, открестился от связи с этой утечкой, а в мае заявил, что больше не работает с Fxmsp. Предполагается, что разлад произошел из-за повышенного внимания общественности и медиа к паре хакеров. Тем не менее это не мешало Lampeduza продавать доступ к сетям проверенным клиентам в приватной переписке. В следующий раз публичное объявление на андеграундном форуме появилось лишь 19 сентября 2019-го, новой жертвой стала компания из Германии. Оценить реальный заработок взломщика невозможно, так как далеко не все лоты были обнародованы, но только на официально опубликованных объявлениях он мог получить более 124 тысяч долларов.
Тайное становится явным
Fxmsp, по оценкам специалистов, является одним из опаснейших преступников в своей сфере. При этом продажа доступа к корпоративным сетям все-таки считается довольно редкой услугой, которую предоставляет небольшое количество взломщиков. Обычно Fxmsp использовал в работе свой уникальный ник, благодаря которому его и удалось отследить. Его выдал псевдоним: специалисты Group-IB нашли одноименный почтовый ящик на одном из почтовых сервисов в зоне ru. Несмотря на то что киберпреступник никогда и нигде не «светил» электронную почту, исследователи убедились, что именно ее он использовал для регистрации на хакерских форумах (среди них называются lolzteam, proxy-base, exploit и другие).
Кроме этого ящика, был еще и резервный — на другом хостинге, они были привязаны друг к другу. При этом преступник указал, что первая буква должна быть заглавной, — точно так, как он себя называл на андеграундных форумах. Это подтвердило догадки специалистов. Им также удалось обнаружить привязанные к почте аккаунты Skype и зарегистрированный на нее домен. В WHOIS нашлись данные: номер телефона, обслуживающийся одним из провайдеров Казахстана, а также имя andrej a turchin. Также на этот адрес зарегистрирован аккаунт в соцсети «Мой Мир».
Еще одной зацепкой стала информация из Jabber-аккаунта хакера, ссылку на который он разместил на форуме. Там же он почему-то указал дату рождения — 5 декабря. Основываясь на этих данных, исследователи нашли еще один похожий аккаунт: по их мнению, он также принадлежит хакеру, так как его активность и интересы полностью совпадают с «работой» Fxmsp. К примеру, в руки специалистов попал «нарисованный» скрин, где виден домен в зоне ae (ОАЭ), — доступ к такой компании продавал хакер. Через второй Jabber-аккаунт, а именно его никнейм помог расследователям выйти на одноименный почтовый ящик, который, как выяснилось, также был использован для регистрации четырех доменов. Там также фигурировал некий turchin a andrej. На этот же адрес зарегистрирован профиль «ВКонтакте», и одно из фото в аккаунте повторяет снимок в «Моем Мире».
Еще один почтовый адрес, связанный с предполагаемым хакером, использовался для регистрации множества различных доменов, их число превышает 60. Большая часть относится к биржевой торговле и ее автоматизации. Предполагается, что они также могли использоваться для заражения вредоносными программами (например, вирус, распространяемый через рассылки SMS-сообщений).
Исследователи пришли к выводу, что скорее всего верно напали на след русскоязычного хакера, который также оказался известен под никами uwert, bosslb и vidi. Им удалось выяснить адреса четырех связанных электронных ящиков, два профиля в ICQ и множество разных аккаунтов на андеграундных форумах. Сейчас Fxmsp приостановил активность, однако, по самым скромным оценкам, менее чем за три года ему удалось скомпрометировать более 135 компаний в 44 странах (в их числе США, Россия, Великобритания, Сингапур, Италия, Франция, Нидерланды, Япония и Австралия): в большинстве случаев это была сфера легкой промышленности, IT и розничной торговли. Десятая часть всех взломов — государственные компании. Сколько хакер заработал на тайных приватных сделках, выяснить вряд ли удастся, но, по самым скромным оценкам, продажа публичных лотов принесла ему как минимум 1,5 миллиона долларов.
Мистер робот и русские хакеры: как кибербандиты зарабатывают миллионы
Мы уже рассказывали о мошенниках, прославившихся на всю страну. Но мог ли кто-то из них представить, что через десятки лет их коллеги будут грабить людей, сидя за ноутбуком? Сегодня преступники реже промышляют домушничеством и вооруженными нападениями, предпочитая наживаться за счёт умений в программировании.
Виды киберпреступлений
Киберпреступления, как и обычные, можно разделить на степени тяжести. Вряд ли тебе впаяют 20 лет заточения за взлом странички бывшего одноклассника ВКонтакте. Но если начнешь шантажировать его слитыми переписками и откровенными фотографиями, то прокуратура точно заинтересуется. У этого явления есть название — «секс-шантаж». Хакеры стараются проникнуть в аккаунты звезд в поисках ню-фото с целью вымогательства. Один из самых громких скандалов на этой почве связан с Дженнифер Лоуренс. Звезда «Голодных игр» не раз становилась жертвой взлома iCloud, теперь ее фотографии есть на любом порносайте. Нарушители атаковали не только Лоуренс, но и других знаменитостей. Но полиция обнаружила виновных, и их приговорили к тюремным срокам — от 9 до 18 месяцев. Один из участников дела, Джордж Гарофано, после освобождения ещё три года будет под надзором спецслужб.
Полмиллиона, конечно, большая сумма, но для хакеров это не предел. Есть среди них организаторы настоящих киберсиндикатов, терроризирующих целые страны. Например, в 2003 году на Тайвань обрушились трояны, отправленные из китайских провинций. Тогда пострадали десятки частных компаний. Кибервойны и кибертерроризм гораздо опаснее, и за них предусматриваются совсем другие наказания.
Самые опасные киберпреступники
Кевин Митник в рождественскую ночь 1994 года осквернил честь и достоинство Цутому Симомуры, ведущего американского специалиста по компьютерной безопасности, взломав его домашний компьютер. Пострадавший Симомура задался целью поймать Митника, ведь тот серьёзно пошатнул профессиональную репутацию Цутому. К тому же, помимо украденных файлов, хакер хорошенько позлорадствовал над жертвой, оставив голосовое послание с оскорблениями. Преступника волей случая поймали уже в феврале 1995 и упекли за решётку на 11 месяцев, хотя ущерба он принес на 80 миллионов долларов. Несмотря на решение суда, он отсидел 4 года и позже стал сотрудничать с государством. Иронично, но сегодня он является знаковой фигурой в сфере информационной безопасности США.
Fin7 — это реальное воплощение группировки «Fuck Society» из сериала «Мистер Робот». Они украли около 1 миллиарда долларов, взламывая сайты компаний в США и во всем мире, получили доступ к реквизитам 15 миллионов кредитных карт. Методы их атак эффективны: например, рассылкой фишинговых писем они положили на лопатки сеть ресторанов быстрого питания «Burger Gourmet Burgers and Brews». Сотрудники, не обладавшие должными знаниями, открывали послания, которые выглядели как обычные жалобы клиентов. Но этого «Fin7» было достаточно для кражи данных. Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского» заявил:
«Современные кибергруппировки можно сравнить с мифической Лернейской гидрой: ты отрубаешь одну голову, и на ее месте сразу же вырастают новые».
Евгений Богачёв. В 2017 году американские спецслужбы считали преступником номер один россиянина Евгения Богачёва. За его поимку Штаты пообещали 3 миллиона долларов — ни за одного хакера никогда не предлагали больше. Власти США подозревали преступника в сотрудничестве с российскими ведомствами. Вирус Gameover ZeuS, созданный Богачёвым, охватил огромное количество американских компьютеров: вредоносное ПО использовалось для банковского мошенничества. Евгений на этом сколотил состояние, на которое купил две виллы во Франции, но в США считают, что он укрывается в России. На сегодняшний день он до сих пор не пойман.
Никита Кузьмин знаменит не только благодаря отцу-музыканту Владимиру Кузьмину. В начале нулевых он промышлял примитивными методами киберпреступлений: воровал аккаунты в Аське и требовал деньги за их возврат. Это принесло ему больше 20 тысяч долларов, но на этом он не остановился — и нанял программиста, который по проекту Никиты написал троян Gozi. Но цели на программу для взлома банка у Кузьмина были другие: он сдавал софт в аренду преступникам. Прайс: 2 тысячи долларов за неделю пользования.
«Зачем тебе Zeus? Используй мой троян. Мой намного круче».
Так сын музыканта продвигал своё творение заинтересованным. Конечно, в рекламе ему следовало бы попрактиковаться, но даже этих навыков хватило для того, чтобы хакеры взломали компьютеры по всему миру на 50 миллионов долларов. Его арестовали в Америке в 2010 году, и в совокупности всех обвинений Кузьмин должен был получить 97 лет заключения, но отсидел всего 5.
Простейшие методы защиты
Сегодня каждая крупная компания имеет в составе сотрудника, отвечающего за кибербезопасность, а в правительствах стран обязательно есть специалисты в этой области. Они призваны защитить файлы от нападений хакеров, следить за эволюцией атак и делать все возможное для защиты информации компании. В первую очередь в обязанности специалистов входит инструктаж остальных сотрудников организации о простейших методах безопасности, вот несколько из них:
Но это лишь простейшие меры предосторожности. Чтобы препятствовать серьезным атакам, фирмы ломают свои же ресурсы. Это делают тестировщики: они выявляют слабости в системе для последующей модернизации и работают над улучшением безопасности. В этом помогает криптография — наука, основанная на следующих принципах:
Кибербезопасность — трудная тема, которую невозможно осилить непрофессионалу. Но защитить себя и фирму, в которой ты работаешь, можно, соблюдая простые инструкции.
Раскрыт средний заработок хакера-вымогателя за одну атаку
Группировки хакеров-вымогателей получают в среднем 570 тысяч долларов от каждой компании, ставшей их жертвой. Такие данные раскрыли аналитики подразделения Unit 42 компании Palo Alto Networks, которые проанализировали размер выкупов, выплаченных в первые шесть месяцев текущего года.
Эксперты отмечают, что сумма, которую получают преступники, увеличилась в сравнении с прошлым годом на 82 процента (с 312 тысяч долларов). Резкий рост аппетитов хакеров связали с последствиями пандемии коронавируса: многие организации перевели сотрудников в онлайн, что расширило и размыло периметры безопасности и в целом снизило уровень защиты.
При этом самый крупный выкуп, о котором было объявлено официально, киберпреступникам выплатили в компании JBS USA — американском подразделении бразильского гиганта мясной промышленности JBS S.A. Речь идет об 11 миллионах долларов, переведенных хакерам после того, как они почти полностью остановили производство.
В Unit 42 отмечают, что средняя сумма выкупа, который хакеры изначально требуют от своих жертв, увеличилась на 518 процентов: с 847 тысяч долларов до 5,3 миллиона долларов. Это позволяет сделать вывод, что киберпреступники в итоге соглашаются прекратить атаку за сумму, составляющую около десяти процентов от первоначально заявленной.
Эксперты также перечислили основные способы, которые применяют вымогатели: шифрование чувствительной и конфиденциальной информации, кража сведений под угрозой раскрытия ее общественности или конкурентам, нарушение работы различных веб-сервисов жертвы, ведущее к остановке деятельности, а также угроза обнародования факта взлома в условиях, когда это приведет к репутационным потерям.