Сергей Голованов: кибервойну против России ведет IT-армия

Главный эксперт «Лаборатории Касперского» Сергей Голованов. Архивное фото

– Я скажу так: это не первый конфликт, во время которого активизируются хактивисты. Точно такой же был и в 2014 году, и в 2008 году. Похожее наблюдалось и в Эстонии, когда сносили памятник Воину-освободителю, и переносилось кладбище советских солдат. Естественно, что военные конфликты отражаются на конфликтах в интернете со всеми вытекающими из этого последствиями.

Единственное, что после 24 февраля произошло новое – это то, что одна из сторон официально объявила, что создается IT-армия, пригласила в нее всех желающих и регулярно указывает цели для атак. Получается государственная координация на уровне министерства цифровой трансформации Украины. Такого раньше не было. А все остальное, что связанно с DDoS-атаками, рассылками вредоносных программ и так далее – это мы уже видели много-много раз, причем связанных не только с Россией. Были конфликты и другие, например: Пакистан-Индия, Индия-Китай, Китай-Япония.

– Я бы сказал кибероперации. Что произошло 24 февраля? У хакеров были порывы именно навредить, то есть ничего не украсть – ни деньги, ни базы – просто все уничтожить. И выгоды для злоумышленников в этом никакой. Однако, прежде чем что-то уничтожить, они копировали это себе, после чего в интернете появилась куча утечек. Так хакеры демонстрировали свои успехи. Более того, к этому процессу подключились телефонные мошенники, они полностью перешли на психологическое давление, начались звонки из серии: «вам звонит Зеленский», «ваш сын у нас», «остановите войну». И даже были случаи, когда шифровальщики, попав в компанию, все шифровали, остановив ее работу, но выкуп не требовали.

То есть после 24 февраля доля киберинцидентов, связанных с политикой, возросла, но все равно осталась небольшой. Все остальное– подавляющее большинство атак продолжают проводиться с целью заработать.

Кроме того, надо понимать, что хакерские атаки ведутся по обе стороны баррикад. Нет такого, что в России стирают данные или выкладывают их в общественный доступ, а на другой стороне инцидентов нет. Все то же самое. Противоборствующие группы общаются обычно либо в Telegram, либо в Twitter, но анонимно, в жизни они не пересекаются. Мы видим, что сейчас различные группы принимают ту или иную сторону.

– Если вы посмотрите на таблицу, которую ведут в открытых источниках, то вы увидите, что те, кто за Россию – в меньшинстве (в одном из Telegram-каналов ведется список хакеров, участвующих в кибервойне на стороне России или Украины. По данным на конец мая, в ней около 70 группировок – ред.). Русскоязычных специалистов по информационной безопасности в мире намного меньше, чем англоязычных. Это факт.

– Перебои все-таки были. Из-за санкций, ухода вендоров, огромного количества DDoS-атак. Но то, что спустя несколько месяцев, мы все еще платим картами, а банкоматы выдают наличность, показывает, что в принципе выстояли. Никто с этим спорить не собирается.

В любой компании, в том числе и в банках есть такое понятие, как отказоустойчивость, и некоторые участники рынка, например, требовали, чтобы их уровень доступности был 99,99%, то есть система может быть недоступна пять минут в год. Так вот, после 24 февраля никто таких планок не ставит. Уже понятно, что система в этом году могла не отвечать и пять минут, и 10, и 15. Если говорить об ApplePay, например, то системы вообще не работали. Поэтому уровень доступности, конечно же, снижается, но он продолжает оставаться довольно высоким. Будет не 99,99%, а просто 99%, и получится, что система будет недоступна условно два дня в год. Два дня в год сможете обойтись наличными? Сможете. Что-то изменится после этого? Нет.

– Это другая проблема, она с хакерами никак не связана. Это больше связано с финтехом, закупками оборудования и специалистами. Из-за санкций вендоры, которые производят «железо» и программы, не предоставляют свои услуги российским финансовым системам, институтам. И получается, что текущее оборудование и дальше будет работать, есть люди, которые смогут обеспечить эту работу, а вот внедрение нового теперь под очень большим вопросом. То есть будущее развитие отрасли под вопросом.

– Мы это все изучали. Это открытые данные. Есть настоящие инциденты – боевые, а есть – шум. Помните историю с Burger King? Их тоже атаковали за то, что они не ушли из России. После чего эта компания опубликовала официальное сообщение с советом успокоиться и идти «делать уроки». И такие же хактивисты пытались взломать «Роскосмос». «Лабораторию Касперского» уже якобы два раза взломали, я помню эти моменты. После изучения оказалось, что были выложены давно опубликованные данные. Никто после таких случаев подобным хакерам не верит. Но, к сожалению, на сообщения о таких инцидентах точно также приходится реагировать. Это как ситуации с ложным минированием.

– Пятьдесят на пятьдесят. Например, появилась в Telegram-канале информация, что взломана такая-то компания, появляется образец данных, которые якобы украли. Ты приезжаешь в эту компанию, ищешь компьютер, где хранились эти данные, и выясняешь, что такого компьютера просто не существует. Взлом оказался просто фейком. То есть выезжая по вызову об инциденте, в половине случаев нужно понимать, что ты едешь просто так.

– У нас много статистики. На моей памяти, это первый такой конфликт, который мы подробно отслеживаем и описываем с помощью графиков. Отвечая на вопрос о том, что будет дальше, я могу на примере этих графиков объяснять.

С телефонным мошенничеством график выглядит так: уровень атак ползет верх, затем наступает 24 февраля, он резко падает, и несколько недель идет значительно ниже значений, которые были до начала спецоперации. Потом уровень потихоньку начинает подниматься и в конце концов за одни сутки резко вырастает в два раза.

А потом в апреле началась гармоника– то рост обзвонов, то резкое падение, потому что их блокируют. В середине мая гармоника стала потихонечку выпрямляться, то есть всплеск переходит в затухающую волну. Таким образом, если говорить о том, что будет дальше, то судя по графику, все нормализуется через месяц. То есть придет к тому же уровню, какой был до 24 февраля.

Если мы возьмем график, например, торговли данными карт российских банков в интернете, то он тоже интересно выглядит. Наступает 24 февраля, и количество объявлений «продам картон» такого-то банка падает. Проходит несколько недель – число объявлений резко выросло, а потом также резко упало, и больше уровень не поднимался. С апреля 2022 года русские карты, видимо, хакерам не нужны –за рубежом они на них ничего купить не могут. Получается, что для карточного мошенничества остаются только возможности в России.

– А чем вы его обуславливаете? Телефонные мошенники размножатся? У них появятся дети? И дети тоже будут телефонными мошенниками в течение нескольких месяцев? Нет причин, что злоумышленников станет больше. Но уровень вернется к показателям последних месяцев перед февралем.

– У телефонных мошенников, как и у компаний, есть показатели эффективной работы, и есть сценарий, по которому они работают. И если один сценарий перестает работать, появляется следующий, чтобы поддержать уровень денег, которые зарабатываются. Сценарий меняется, но драматических изменений он не претерпел: вам все еще звонит либо робот, либо человек, он все еще представляется банком или правоохранителем, и дальше начинаются вариации, они могут быть связаны с тем, что против вас якобы уголовное дело возбуждено и так далее. Помню легенду о том, что Центробанк заморозит все счета граждан для спонсирования специальной военной операции. В любом случае, часто истории сейчас связаны с конфликтом. Но кардинально нового в схемах мошенников нет. Например, когда в 2021 году звонки от «сотрудников службы безопасности банков», к которым выработался иммунитет, сменились обзвонами «правоохранителей», то это изменение было драматическим. Эффективность телефонного мошенничества тогда выросла. Сейчас этого нет, и единственное, чем злоумышленники берут, это массой звонков.

– Меры борьбы, которые сейчас принимаются, это блокировки. Пошла волна – ее сбивают, отсюда эта гармоника на графике, о которой я рассказывал. При этом уже не стоит вопрос, где искать всех этих мошенников. Будем надеяться, что рано или поздно их привлекут к ответственности. Но что делать прямо сейчас с такими звонками? Блокировать.