erid 2SDnje4KwUm

От кардеров до шифровальщиков: как изменился медийный образ «русских хакеров»

Премия Securitymedia
От кардеров до шифровальщиков: как изменился медийный образ «русских хакеров»
От кардеров до шифровальщиков: как изменился медийный образ «русских хакеров»
08.02.2023

Медийный образ «злых русских» на Западе сформировался еще в 20-м веке, во время Холодной войны, часто использовался не только в кино (та самая «клюква»), но и в публичной политике. Сам образ не раз трансформировался, сохраняя свое смысловое ядро. Если до развала СССР он носил ярко выраженный милитари-оттенок, то в 90-е годы на смену ему пришла «русская мафия», под которой понимались все разнообразие иммигрантов из постсоветского пространства.

На смену обитателям «русского Брайтона» нашлись новые «злые русские» – хакеры. За последние двадцать лет они, правдиво или ложно, обвинялись и в многомиллионных кражах, и во влиянии на выборы США, и даже в шантаже первых лиц государств.

В этой статье будут разобраны основные изменения, которые произошли с «русскими хакерами», как с точки зрения их медийного образа, так и с точки зрения объективных факторов.

Национальный вопрос

Все без исключения ИБ-специалисты акцентируют внимание на том, что неверно говорить «русские», поскольку киберпреступность в принципе транснациональна, и верно говорить «русскоязычные».

И действительно, состав российских хакерских группировок очень разный, в них можно встретить представителей всего постсоветского пространства. Поскольку язык хакера позволяет определить его принадлежность к стране с той же вероятностью, с какой бита в машине позволяет определить бейсболиста, современные исследователи и киберкриминалисты используют комплекс метрик и признаков.

Алексей Дрозд

Руководитель отдела информационной безопасности «СерчИнформ»

Делать выводы о принадлежности хакеров в последнее время принято по совокупности признаков (используемые инструменты, ip-адреса, язык общения, комментарии в коде, публичные заявления и т.п.). Но все эти признаки можно либо подделать, либо мимикрировать под них. В целом нужно понимать, что у общественности есть ошибочное представление о русских хакерах. Если взлом произошел с российского ip-адреса, то это не значит, что атаковали русские хакеры. И, например, если произошел слив чатов с переписками на русском языке, то это не значит, что там переписываются русские хакеры.

Сейчас, на мой взгляд, основной экспортный медийный образ киберпреступников – это правительственные хакеры. Если раньше хакеры были «сами по себе», а государство – само по себе, то стремительный рост цифровизации внес коррективы. С помощью «хакинга» стало возможно оказывать влияние на целые государства (например, атаковать объекты КИИ). Как следствие, начали создаваться правительственные хакерские группировки.

Современная форензика находится на таком уровне, что специалисты могут не просто идентифицировать атаки как деятельность той или иной группировки, но и фиксировать переходы групп или отдельных злоумышленников из одной группировки в другую.

Но все это не имеет никакого значения в медиасреде, поскольку определение « русские» в западном обществе закрепилось еще с тех времен, когда все русские были советскими. Оно стало медиаобразом, который используется для привлечения аудитории к материалу и продвижения определенных идей.

Поэтому, несмотря на все старания специалистов по кибербезопасности, русскоязычные хакеры так и останутся «русскими», поскольку крупные СМИ будут использовать этот устойчивый нарратив столько, сколько он будет понятен их целевым группам.

Как изменились сами хакеры и их принципы

Фронтменами «русских хакеров» в двухтысячных стали так называемые « русские кардеры», деятельность которых легла в основу целого ряда книг и документальных фильмов. При этом, в массовых сознаниях укрепились два стереотипа:

  • они «грабили богатых»;
  • они не атаковали «своих».

Они служат основанием фундамента, который позволяет трактовать деятельность преступников как стечение обстоятельств, а в отдельных случаях – как форму борьбы: классовой, национальной, социальной или любой другой.

На практике же оказывается, что все проще. Для примера можно сравнить любого кардера с одиозным Джонни Диллинджером. Сложно представить, что Диллинджер прошел бы мимо банка, и пошел грабить, например, работницу прачечной. Хотя, если бы он был не Диллинджером, а рядовым мелким мошенником – вполне возможно, что обобрал бы и ее, поскольку банк ему просто не по зубам. То же самое справедливо и для хакера – он всегда хочет сорвать максимально возможный «куш».

Наравне с доходностью атаки, важен и уровень ее опасности. Диллинджер часто перемещался из штата в штат, что, в то время, влекло и смену юрисдикции властителей закона, которые им занимались. Поэтому его поимка стала возможна только после формирования спецгруппы, полномочия которой распространялись на всю территорию США.

С хакерами история та же – цели, которые находятся в юрисдикции или стран их проживания, более рисковые. Потому что, в те времена и сейчас, заявление жителя Санкт-Петербурга будет расследовано быстрее и с большей вероятностью, чем заявление жителя условного Буэнос-Айреса, при условии что злоумышленник находится в России.

С точки зрения принципов, современные хакеры не сильно отличаются от своих предшественников, однако серьезные изменения претерпела внешняя среда. В первую очередь – серьезно усилилась сегментация стран СНГ и постсоветского пространства в целом. Во-вторых, появились более продвинутые механизмы международного сотрудничества в области информационной безопасности, которые, если обратиться к кейсу поимки REvil, могут быть весьма эффективны, если группировка переступает некую незримую черту. Однако, в актуальных условиях геополитического кризиса это сотрудничество практически не работает.

Валерий Баулин

Гендиректор Group-IB в России и СНГ

Для того, чтобы нарисовать некий «экспортный образ» русскоязычной киберпреступности необходимо отталкиваться от актуальных киберугроз. Согласно нашему аналитическому отчету Group-IB «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023», киберугрозой №1 являются программы-вымогатели. В 2022 году самыми активными группами были Lockbit, Conti и Hive, большинство атак вымогателей приходилось на компании из США. Структура преступных группировок продолжает усложняться и все больше напоминает структуру легальных ИТ-стартапов со своей иерархией, системой найма, обучения, мотивации и отпусками.

Наиболее серьезными причинами успеха шифровальщиков в мире является использование ими ресурсов Dedicated Leak Sites, DLS, где злоумышленники публикуют похищенные данные компаний для более эффективного давления жертв, а также работа с партнерами по схеме (Ransomware-as-a-Service, RaaS). Разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и развертывания программ-вымогателей. За анализируемый период (H2 2021 — H1 2022) Group-IB обнаружила 20 новых публичных партнерских программ.

Стилеры стали второй по значимости киберугрозой 2022 года после программ-вымогателей. В 2022 году данные, украденные с помощью стилеров, вошли в топ-3 самого продаваемого «товара» в даркнете наряду с продажей доступов и текстовыми данными банковских карт (имя владельца, номер карты, срок истечения, CVV). Также русскоязычные скамеры, раньше работавшие в 2019-2021 по схеме «Мамонт» с курьерской доставкой, арендой, фейковыми свиданиями в 2022 году переключились на атаки с помощью стилеров для кражи данных с целью последующей монетизации.

Мы отмечаем рост спроса на рынке продажи доступов в скомпрометированные сети компаний подпитывает индустрию вымогателей с новой силой. За анализируемый в отчете период рынок продавцов доступов в даркнете вырос более чем в два раза, при этом средняя цена доступа уменьшилась вдвое по сравнению с аналогичным периодом ранее. Чаще всего злоумышленники реализуют свой «товар» в виде доступов к VPN и RDP (протокол удаленного рабочего стола). Всего Group-IB обнаружила 380 брокеров по продаже доступов к скомпрометированной инфраструктуре компаний, которые опубликовали более 2 300 предложений на даркнет-форумах. Самыми активными были злоумышленники под никами Novelli, orangecake, Pirat-Networks, SubComandanteVPN, zirochka — их предложения в сумме составили 25% от всего рынка продажи доступов.

Киберпространство за 20 лет существенно изменилось. В первую очередь – с точки зрения своих размеров и насыщения. Этот же тезис характерен и для методов взлома – они стали разнообразнее и «глубже», и постоянно обновляются. Соответственно, если раньше «лицом русского хакинга» были кардеры, то сейчас это прогосударственные APT-группировки, шифровальщики и хактивистские сообщества, названия которых появляются в заголовках мировых изданий.

При этом, важно понимать, что устойчивый медийный образ имеет и обратную сторону медали, поскольку и политические акторы, и СМИ, могут использовать его в самых разных целях. Например, прикрывая свои неудачи или с целью поставить под сомнение безопасность того или иного процесса, либо скомпрометировать оппонента.

Так что же в итоге изменилось?

Важно понимать, что в каждом регионе есть свои «злые хакеры», как правило – со своей территориальной принадлежностью. Однако, наиболее громкую славу, ввиду экономических аспектов и большого медийного ресурса, снискали те, кто атакуют так называемые развитые страны.

Михаил Прохоренко

Руководитель управления по борьбе с киберугрозами, BI.ZONE

Сейчас наиболее страшная медийная киберугроза — это ransomware-атаки, то есть атаки с программами-вымогателями, которые шифруют данные. Их применяют, чтобы получить выкуп за разблокировку устройств или систем. Без технологий шифрования невозможны конфиденциальность и анонимность, хотя ими и пользуются преступные группировки по всему миру.

Медийный образ русскоязычного хакера тоже изменился. Сегодня, по сравнению с нулевыми годами, хакеры стали более организованными, профессиональными и расчетливыми. Это уже не хулиганы, которые взламывают из любопытства, а преступники с отработанными схемами воровства. Анонимность в интернете развязывает им руки, а напряженные отношения между странами осложняют международные расследования, из-за чего злоумышленники остаются неконтролируемыми.

Так сложилось, что термин «хакер» ассоциируется у всех с незаконной деятельностью, вымогательством денег и т. п. А специалисты по кибербезопасности — с теми, кто стоит на страже порядка. Мир немного романтизирует образ хакеров, как когда-то романтизировал пиратов. На мой взгляд, слово «хакер» никогда не будет ассоциироваться с «белыми» offensive security — специалистами. Да и зачем: скорее «белые шляпы» перестанут называть себя белыми хакерами. Они будут просто либо специалистами по безопасности, либо исследователями, либо багхантерами. А слово «хакер» так и останется для «черных шляп».

«Русские хакеры» остаются медийным брендом, который имеет под собой прочное историческое и фактическое основание, поскольку российские «черные шляпы» остаются весомой угрозой для иностранных компаний. Однако, их активно теснят азиатские «коллеги», в первую очередь, представляющие Китай.

С точки зрения мирового сообщества и « широких масс», отношение к хакерам остается серым. Многие продолжают видеть в них «Робинов Гудов», борцов за социальную справедливость или интересы государства.

И только профессиональное сообщество остается оплотом здравого смысла, осознавая что любой человек, надевший «черную шляпу» – это преступник. И его деятельность должна оцениваться сугубо с точки зрения закона, а не национальности, принципов или территориальной принадлежности.


Читайте также


Комментарии 0