Взлом как бизнес. Зачем нужны хакеры по подписке и сколько это стоит?

Многие исследователи в этом году говорят об увеличении интереса бизнеса к кибербезопасности и ее инструментам. Этот процесс во многом обусловлен актуализацией рисков информационной безопасности, которые базируются на целом ряде факторов, от геополитической напряженности до упрощения доступа к вредоносному ПО и снижению «порога вхождения» в хакерскую деятельность.

Мир кибербезопасности неразрывно связан со своим «визави» – миром хакинга, который также не стоит на месте. Развиваются не только сами инструменты взлома и другое ВПО, но и модель дистрибуции хакерских услуг. Злоумышленники активно используют инструменты менеджмента и маркетинга, продвигают свои услуги с помощью рассылок и ведения аккаунтов, блогов в социальных сетях, используют другие инструменты позиционирования и продвижения.

В этой статье мы разобрали основные особенности хакинга как бизнеса, модели предоставления услуг и продвижения таких сервисов через разные каналы, а также сама набор услуг, который хакеры предлагают своим клиентам.

Кратко об этичном хакинге

Первым делом стоит сказать о сфере, которая стоит особняком от нелегальной активности – о « белом» хакинге. Формально, хакинг становится « белым» при наличии двух признаков:

• заказчик и «жертва» – это одна и та же компания;
• у хакера нет прямой задачи эксплуатировать выявленные уязвимости.

Случаи, когда компания заказывает атаки сама на себя, достаточно распространены. Цель компании в этом случае – протестировать защищенность своих ресурсов в максимально «полевых» условиях.

Иван Король

разработчик ПО Anwork

Для компаний, которые разрабатывают ПО или приложения для обеспечения информационной безопасности услуги хакеров становятся важной необходимостью. Несмотря на то, что они стоят недешево – средняя стоимость пентеста (тестирование на проникновение) составляет от 4 тыс. долларов для представителей среднего бизнеса до более чем 100 тыс. долларов для крупных холдингов, - эти расходы значительно меньше, чем издержки от кражи персональных данных. Например, по данным экспертов, средняя сумма убытков компании от утечки контактов клиентской базы начинается от 9,44 миллиона долларов. Кроме того, заблаговременная проверка цифрового продукта на уязвимости с помощью независимых специалистов повысит его качество, соответственно, лояльность пользователей, а также позволит сократить трудозатраты на последующее устранение рисков.

Именно поэтому IT-компании перед запуском продукта зачастую выставляют его на хакерских сайтах и форумах, в том числе, и в даркнете. Объявляя вознаграждение за поиск и анализ «слабых» мест продукта, а также за предложения по их устранению, бизнес экономит в разы больше, причем не только в вопросах финансов, но и репутации. Услуги «белых» хакеров становятся все более востребованными не только для коммерческих организаций, но и для государственных сервисов. Об этом свидетельствует, тот факт, например, что в России обсуждается вопрос легализации понятия bug bounty на законодательном уровне и использования услуг «белых» хакеров на постоянной основе.

Однако, активность белых хакеров сопряжена с высокими рисками в том случае, если:

• не был заключен договор на тестирование инфраструктуры;
• хакер работает не через платформу bug bounty.

При таких исходных данных нет никаких гарантий, что «белый» пентестер не станет фигурантом уголовного дела за взлом корпоративных сетей. Поэтому « белые», легальные хакеры, обычно и работают «в белую»: после заключения договора или через специальные платформы, которые выступают арбитром в случае возникновения спорных ситуаций.

«Флагманы» хакерского бизнеса

Как и в любой отрасли, в хакинге есть крупные игроки, которые получают наибольший доход и, помимо этого, влияют на сам рынок, его тренды и другие параметры. К таким, например, можно отнести, три вида «системообразующих организаций».

Владельцы площадок

Глобально, у хакинга есть две модели. Первая ориентирована на получение прибыли с жертвы, через вымогательство. Вторая – на получение денег «с клиента»: покупателя базы данных, заказчика пробива, желающего навредить конкурентам DDoS-атакой и тд.

Вторая модель не может существовать без торговых площадок. Как правило, они представляют из себя классические форумы с интерфейсом «аля имиджборд»: есть ветки форума, темы (треды) и сообщения пользователей с разного рода предложениями.

Эти доски объявлений нужно создать, администрировать, поддерживать. Особо развитые сервисы предлагают дополнительные услуги. Например, выступают в роли гаранта между покупателем и продавцом, что можно назвать элементом маркетплейс-системы. Борьба с такими платформами – очень сложный процесс.

Александр Герасимов

CISO Awillix

Во-первых, это использование анонимных ресурсов. Площадки располагаются в торе. Тем, кто занимается расследованиями не известен основной сервер и где он находится. Никто не знает реальный IP-адрес площадки. Чтобы найти его нужно провести разведку и супер расследование. Внедряться в команду этой площадки, под видом администратора, попытаться найти концы.

Во-вторых, это использование анонимных платежей в виде криптовалюты.

В-третьих, те, кто занимаются разработкой таких площадок все-таки заботятся о своей анонимности. Люди, которые разрабатывают и поддерживают эти ресурсы, работают либо на большом доверии друг к другу, либо делают маленькие отдельные модули, которые могут разрабатываться независимо друг от друга и от итогового продукта. То есть подрядчики могут быть разные и часто меняться. Как правило, это какие-то доверенные люди, у которых нет доступа к самой инфраструктуре. Они выполняют только свою моно-задачу.

Но, даже если ты знаешь, кто конкретно стоит за этой площадкой, достаточно сложно доказать этот факт. Нужно собрать очень много доказательств, используемый IP-адрес, и что конкретно этот человек заходил на сервер со своего ноутбука.

Можно добавить, что дополнительные сложности создаются в тех случаях, когда инфраструктура площадки и ее модераторы рассредоточены в нескольких государствах, и, соответственно – процесс их поимки и блокировки ресурса должен происходить сразу в нескольких юрисдикциях. Подобные события, обычно, серьезно сказываются на рынке, но и происходят крайне редко: из актуальных примеров в Даркнете можно привести разве что закрытие площадки Hydra, которая не была связана с хакингом, но модерировалась по сходным принципам.

Производители ВПО

Стрессеры, стиллеры, руткиты, брутфорсы и прочие вредоносные программы – достаточно сложны. Их производство, как правило, требует высокого уровня технических компетенций и нередко занимает значительное время.

Одна из форм монетизации такого ПО – это его дистрибуция по моделям MaaS, RaaS и тд. ВПО «как услуга» может обойтись покупателю от нескольких сотен до десятков тысяч долларов, в зависимости от характеристик и назначения конкретной программы и ее эффективности.

Глобально, «рынок производителей» можно поделить на две ветви, по их целевой аудитории:

1. Те, кто ориентирован на массовую аудиторию. Как правило, это продавцы стрессеров или брутфорс-программ. Такое ПО часто используют новички, хактивисты и просто не искушенные в хакинге люди, поэтому для них важны такие параметры, как нативность интерфейса, наличие локализации языка и другие элементы, которые делают процесс эксплуатации ВПО проще.
2. Те, кто ориентируются на профессиональную аудиторию. Например, производители программ-шифровальщиков, вайперов и другого специфичного ПО. Для таких программ главный маркер – это эффективность, и если она высока, то их будут использовать независимо от нативности и «юзабилити».

При этом, поставляться ПО может по разным моделям оплаты. Например, с разовой оплатой программы или работой по подписке. Особо «эксклюзивные» сервисы могут и вовсе предоставляться за определенный процент от полученной хакером прибыли.

Профессиональные хакерские группировки

Профессиональные команды можно назвать лицом хакерского сообщества, поскольку они, как правило, привлекают наибольшее внимание как со стороны ИБ-специалистов, так и со стороны обычных людей, которые читают об их атаках в СМИ.

Эрнест Раевский

Head of Crypto, GetExperience

Конечно же взлом с целью получения выкупа – не единственный инструмент. Например, группировка Anonymous получила свою известность благодаря разным громким кибератакам на MasterCard, Visa и PayPal в 2010 году, тем не менее, о них говорят и позже. Anonymous придерживается определенных жизненных принципов, поэтому были и другие яркие кибератаки, например, на правительственные сайты, и они не несли за собой цель наживы.

Рынок хакеров на любой вкус и цвет. Здесь есть и отдельные сайты, форумы, а есть действительно подобие маркетплейса: обмен между заказчиком и хакером происходит через гаранта, работающего за процент от сделки. Существуют также сервисы автогарантов, но они менее популярны.

Как правило, профессиональные группы занимаются APT-атаками, которые занимают достаточно много времени, но позволяют получить высокий доход за счет продажи «рентабельных» данных или получения выкупа с компании-жертвы.

Чтобы оценить разность подходов к позиционированию и продвижению можно рассмотреть два примера группировок: Anonymous и Conti. Первая группа активно ведет свой твиттер-аккаунт, периодически делает политические заявления и активно «заигрывает с аудиторией», пытаясь создать себе образ «благородных разбойников».

Conti наоборот, служит примером хакерского профессионализма, поскольку большая часть информации о группе получена из отчетов о расследовании их атак. Их главный маркер – это сосредоточение на коммерческой деятельности и заработке денег. В отличие от Анонимусов, широкой аудитории они известны куда меньше и особо не интересны, поскольку никаких заявлений, кроме условий выкупа, никогда не делали.

«Малый и средний» хакерский бизнес

Огромное количество людей в мире хакинга занимаются гораздо менее громкими и значимыми вещами, чем те, что были перечислены выше. В этом сегменте градация довольно условна, поскольку обусловлена не видом деятельности, а объемом предоставляемых услуг.

Условно, к среднему сектору можно отнести злоумышленников, которые занимаются вопросами недобросовестной конкуренции. К такого рода активности можно отнести фишинг, DDoS, предоставление доступа к ранее взломанной инфраструктуре или продажу клиентских баз, других баз данных пользователей.

Интересно, что свои услуги злоумышленники продвигают в том числе и через « белые каналы» маркетинга. Например, через тг-сообщества и чаты, а также через емайл-рассылки. Например, Алексей Лукацкий в своем канале выкладывал образец такого предложения «киллерского прогона сайта конкурентов», который пришел на его почту. С одной стороны, это говорит о наличии большой « холодной базы» в руках злоумышленников, с другой – о ее низком качестве, поскольку ИБ-специалисты вряд ли попадают в категорию целевой аудитории для хакерских услуг.

Иван Чернов

Менеджер по развитию UserGate (эксперт в сфере информационной безопасности)

Рынок услуг хакеров, скорее, представляет собой взаимодействие отдельных звеньев цепочки этого сегмента преступного мира. Например, одни могут искать уязвимости в корпоративных сетях, проникать туда и организовывать доступ, но при этом их цель – не воспользоваться доступом, а продать его другим злоумышленникам, которые преследуют уже другие цели – например, кражи данных с целью продать их снова – уже третьей группе злоумышленников. Таким образом, у каждой группировки хакеров – своя специализация, но, так или иначе, цепочка начинается с поисков способов попасть в сеть, взломать ее, оставшись незамеченным, обмануть средства защиты и мониторинга, чтобы использовать открывшуюся точку доступа.

Мы в UserGate как раз и занимаемся тем, что защищаем информационные системы и корпоративные сети от взлома и проникновения, обеспечивая компонентами своей экосистемы безопасности в совокупности 100% видимость всех событий внутри сети и осуществляя контроль трафика, что обеспечивает состояние устойчивой защищенности всего контура информационной безопасности.

Условно малый сегмент хакерского рынка – это услуги кардинга, мобильного (и иного) «пробива», сбора данных о конкуренте из открытых (OSINT) и не очень источников с целью поиска компрометирующих данных, взлом аккаунтов в разных социальных сетях.

Один из маркеров такого рода деятельности – это привязка к конкретному лицу, которое, например, в силу своих рабочих обязанностей, имеет доступ к тем или иным данным, сетям. Например, широко разошлась история с увольнением двадцати сотрудников Meta*, которые занимались продажей доступа к аккаунтам в сети Instagram*.

Итоги

Несмотря на свою незаконность, рынок хакинга отнюдь не является маргинальным: он не только растет количественно, но и качественно, используя актуальные методы привлечения аудитории, элементы сервисной модели и другие бизнес-технологии, пусть и не в той мере, как это происходит в «белом» IT-секторе.

Опасным трендом становятся попытки некоторых хакерских групп стать легитимными с точки зрения широкой аудитории, придать своей деятельности привлекательный, с точки зрения определенных взглядов, облик.

Вместе с тем, на мировом уровне очень мало эффективных инструментов борьбы с «системообразующими» сегментами хакерского рынка, и любое расследование в этой области может идти огромное количество времени и обернуться ничем просто потому, что добытые доказательства не могут быть приняты в третьей стране из-за особенностей законодательства.

Важно также помнить о том, что растет не только рынок кибербезопасности, но и теневой рынок киберпреступности, который, как и ИБ, старается адаптироваться и стать привлекательным для своих конечных потребителей.

*Компания Meta признана экстремистской организацией на территории РФ, ее деятельность в России запрещена.