Полиция во всем мире учится бороться с киберпреступностью глобального масштаба
Полиция должна объединить усилия, пересекая международные границы, чтобы бороться с современными киберпреступниками. Pixabay
С 2009 по 2016 год киберпреступная сеть под названием Avalanche превратилась в один из самых изощренных преступных синдикатов в мире. Он напоминал международный конгломерат, укомплектованный руководителями корпораций, продавцами рекламы и представителями службы поддержки клиентов.
Однако его бизнес не был стандартной международной торговлей. Avalanche предоставила хакерскому удовольствию универсальный магазин для всех видов киберпреступлений для преступников, не обладающих собственными техническими знаниями, но с мотивацией и изобретательностью для совершения мошенничества. На пике своей деятельности группа Avalanche захватила сотни тысяч компьютерных систем в домах и на предприятиях по всему миру, используя их для отправки более миллиона криминально мотивированных электронных писем в неделю.
Наше исследование Avalanche и новаторские усилия правоохранительных органов, которые в конечном итоге привели к его пресечению в декабре 2016 года, дают нам представление о том, как киберпреступное подполье будет действовать в будущем и как полиция во всем мире должна сотрудничать, чтобы дать отпор.
< p> Успешным киберпреступным предприятиям нужны сильные и надежные технологии, но то, что все больше отделяет крупных игроков от мелких неприятностей, - это деловая хватка. Подпольные рынки, форумы и системы сообщений, часто размещаемые в глубокой сети, создали экономику киберпреступности, основанную на услугах.Так же, как обычные компании могут нанимать онлайн-услуги - покупать продукты Google для обработки электронной почты, электронных таблиц обмен документами и размещение веб-сайтов на Amazon с оплатой через PayPal - киберпреступники могут делать то же самое. Иногда эти преступники используют законные сервисные платформы, такие как PayPal, в дополнение к другим, специально разработанным для незаконных рынков.
И точно так же, как легальные гиганты облачных вычислений стремятся эффективно предлагать продукты широкого использования широкой клиентской базе, преступные вычислительные службы делают то же самое. Они преследуют технологические возможности, которые широкий круг клиентов хочет использовать с большей легкостью. Сегодня при наличии подключения к Интернету и некоторой валюты (предпочтительнее биткойны) практически любой может покупать и продавать наркотики в Интернете, покупать услуги взлома или арендовать бот-сети, чтобы нанести вред конкурентам и распространять вредоносные программы, приносящие прибыль.
Сеть Avalanche преуспела. при этом продавать своим клиентам технически совершенные продукты с использованием сложных методов, позволяющих избежать обнаружения и идентификации в качестве источника со стороны правоохранительных органов. С точки зрения бизнеса, Avalanche предлагала «киберпреступность как услугу», поддерживая широкую цифровую подпольную экономику. Предоставив другим разработку и реализацию инновационных способов их использования, Avalanche и ее клиенты-преступники эффективно разделяют работу по планированию, реализации и разработке технологий для продвинутых киберпреступлений.
С помощью Avalanche арендаторы - или сами операторы сети - могли связываться с некоторыми или всеми захваченными компьютерами и брать под контроль их, чтобы проводить широкий спектр кибератак. Преступники могут, например, отключать веб-сайты от сети на часы или дольше. Это, в свою очередь, могло позволить им получать выплаты выкупа, нарушать онлайн-транзакции, чтобы нанести ущерб чистой прибыли бизнеса или отвлечь жертв, в то время как сообщники использовали более скрытые методы для кражи данных клиентов или финансовой информации. Группа Avalanche также продала доступ к 20 уникальным типам вредоносного ПО. Преступные операции, осуществляемые при содействии Avalanche, обходятся предприятиям, правительствам и отдельным лицам во всем мире в сотни миллионов долларов.
На сегодняшний день киберпреступность приносит высокие прибыли - как и рынок программ-вымогателей на 1 миллиард долларов в год - с низким риском. Киберпреступники часто используют технические средства, чтобы скрыть свою личность и местоположение, что затрудняет эффективное преследование правоохранительных органов.
Это делает киберпреступность очень привлекательной для традиционных преступников. Из-за более низкой технологической планки в экосистему киберпреступности хлынули огромные суммы денег, рабочей силы и реальных связей. Например, в 2014 году киберпреступники взламывали основные финансовые компании, чтобы получить информацию об акциях конкретных компаний и украсть личную информацию инвесторов. Сначала они покупали акции определенных компаний, а затем отправляли ложные рекламные объявления по электронной почте конкретным инвесторам с целью искусственного завышения цен на акции этих компаний. Это сработало: цены на акции выросли, и преступники продали свои активы, загребая прибыль, которую они могли использовать для своей следующей аферы.
Кроме того, Интернет позволяет преступным операциям вести себя вне географических границ и юрисдикций в способы, которые просто непрактичны в физическом мире. Преступники в реальном мире должны быть в критикеme и может оставлять за собой вещественные доказательства - например, отпечатки пальцев в банковском хранилище или записи о поездках к месту совершения преступления и обратно. В киберпространстве преступник в Беларуси может взломать уязвимый сервер в Венгрии для удаленного управления распределенными операциями против жертв в Южной Америке, даже не ступая ниже экватора.
Все эти факторы создают серьезные проблемы для полиции, которая также приходится бороться с ограниченными бюджетами и персоналом для проведения сложных расследований, техническими проблемами отслеживания опытных хакеров через Интернет и необходимостью работать с официальными лицами в других странах.
Многонациональное сотрудничество, необходимое для успешного взятия Сеть Avalanche может стать моделью для будущих усилий по борьбе с цифровой преступностью. План, координируемый Европолом, полицейским агентством Европейского союза, вдохновлен экономикой совместного использования.
У Uber очень мало автомобилей, а у Airbnb нет собственности; они помогают соединить водителей и домовладельцев с клиентами, которым нужен транспорт или жилье. Точно так же, хотя Европол не имеет прямых полицейских полномочий или уникальной разведки, он может связывать правоохранительные органы по всему континенту. Эта «уберизация» правоохранительных органов имела решающее значение для синхронизации скоординированных действий по перехвату, блокировке и перенаправлению трафика для более чем 800 000 доменов в 30 странах.
Благодаря этим партнерским отношениям различные национальные полицейские органы смогли собрать осколки. информации из своих юрисдикций и направить ее через Европол властям Германии, которые возглавили расследование. Анализ всех собранных данных позволил установить личности подозреваемых и распутать сложную сеть серверов и программного обеспечения. Некоммерческая организация Shadowserver Foundation и другие организации помогли уничтожить серверную инфраструктуру, в то время как антивирусные компании помогали жертвам очищать свои компьютеры.
Полиция все чаще учится - часто у экспертов из частного сектора - как обнаруживать и остановить онлайн-деятельность преступников. Сложная технологическая установка Avalanche позволяет использовать технику, называемую «воронкой», при которой вредоносный интернет-трафик направляется в электронный эквивалент бездонной ямы. Когда угнанный компьютер попытался связаться со своим контроллером, управляемая полицией воронка уловила это сообщение и не позволила ему достичь реального центрального контроллера. Без контроля зараженный компьютер не смог бы совершить ничего гнусного.
Однако прерывания работы технологических систем недостаточно, если только полиция не сможет остановить преступников. С 2010 года полиция трижды пыталась отключить ботнет Kelihos. Но каждый раз человек, стоящий за этим, убегал и мог возобновить преступную деятельность, используя более устойчивую инфраструктуру. Однако в начале апреля ФБР смогло арестовать Петра Левашова, предположительно его давнего оператора, во время семейного отпуска в Испании.
Попытка ликвидировать лавину также привела к аресту пяти человек, которые якобы управлял организацией. Их отстранение от действий, вероятно, привело к временному нарушению глобальной среды киберпреступности. Он вынудил преступников, которые были клиентами Avalanche, остановиться и перегруппироваться, и может предложить полиции дополнительные сведения, в зависимости от того, что следователи могут убедить арестованных раскрыть.
Сеть Avalanche была только началом закона о вызовах когда дело дойдет до борьбы с международной киберпреступностью, придется столкнуться с правоприменением. Чтобы сохранить свои предприятия, преступники поделятся своим опытом и извлекут уроки из прошлого. Полицейские агентства всего мира должны делать то же самое, чтобы не отставать.
Фрэнк Дж. Киллаффо - директор Центра кибербезопасности и внутренней безопасности Университета Джорджа Вашингтона; Алек Надо - административный сотрудник Центра кибербезопасности и внутренней безопасности Университета Джорджа Вашингтона, а Роб Уэйнрайт - директор Европола и почетный научный сотрудник Института стратегии и безопасности Университета Эксетера. Эта статья изначально была опубликована в The Conversation. Прочтите оригинальную статью.
комментариев