Компания SixGill, исторически связанная с «подразделением 8200», занимающимся радиоэлектронной разведкой в израильской армии, оказывает Сбербанку «информационные услуги» по выявлению угроз в даркнете и Telegram. Ряд других российских банков тоже использует инструменты для мониторинга даркнета, показал опрос Би-би-си.
«Народ, здравствуйте, я раздобыл вход в приложение Сбербанк одного человека, знаю, что в понедельник у него зарплата. Как лучше всего вывести бабки оттуда, чтобы не вышли на меня?» — это сообщение корреспондент Би-би-си обнаружил в популярном чате криминальной тематики в Telegram.
Когда автор сообщения — с набором символов вместо имени и милой аватаркой с котом — не пытается «вывести» чужую зарплату, он промышляет банковскими картами от 3 тыс. рублей за штуку. Он состоит, по меньшей мере, в 18 таких чатах и обещает доставить «пластик» курьером по Москве и Санкт-Петербургу в комплекте с сим-картой, пин-кодом, фото паспорта и кодовым словом. Такие оформленные на третьих лиц карты применяются в серых схемах по обналичиванию.
В криминальных чатах — тысячи подобных анонимов: они обмениваются инструментами для взлома, вербуют сотрудников банков, продают данные о балансах, кредитные истории, персональные данные и многое другое. Те, кто преуспел, создают свои подпольные «корпорации» и привлекают сообщников за границей.
Этот рынок нелегальных сервисов принято называть даркнетом. Хотя технически даркнет — это часть интернета, куда можно попасть только через анонимный браузер Tor.
Архитектура «темной» сети сопротивляется тому, чтобы ее изучали сторонними инструментами. Чаты недолговечны или доступны для эксклюзивного круга хакеров. Владельцы форумов усложняют регистрацию, чтобы не допустить роботов, собирающих информацию для поисковиков и полицейских служб типа Европола.
Это не значит, что злоумышленников даркнете невозможно вычислить. Некоторые из них используют один и тот же имейл для нелегальных операций и покупок в обычных интернет-магазинах — так, известный банковскими взломами хакер aqua приобрел детскую коляску на имя москвича Максима Якубца, выдачи которого теперь требует ФБР [pdf].
Другие забывают стереть метаданные со снимков своего товара. В 2020 году исследователи из Технологического университета в Теннесси обнаружили [pdf] на нелегальных торговых площадках в даркнете более 800 фото с «зашитыми» с них географическими координатами, которые могут указать место съемки с точностью до нескольких метров. Исследователи проанализировали и русскоязычные площадки, где таких улик не оказалось.
Любитель кошек и банковских карт из криминального чата использовал свой уникальный ник на сайте для любителей аниме, а также на площадке для найма фрилансеров. Там он представляется как 23-летний Тимур из Москвы; этот же возраст он указывал в одном из чатов в даркнете, когда искал работу. Вопросы Би-би-си он проигнорировал.
«Крутой поставщик»
Можно ли сделать поиск таких улик автоматическим? Исследовательская компания Gartner в руководстве по кибербезопасности советует IT-компаниям использовать программы для непрерывного мониторинга даркнета.
Одно из первых таких решений — DarkOwl — производства одноименной американской компании, уже более 10 лет архивирует основные нелегальные торговые площадки. В 2019 году DarkOwl по запросу Би-би-си нашла в своем архиве посты наркоторговца «Мигеля Моралеса» с удаленного к тому времени форума Russian Anonymous Marketplace.
Следственный комитет считает, что «Мигель Моралес» заказал убийство подполковника юстиции Евгении Шишкиной в октябре 2018-го.
Если DarkOwl выбрала своим символом сову (owl), то ее конкурент, израильская SixGill — глубоководную шестижаберную акулу (sixgill shark). Gartner включила основанную в 2014 году компанию в список «крутых поставщиков» (cool vendors), то есть тех, кто «демонстрирует новые подходы к решению сложных задач».
Сеть Tor не позволяет отследить конечного пользователя, распределяя интернет-соединение случайным образом по узлам в разных концах света
Именно услугами SixGill в марте 2020 года решил воспользоваться Сбербанк: доступ к программе на год обошелся российской госкомпании в 70,7 тыс. долларов (около 5 млн рублей). Формально контракт исполняет российская компания «Инфосистемы Джет», но автором программы указан именно израильский стартап.
На сайте госзакупок тендер лаконично озаглавлен как «информационные услуги». И хотя закупка была публичной, стороны отказываются делиться подробностями, ссылаясь на договор о неразглашении. Сбербанк не ответил и на более общие вопросы про даркнет.
Некоторые детали можно почерпнуть из технического задания:
1% из 1%
SixGill исторически связана с израильской киберразведкой — знаменитым «подразделением 8200», которое занимаются радиоэлектронной разведки и входит в структуру Управления военной разведки (АМАН) Армии обороны Израиля.
Один из оздателей SixGill , уроженец Уругвая Ави Каштан, в 1990-е годы писал код для контроллера связи между танками, вертолетами и военнослужащими по заказу Армии обороны Израиля. Как сам он пишет на своей странице в LinkedIn, устройство использовало GPS для определения места и времени и передавало информацию через зашифрованные радиоканалы.
Вице-президент SixGill по продуктам и технологиям Рон Шамир ранее возглавлял отдел разведки киберугроз в Израильском национальном киберуправлении, а до этого 25 лет служил в «подразделении 8200».
Вместе со спецслужбами США это подразделение могло создать вирус Stuxnet, поразивший в 2010 году иранскую ядерную программу, писала New York Times. Эксперты из Symantec [pdf] и других IT-компаний нашли в коде вируса дату 9 мая 1979 года («19790509»), когда в Иране казнили лидера местной еврейской общины, промышленника Хабиба Элгханиана.
Объекты израильской военной разведки на границе с Ливаном
С 2007 по 2016 годы Шамир возглавлял разведывательное управление «подразденения 8200», говорится на его странице в LinkedIn. На сайте SixGill его фотография вывешена без какой-либо справки.
Партнер-основатель SixGill и ряда других компаний Инбал Ариэли также служила в 8200 — к 22 годам руководила подготовкой офицеров подразделения. «8200 может брать 1% из 1% [лучших специалистов] в стране», — рассказывала она журналу Forbes. Ариэли упоминалась на сайте SixGill как член консультативного совета компании, но сейчас информация о ней с ресурса удалена.
Фильтрация шума
Даркнет — это еще и нелегальный рынок персональных данных, источником утечек часто становятся банки.
Технический директор компании DeviceLock Ашот Оганесян регулярно освещает такие утечки, в том числе из Сбербанка, в своем телеграм-канале.
К идее автоматического мониторинга даркнета он относится скептически. «Это такой рынок [баз данных], где нельзя просто роботом вытащить все, здесь важна репутация продавца, — поясняет Оганесян Би-би-си. — Общение зачастую происходит завуалированно, на закрытых площадках, в мессенджерах. Много мошенников. В единицах случаев работают прямолинейные объявления типа «База Сбербанка, продаю за млн рублей».
Оганесян считает, что решения, подобные SixGill, могут ускорить мониторинг угроз, но полностью полагаться на них нельзя: «Для меня это явно вторичный источник информации».
"Теневой" интернет и банки
| Банк | Количество инцидентов* | |
|---|---|---|
| 1 | Приватбанк (Украина) | 25 238 |
| 2 | Тинькофф | 8 952 |
| 3 | Сбербанк | 4 082 |
| 4 | Альфа-банк | 2 619 |
| 5 | Райффайзенбанк | 1 546 |
| 6 | Райффайзен Банк Аваль (Украина) | 1 208 |
| 7 | ВТБ | 1 195 |
| 8 | Траст | 981 |
| 9 | Открытие | 968 |
| 10 | Росбанк | 914 |
* упоминаний украденных записей в даркнете, включая криминальные и хакерские площадкиИсточник: ImmuniWeb (filtered mentions), данные на 15.05.2020
Опрошенные Би-би-си банки анализируют даркнет как вручную, так и с помощью специальных программ. Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов сообщил, что его сотрудники мониторят «темную» сеть своими силами, но с прямыми угрозами оттуда кредитная организация не сталкивалась.
«Автоматизированные инструменты мониторинга даркнета мы не используем по причине их низкой эффективности, — говорит Касимов. — Для успешного поиска необходимы достаточно нетривиальные запросы и анализ. Простой поиск по словам МКБ или «Московский кредитный банк» результата не даст, именно поэтому мониторинг проводят аналитики».
В ВТБ Би-би-си ответили, что используют «все имеющиеся возможности по противодействию киберугрозам, в том числе изучение информации из различных источников».
Свой сервис мониторинга даркнета есть и у швейцарской компании ImmuniWeb. Ее гендиректор Илья Колоченко рассказал Би-би-си, что программу используют несколько крупных российских банков, а также страховые и юридические компании.
Глава Сбербанка Герман Греф стремится превратить его в цифровую компанию
По мнению Колоченко, главное для таких программ — «эффективная фильтрация шума, правильная валидация и приоритизация угроз». «Значительное количество данных в даркнете — это дубликаты, откровенный мусор или фейки», — отмечает бизнесмен.
«Большая часть закрытых площадок требует внедрения в организованную преступность, поэтому мы уделяем внимание по большей части открытым или серым зонам даркнета, — продолжает Колоченко. — Нередко в открытых источниках, таких как «Твиттер» или [текстовое хранилище] Pastebin, можно обнаружить гораздо больше критических утечек, чем в закрытых сообществах».
Среди российских банков с наибольшим количеством угроз в даркнете сталкивается Тинькофф, показывают данные ImmuniWeb. Из банков постсоветских стран с большим отрывом лидирует украинский Приватбанк. Хакеры особенно часто атаковали его во время вооруженного конфликта на востоке Украины.
В пресс-службе этого банка Би-би-си ответили, что используют инструменты для автоматического мониторинга даркнета, но не уточнили, какие именно.
интересная статья. к сожалению, информация на чёрном рынке наверное всегда будет продаваться. поэтому надо прилагать огромные усилия на борьбу с даркнетом.