Структура Даркнет, его акторы и принципы функционирования, торговые площадки вредоносного программного обеспечения теневого сегмента Интернет

Увеличились преступления, связанные с использованием цифровых товаров. В 1998 году лишь в нескольких преступлениях участвовал цифровой аспект. Начиная с рубежа веков (2000-2001 года), количество цифровых преступлений стало увеличиваться. Теперь почти каждое второе преступление связано с цифровыми технологиями. Поскольку гораздо больше преступлений имеет цифровой элемент, правоохранительные органы имеют больше возможностей столкнуться с преступностью в киберпространстве и учиться на таком опыте.

Однако правоохранительные органы могут стать жертвой собственного успеха. Большее число арестов приводит к широкому освещению киберинцидентов в средствах массовой информации. Таким образом, хакеры становятся более осведомленными о возможностях, предоставляемых на черных рынках. Кроме того, участники рынков, учась на методах расследования правоохранительных органов, становятся более осведомленными и осторожными.

Как уже было сказано выше, закрытие одних площадок влечет за собой либо открытие таких же новых, либо создание уникальных. Рассмотрим несколько примеров:

1. Рынок “Silk Road”.

* Закрытие: октябрь 2013 года (предполагаемый главный менеджер Росс Ульбрихт был арестован)

* Версия 2.0 - «резервное копирование» рынка: ноябрь 2013 г. (под названием “Dread Pirate Roberts”)

* «Шелковый путь», рынок, в основном известный незаконными наркотиками, также занимался такими вопросами, как украденные кредитные карты и другие персональные данные.

2. Рынок «Вьетнамское кольцо» (кража личных данных и учетных записей электронной коммерции)

* Закрытие: 2012.

* После ареста 14 сооснователей, участвовавших в продаже удостоверений личности и счетов электронной коммерции (например, PayPal, Amazon и т. д.), другие члены группы, занимавшие более низкие позиции, активизировали работу и воссоздали сайт.

Таким образом, причиной, по которой закрытие каких-то рынков лишь на некоторое короткое время оказывает негативное влияние на Даркмаркет, является тот факт, что подавляющее большинство используемых товаров не уничтожается и ждет своего места на витрине. Например, комплекты эксплойтов обычно не являются собственностью, а другие группы могут использовать их или создавать свои собственные на основе попавшего в руки исходного кода. Фактически, демонтаж площадок может быть выгодным для рынка, поскольку удаление популярного сайта позволяет другим соперничать за его доступную долю рынка.

Более подробно структура теневых рынков, а также предложения товаров для киберпреступлений будут рассмотрены нами во второй главе. Так как в исследовании было решено рассматривать именно рынки киберпреступных товаров и услуг, следует также описать существующее вредоносное программное обеспечение и его типы.

2. Вредоносное ПО и его типы

Говоря о теневых рынках вредоносного программного обеспечения, следует дать определение данному явлению и выделить его типы.

Вредоносное программное обеспечение (ПО) представляет собой программный код (скрипт или другое активное содержимое), предназначенное для нарушения работы компьютера или полного отказа системы. Киберпреступники, хактивисты и национальные государства используют вредоносное программное обеспечение также с целью получения личных данных в обход систем контроля доступа.

Вредоносное ПО остается опасной и последовательной угрозой; ее успех дал положительный толчок к созданию множества детектирующих средств (средств обнаружения угроз) и профилактических технологий. Гонка вооружения между хакерами и правоохранительными органами побуждает хакеров к постоянному изобретению новых типов мошенничества, способных обойти существующие решения в области безопасности и оставить в проигравших компании, производящие средства защиты, а также к такому явлению, как коммодитизация, при котором побочные действия или ограничения становятся основными возможностями.

Исследования мировых антивирусных компаний выделяют 3 основных типа вредоносного ПО:

1. трояны;

2. черви;

3. вирусы.

К остальным видам эксперты относят так называемые `ransomware' (вирусы-вымогатели), `spyware' (шпионское ПО), `adware' (рекламное ПО), `misleading software' (программное обеспечение, нарушающее работу основного программного обеспечения компьютера пользователя), «кейлоггеры», «руткиты» и другие. Рассмотрение этих видов вредоносного ПО будет ниже.

Подобно Троянскому коню, оставленному Одиссеем у берегов Трои, трояны - это скрытая угроза. Вредоносная программа маскируется, чтобы обмануть ничего не подозревающего пользователя. Как только происходит процесс загрузки или установки, вредоносное ПО целенаправленно начинает выполнять действия, компрометирующие пользователя зараженного компьютера. Принцип работы троянов предполагает предоставление удаленного доступа к зараженному компьютеру, позволяя злоумышленникам красть данные, устанавливать дополнительные вредоносные программы или контролировать активность пользователей. Трояны не реплицируются (как черви), и не заражают другие файлы (как вирусы), однако, их действия не менее разрушительны.

Проще говоря, троян состоит из двух частей - серверной стороны, которая работает на атакованном хосте (компьютере пользователя), и клиентской части, которая запускается на консоли злоумышленника. Серверный код (как правило, очень маленький по размеру, не более нескольких килобайт, - например, изображение или PDF-файл) отправляется жертве с помощью определенных методов распространения вредоносных программ, которые будут описаны позже в данной главе. Когда пользователь дважды нажимает на атакуемый файл, он запускает «серверную» программу, встроенную в зараженный файл. Обычно сервер работает в скрытом режиме и не виден пользователю.

На этом этапе серверный код в зараженном файле может установить контакт с кодом злоумышленника. Одним из способов является обратное соединение, при котором серверный код имеет IP-адрес, с помощью которого злоумышленник контролирует компьютер жертвы. Существуют, однако, более сложные методы обратной связи. После запуска сервер связывается с кодом на стороне клиента, с консоли которого злоумышленник теперь может контролировать программы жертвы. Он может устанавливать новые программы на компьютер жертвы (например, «кейлоггеры» - ПО, регистрирующее действия пользователя за компьютером, такие как нажатие клавиш на клавиатуре или мышке), читать каждый отдельный файл и просматривать личные данные пользователя (например, банковскую информацию, состояние кредитной карты и другие). Фактически, он может управлять компьютером жертвы, используя свою клавиатуру из удаленного места.

В некоторых случаях действия троянов конкретно нацелены на определенные файлы, поэтому их довольно легко обнаружить, так как они берут полный контроль над компьютером жертвы. Более опасная ситуация заключается в том, что троянец остается вне поля зрения и работает в течение длительного периода времени в невидимом режиме: жертва не осознает, что ее персональные данные (или данные компании) просматриваются недобросовестным злоумышленником.

Одним из примеров опасного трояна является вредоносное ПО Zeus, которое загружается на компьютеры жертв зараженной рекламой, присутствующей на разных веб-сайтах: когда такие объявления просматриваются жертвой, троян автоматически загружается на компьютер. Затем троянец ожидает, когда пользователь посетит онлайн-банк. При входе в систему, он выкачивает доступную сумму денег с банковских счетов жертв.

GameoverZeus (GoZ) - модификация описанного выше вредоносного ПО; сложный банковский троян, который был назван самым разрушительным ботнетом, с которым когда-либо сталкивалась прокуратура США. Считается, что GoZ используется для сбора информации, необходимой для доступа к онлайн-счетам, а его создатели виноваты в краже миллионов фунтов по всему миру. GoZ также является важным примером того, как киберпреступники могут комбинировать различные варианты вредоносных программ для повышения эффективности и масштабов своей деятельности - так называемый метод «смешанной угрозы». В данном случае GoZ часто поставляется в виде zip-архива в фишинг-письмах, распространяемых ботнетом Cutwail (будет описан далее в работе). После заражения GoZ хакеры могут захватить компьютерные сессии и украсть конфиденциальную и личную финансовую информацию. Более того, если такая информация отсутствует, вредоносный пакет может устанавливать ransomware (вирус-вымогатель), например CryptoLocker, который запрещает пользователям получать доступ к своим файлам до тех пор, пока не будет выплачен выкуп. Таким образом, одна атака может предоставить киберпреступникам множество потенциальных потоков дохода.

Наконец, трояны могут заражать не только настольные персональные компьютеры, но и мобильные устройства. В декабре 2017 года исследователи «Лаборатории Касперского» вычислили новую интригующую вредоносную программу с несколькими модулями, которая позволяет реализовывать почти бесконечное количество вредоносных функций - от криптовалютной добычи до DDoS-атак. Благодаря модульной архитектуре к ней можно добавить еще больше функций. Это необычное и мощное вредоносное ПО называется “Loapi” (Лоапи).

Loapi отличается от различных однофункциональных вредоносных программ для Android тем, что его сложная модульная архитектура позволяет выполнять практически безграничные действия на скомпрометированном устройстве.

Троян Loapi распространяется через рекламные кампании под видом антивирусных решений или приложений для взрослых. После установки приложения запрашивают права администратора устройства, а затем незаметно инициируют связь с командными серверами и серверами для установки дополнительных модулей.

По словам эксперта по безопасности «Лаборатории Касперского» Никиты Бучки: «Loapi - интересный представитель мира вредоносного ПО Android, потому что его авторы воплотили почти все возможности, которые могут быть использованы в дизайне мобильных троянцев. Причина этого проста: гораздо проще скомпрометировать устройство один раз, а затем использовать его для различных видов злонамеренной деятельности, направленной на получение незаконных денег. Неожиданный риск, который несет эта вредоносная программа, заключается в том, что, хотя он не может нанести прямой финансовый ущерб пользователю, украв данные кредитной карты, он может просто уничтожить телефон - в буквальном смысле сжечь его на сильных мощностях работы. Это не то, чего вы ожидаете от Android-троянца».

Таким образом, трояны являются одним из наиболее опасных типов вредоносного программного обеспечения, которое может заражать не только стационарные компьютеры, но и мобильные устройства, доводя их своей деятельностью до полного уничтожения.

Червь - это вредоносная программа, которая может независимо распространяться через сеть, используя уязвимости в существующем программном обеспечении для компрометации системы. Черви могут распространяться по сетям различными способами. Например, используя электронную почту для заражения других компьютеров или при помощи других протоколов передачи данных для размножения на другие компьютеры.

Хотя некоторые черви могут ничего не делать, кроме распространения с одного компьютера на другой (просто используя пропускную способность и замедляя работу сети), другие могут делать опасные вещи, такие как удаление файлов или их шифрование на компьютере жертвы, так что владелец должен заплатить выкуп, чтобы иметь возможность расшифровать их.

Стюарт Стейнфорд, Верн Паксон и Николас Вивер приводят подробную таксономию червей на основе трех факторов:

* Таргетинг. Этот механизм используется червями для заражения конкретных потенциальных жертв - так называемые таргетированные атаки. Обычно таргетинг включает сканирование сети с целью нахождения уязвимых узлов с использованием определенных списков целей и «метасервера», представляющего собой список периодически обновляемых уязвимых серверов, который червь периодически исследует, чтобы найти новые целевые объекты, а также топологических червей, которые исследуют структуру сети, чтобы идентифицировать новые цели, и «пассивных» червей, которые ждут цели, чтобы ее атаковать.

* Механизмы распределения. Черви могут распространяться тремя способами. Самостоятельно передвигающиеся черви распространяются независимо (например, топологические черви и черви, которые распространяются путем сканирования через сеть). Вторичные черви распространяются через дополнительный канал связи, например, через вызовы удаленных процедур процедур (Remote Procedure Calls). Встроенные черви распространяются путем встраивания себя в стандартный канал связи.

* Механизм активации. Черви могут быть активированы либо явным действием человека (например, через зараженную электронную почту), которое распознается червем и провоцирует его, либо введением себя в часть запланированного процесса на хосте (к примеру, открытием скачанного зараженного фильма в медиаплеере на компьютере).

В общем, топологические черви и черви, которые распространяются автономно при сканировании, могут быть невероятно быстрыми. Примерами печально известных компьютерных червей являются:

* Stuxnet - пожалуй, самый известный пример червя за последние годы. Обнаруженный в 2009 году исследователями «Лаборатории Касперского» и, по предположениям, запущенный израильской и американской разведками, Stuxnet был нацелен на иранский завод по обогащению ядерного топлива в Нетензе. Хотя Stuxnet заразил компьютеры во многих странах, по сообщениям антивирусных компаний, это не оказало негативного влияния на системы SCADA, отличные от тех, что были в Нетензе. По словам Александра Гостева, главного эксперта по безопасности «Лаборатории Касперского», «анализ профессиональной деятельности первых организаций, ставших жертвой Stuxnet, дает лучшее представление о том, как была запланирована вся операция. Это пример вектора атаки, где вредоносное ПО доставляется в целевую организацию косвенно через сети партнеров, с которыми может работать целевая организация».

Эксперты «Лаборатории Касперского» сделали еще одно интересное открытие в 2014 году: червь Stuxnet не только распространялся через зараженные USB-накопители, подключенные к персональному компьютеру (ПК). Это была первоначальная теория, и она объяснила, как вредоносное ПО может проникнуть в цель без прямого подключения к Интернету. Однако данные, собранные при анализе самой первой атаки, показали, что образец первого червя (Stuxnet.a) был скомпилирован за несколько часов до того, как появился на ПК в первой атакуемой организации. За такой короткий промежуток времени трудно представить, что злоумышленник скомпилировал образец, поместил его на карту памяти USB и доставил в целевую организацию всего за несколько часов. Разумно предположить, что в этом конкретном случае люди, стоящие за Stuxnet, использовали другие методы вместо заражения USB.

* Mydoom распространялся через сообщения электронной почты, в которых пользователям (в основном, системы Windows) предлагалось открыть вложение, которое содержало вредоносную программу. Различные версии Mydoom содержат разные полезные нагрузки, одна из которых - установка бэкдора на компьютере жертвы, позволяющего дистанционно управлять машиной. Более того, Mydoom повторно отправляется на другие адреса электронной почты в адресных книгах зараженных пользователей после его загрузки. Считается, что Mydoom израсходовал огромное количество интернет-трафика, когда впервые попал в сеть в 2004 году. За 14 лет существования этот червь по-прежнему считается самым быстро распространяющимся массовым почтовым червем всех времен, нанесшим ущерб в размере 38 миллиардов долларов.

* Conficker использует уязвимость в операционной системе Windows для заражения хоста. Он делает это путем сканирования случайных узлов, а также соседних зараженных узлов. Conficker - достаточно сложно устроенный червь, чтобы самостоятельно обновляться, а также избегать антивирусные средства обнаружения.

Вероятно, вирусы - самая известная самореплицирующаяся форма вредоносного ПО, предназначенная для заражения легитимного программного обеспечения.

В отличие от червей, которые распространяются независимо, вирусы распространяются путем присоединения к исполняемым файлам (например, формата PDF или JPEG). Это означает, что вредоносное ПО может оставаться неактивным в хост-системе и не будет распространяться до тех пор, пока пользователь не запустит вредоносный контент. После запуска зараженной программы установленный вирус активируется и начинает распространяться на другие программы в текущей системе. Некоторые вирусы существуют в загрузочном секторе жесткого диска компьютера, поэтому автоматически выполняются при загрузке. Такие действия влекут за собой ущерб операционной системе компьютера, например, неконтролируемое удаление критически важных файлов, а также использование электронной почты для облегчения распространения на другие компьютеры.

Другие формы вредоносного программного обеспечения не вошли в отдельные категории, так как они чаще всего являются частями деятельности вирусов, червей и троянцев, однако, могут функционировать и самостоятельно:

Ransomeware (вирусы-вымогатели) - особенно зловещая форма вредоносного ПО, которая ограничивает доступ к компьютерной системе, которую заражает. После введенного ограничения программа требует, чтобы жертва выплатила деньги за разблокировку создателю вируса либо в форме обычной электронной валюты, либо в виртуальной - биткойне. Вирус-вымогатель обычно попадает в систему через загруженный файл или уязвимость в сети и распространяется сам по себе, как обычный компьютерный червь. Как только компьютер заражен, программа запускает полезную нагрузку, которая начинает шифровать личные файлы на жестком диске, причем автор вредоносного ПО является единственным человеком, имеющим доступ к необходимому ключу дешифрования.

CryptoLocker («криптолокер") - форма троянца-вымогателя, впервые обнаруженного Dell SecureWorks в сентябре 2013 года, который нацелен на любой компьютер, работающий под управлением операционной системы Windows. После активации CryptoLocker шифрует определенные типы файлов, хранящиеся на локальных и сетевых дисках. В отличие от многих других семейств вредоносных программ, которые используют пользовательскую криптографическую реализацию, CryptoLocker использует сильную стороннюю сертифицированную криптографию с использованием шифрования RSA коммерческого класса 2048 бит, что означает, что частные ключи шифрования и дешифрования хранятся исключительно на серверах управления вредоносными программами. После заражения и активации вредоносное ПО затем отображает сообщение, которое предлагает дешифровать данные, если платеж будет произведен в указанный срок, и угрожает удалить ключ по истечению срока. Однако после истечения времени вредоносное ПО предлагает расшифровать данные через онлайн-сервис по значительно более высокой цене. Цифры показывают, что около 545 тысяч компьютеров были заражены CryptoLocker в период с сентября 2013 года по май 2014 года.

KeyLoggers («кейлоггеры»). В отличие от других форм вредоносного ПО, кейлогеры не представляют угрозы для самой системы. Однако они могут использоваться для перехвата паролей и другой конфиденциальной информации, введенной с клавиатуры. Вмешательство может быть выполнено либо с использованием физических устройств, таких как вебкамера (захват отображения рабочего стола пользователя), либо при помощи установки вредоносных пакетов, которые могут заменить драйвер клавиатуры, перехватив функции ядра и делать запросы на получение информации, вводимой с клавиатуры. Собранные данные включают в себя нажатия клавиш и снимки экрана, что позволяет злоумышленникам получить доступ к большому количеству важной информации, такой как PIN-коды, номера счетов и другой персональный контент, все из которых могут быть использованы для облегчения онлайн-мошенничества.

Adware - рекламное ПО, представляющее собой любой программный пакет, который автоматически воспроизводит, отображает или загружает рекламные объявления на компьютере. Эти рекламные объявления могут быть, например, в виде всплывающих окон. Цель Adware - генерировать доход для своего автора. Рекламное ПО само по себе является безвредным; однако некоторые рекламные программы могут поставляться с интегрированными шпионскими программами, такими как клавиатурные шпионы («кейлоггеры») и другое программное обеспечение, нарушающее конфиденциальность. Зараженным юзерам через какое-то время предлагают купить ключ к дешифровке, чтобы покончить с рекламой.

Rootkit («руткит») - это форма программного обеспечения, которая позволяет другим вредоносным процессам или программам продолжать пользоваться привилегированным доступом к компьютеру, маскируя их существование от примитивных методов обнаружения. Руткит может быть установлен автоматически, либо вручную, как только злоумышленник получит права администратора устройства. После заражения руткит предоставляет удаленному пользователю доступ ко всем папкам в системе, включая личные данные и системные файлы, без ведома основного пользователя.

Mebroot (`мебрут') - троянец-руткит, который модифицирует базовую систему ввода-вывода компьютера, прежде чем использовать бэкдор, и позволяет удаленному пользователю взять под свой контроль взломанную систему. Ключевым компонентом троянца являются его сложные руткит-методы, которые скрывают его присутствие для антивирусов и продлевают угрозу. Деятельность одного из самых известных руткитов Necurs наблюдалась в течение всего 2014 года, когда всплеск начался в феврале и достиг максимума в марте. Necurs особенно опасен, так как способен спрятаться на корневом уровне, избегая обнаружения и даже предотвращая работу приложений безопасности. Кроме того, Necurs содержит бэкдор, предоставляющий удаленный доступ к управлению зараженным компьютером, а также мониторинг и фильтрацию сетевой активности.

Necurs был замечен вместе с троянцем Gameover Zeus: он помогал защитить файлы вредоносных программ на зараженном компьютере, тем самым затрудняя поиск и удаление троянца, когда он активен.

Misleading software («ПО, вводящее в заблуждение») - программное обеспечение, которое притворяется чем-то легитимным, когда на самом деле является частью вредоносного ПО. Примеры такого программного обеспечения включают в себя поддельные антивирусные программы, медиаплееры и программы восстановления жесткого диска.

Поддельное антивирусное программное обеспечение использует социальную инженерию, чтобы пользователи полагали, что их система заражена. Затем им предлагается бесплатное антивирусное программное обеспечение и показываются результаты инсценированного заражения при его загрузке и запуске. После этого пользователь получает предложение об обновлении программного обеспечения (за плату), чтобы удалить предположительно существующую инфекцию.

Spyware (`шпионское ПО') - это программный код, который позволяет третьей стороне следить за хостом. Программы-шпионы используются для различных целей, включая кражу личных данных и отслеживание онлайн-активности пользователей.

Рассмотренный контент доказывает, что эволюция вредоносного ПО представляет собой непрерывную гонку вооружения между киберпреступниками, хактивистами, национальными государствами и защитниками сети, с постоянным появлением новых угроз и методов для уклонения от существующих мер безопасности. Защита от новых атак требует постоянной вовлеченности в тренды вредоносного ПО, понимания вредоносных программ и способности к созданию инструментов для их детектирования и уничтожения.

Deepweb представляет собой жизнеспособный инструмент для злонамеренных участников для анонимного обмена не только товарами, но также знаниями и опытом. Данная глава показывает, что в настоящее время основной сетью, которая показывает реальную коммерческую значимость для киберпреступников, является TOR.

Постоянные широкомасштабные мониторинги Интернета на государственном уровне, недавние успешные аресты киберпреступников и закрытия сайтов, размещенных в Deepweb, оказывают, как ни странно, положительное влияние на подпольные сайты. Преступное сообщество становится более фрагментированным, развиваясь в альтернативные темные сети, что еще более усложняет работу следователей. Например, недавнее закрытие рынка Silk Road послужило толчком для размещения еще большего числа вредоносных служб и видов хакерской деятельности заново созданных не менее крупных рынках. Таким образом, исследователи безопасности должны проявлять бдительность и разрабатывать новые способы выявления предстоящих атак со стороны Deepweb.

3. Комплексный анализ структуры Даркнет

Ввиду того, что проблема киберпреступности возникла относительно недавно, а также ввиду высокой динамики данного явления, обширных исследований, охватывающих все аспекты функционирования нелегальных рынков, в частности принципы взаимодействия участников и механизм ценообразования, нет. На основе существующих работ и собственного анализа в данной главе мы попытаемся воссоздать полноценную картину функционирования Даркнет в настоящее время.

Внешнюю структуру теневого рынка Darknet можно сравнить с айсбергом, чья видимая часть - это открытые онлайн-форумы, расположенные в Интернете, а скрытая в водах и самая опасная часть - это магазины луковой маршрутизации Tor. Без сомнения, с точностью описать, как выглядит криминальный рынок, трудно - он обширный, его структура и многочисленные игроки постоянно меняются для того, чтобы не дать правоохранительным органам отследить операции, происходящие в тени. Все же, благодаря существующим работам исследовательских институтов и ведущих мировых антивирусных компаний, занимающихся вопросами киберпреступности (таких, как «Лаборатория Касперского», `McAfee', `Symantec' и др.), а также интервью экспертов по данной теме, нам удалось сформировать и проанализировать различные компоненты площадок Даркнета, а именно, иерархию существующих магазинов и участников, а также витрины хакерских рынков.

Для более точного и верного понимания феномена теневых рынков необходимо знать последовательность событий, повлиявших на рост Даркнета. Вместе с экспертом «Лаборатории Касперского» Александром Нежельским мы попытались восстановить хронологию его развития:

конец 1980-х-начало 1990-х годов: люди начинают обмениваться информацией и товарами на черном рынке, особенно активно в странах бывшего Варшавского договора, славящихся большим количеством хороших программистов и математиков, внезапно оказавшихся без работы. Зафиксированы случаи продажи корпоративных шпионских услуг с целью кражи IP-адресов;

1990-е годы: черный рынок существует, в основном, «на бумаге» (например, номера украденных кредитных карт записаны на блокноте), а транзакции - в связи с отсутствием вычислительных устройств - выполняются вручную;

конец 1990-х - 2000: для большей продуктивности хакеры активно начинают объединяться в группы; существовавшие группы - становятся более организованными и сложными; начинается распространение компьютеров в университетах, а следовательно, увеличивается интерес к программированию и технологиям; растет ценность личных данных - в связи с их увеличением;

2000-2004: эра быстро распространяющихся червей и вирусов. По сути, они являются предупреждением, что их следует остерегаться в будущем;

2002: появляются форумы `ShadowCrew' и `CarderPlanet' для кардеров и хакеров, которые не принимают в свои ряды посторонних;

2003-2004: увеличение популяции и распространения троянцев и бэкдоров; финансовая выгода, а не известность, становится основным фактором мотивации хакеров; DDoS появляется как услуга для рекламного ПО (оплата за установку);

2004: закрытие `ShadowCrew' и `CarderPlanet';

2005-2007: растет рынок кардинга - средняя цена за карточку составляет $ 1- $ 2; увеличивается количество фишинг-атак; форумы становятся довольно секретными, а игроки должны быть осмотрительными и доказать, что они знают, как взламывать конкретный POS-терминал (для оплаты), чтобы стать частью команды; кибервторжение в TJ Maxx/TJX привело к наибольшему нарушению данных на данный год - до 94 миллионов записей; появляются мобильные вредоносные программы, фишинг и SMiShing (фишинг для SMS); хакеры начинают объединяться и создавать онлайн-киберсообщества для продажи инструментов для хакинга и наполнения витрин своих магазинов украденными данными;

2007: создатели хакерских программ начинают бесплатно раздавать свои инструменты в ответ на распространение пиратских версий их продуктов, однако, с бэкдорами в них; появление печально известного троянца ZeuS Family; количество уникальных вредоносных программ превышает 130 тысяч (по сравнению с 54 тысячами в 2006 году);

2008-2010: фишинг-атаки теперь обычны; сайт DarkMarket (англоязычный форум) зарегистрирован; увеличение атак троянца ZeuS; наборы для совершения хакерских атак становятся общедоступными на темном рынке;

2011: исходный код ZeuS просочился на подпольные форумы, что вызвало новый бум заказных версий;

2012: закрытие нескольких онлайн-форумов, в числе которых `Carder.su';

2013: номинальная цена на банковскую карту составляет $8, а средняя цена составляет около $25. Для гарантированных экземпляров цена достигает тысячи или более долларов); на рынке преобладают все более дисциплинированные, организованные и структурированные группы, имеющие конкретные хакерские цели; примерно 19% рынка - хакеры из США, такой же процент хакеров из России; хакеры из Украины и Китая составляю около 30%;

2014-2018: рынки Darknet приобретают сформированную структуру, организованную иерархию участников; товары становятся более разнообразными и включают в себя известные на весь мир эксклюзивные наименования. Несмотря на раскрытие и деактивацию некоторых магазинов, развитие теневых рынков продолжается.

Восстановив хронологию развития Даркнет вместе с экспертом «Лаборатории Касперского» Александром Нежельским, перейдем к анализу географии черного Интернет-рынка.

Киберпреступники из разных стран извлекают выгоду из теневого рынка Даркнет, потому что благодаря этой сети их незаконные действия трудно обнаружить. Инфраструктура и навыки продавцов влияют на то, насколько «глубоко» может скрыться торговая площадка в Darknet. Однако, китайские киберпреступники не полагаются на Deep Web так же, как, к примеру, их коллеги из Германии и Северной Америки. Это может быть связано с тем, что политика Китая (введение “Great Firewall of China” - системы фильтрации содержимого Интернет) не позволяет своим гражданам получить какой-либо доступ к Deep Web. Все же, продавцы из Китая находят возможность представлять свой товар на площадках Даркнет, что подтверждает обнаружение в ходе нашего анализа Даркнет торговой площадки на китайском языке.

Рассматривая теневые рынки, расположенные в анонимной сети TOR, мы предположительно выделили 7 основных групп по странам: Россия, Великобритания, Китай, Германия, США, Италия, Франция. В ходе анализа стало понятно, что единого глобального теневого рынка киберпреступности не существует. Экономика каждой хакерской площадки разнообразна - каждый рынок так же уникален, как и культура страны, которая его создала. Полугодовой мониторинг теневых магазинов дает основание для следующих выводов:

автоматизация играет ключевую роль для российских рынков - одних из пионеров теневой киберпреступной деятельности. Жесткая конкуренция заставляет продавцов всегда быть на шаг впереди, поставляя постоянно новые уникальные товары и услуги в кратчайшие сроки и наиболее эффективными способами;

китайский рынок адаптирует самые быстрые и новейшие тенденции в области киберпреступности и лидирует в области киберпреступных инноваций. На нем продаются не только стандартные наборы программ и услуг, но также «железо» (оборудование и аппаратные средства) и необычные товары, такие как системы защиты конфиденциальности в поисковых системах, которые можно назвать «сделанными в Китае»; наряду с высокой анонимностью, в отличие от большинства других рынков, киберпреступники в Китае принимают более необычные виды платежных средств, чем криптовалюты, - подарочные карты и баллы форума;

в отличие от других теневых рынков, североамериканский не накладывает ограничений, исходя из опыта продавца, и поощряет любую киберпреступную инициативу. Рынок можно сравнить не с закрытым хранилищем, доступным только для хакеров, а скорее со стеклянным резервуаром, видимым как киберпреступникам, так и правоохранительным органам;

подпольный рынок Германии предлагает как можно больше товаров, чтобы не оставаться в стороне и идти в ногу с киберпреступными технологиями. Анализ рынка дает уверенность предположить, что немецкие киберпреступники часто посещают российское подполье, чтобы учиться у своих опытных коллег. Скорее всего, происходит сотрудничество между немецкими и российскими участниками рынка, о чем свидетельствуют дублирующие профили продавцов;

участники итальянского рынка показывают вопиющее пренебрежение к закону. Параллельно с Darknet они - так же как и участники французских площадок - используют популярные социальные сети, такие как Facebook и другие общедоступные форумы и приложения, чтобы завоевать популярность и сделать себе имя, грубо демонстрируя трофеи своих мини-операций. Несмотря на это, игроки итальянского рынка в основном работают самостоятельно, делая все возможное, чтобы превзойти конкурентов и стать лучшими игроками в выбранных ими областях киберпреступности.

Несмотря на то, что Darknet не является единой площадкой, но состоит из отдельных площадок, делящихся по географическим характеристикам, киберпреступники во всем мире сотрудничают друг с другом, делясь не только опытом, но и помогая в бизнесе - зачастую одних и тех же продавцов можно увидеть на разных площадках.

Рис. 3. География распространения теневых рынков в сети Tor на основе анализа

На основе анализа площадок Даркнет мы составили карту распространения теневых рынков в мире. Следует сказать, что это далеко не точная карта, так как определить принадлежность большинства сайтов в Даркнет к определенной стране невозможно. Все же, карта дает общее понимание национального расслоения в Даркнет и возможность сделать предположение о том, в каких странах находятся наиболее опасные киберпреступники.

Страны на карте выше, отмеченные красным цветом, являются лидерами не только по количеству магазинов, но и по рейтингу среди других рынков и по разнообразию предложений. Как видно, лучшие продавцы расположены не только на американских площадках, но и в России, Великобритании и Восточной Европе.

В процентном содержании магазины Darkmarket нагляднее представить в виде круговой диаграммы, показывающей долю каждой страны в Darknet.

Рис. 4. Распределение рынков сети TOR по странам

Из графика видно, что Соединенные Штаты заняли лидирующую позицию на рынке - 52% от всех магазинов. За ними следуют российские (15%) и французские (11%) рынки. Прочно вошли в темный сегмент Великобритания (с 7 рынками) и Италия (с 3 рынками), в число рынков которых входят несколько магазинов с высокой репутацией.

Разделение рынков сети Tor происходит администраторами Darknet по следующим категориям:

«Лучшие рынки» (такие как американский «Dream Market» и российский «T.chka (P.int) Free Market»;

«Рынки по приглашениям / реферальные рынки» (например, американские «Wall Street Market» и «Pyramid Market», английский «Zion Market»;

вендорские магазины (с предложениями от одного конкретного продавца);

дискуссионные форумы;

не англоговорящие сайты.

Одним из базовых понятий акторно-сетевого анализа являются «практики». Таким образом, исходя из анализа географии выше под функционирование теневого рынка можно выделить:

групповые - деятельность не одного человека, но одновременная вовлеченность нескольких единиц или отдельных групп;

общественные - распространение не в рамках отдельной страны, но задействование многих народов.

Для более глубокого понимания того, чем отличается одна площадка от другой, мы попросили оценки эксперта «Лаборатории Касперского» Александра Нежельского. По словам Нежельского: «Наборы для хакинга, утечки данных, вредоносные программы, поддельные документы и личные данные - это, безусловно, базовые товары площадок Darknet. Однако практически на каждом отдельном рынке есть определенные «эксклюзивные предложения».

Немного отойдя от темы вредоносного ПО, в отличие от наркотиков и оружия, которые есть на каждом рынке без исключения, по причине того, что сеть TOR создавалась для сбыта именно этих товаров, Нежельский отмечает, что только на площадках Северной Америки можно найти услуги по заказному убийству, участники которых в большей степени полагаются на анонимность Deep Web, чем их коллеги. Украденные учетные записи “Packstation” - автоматизированной почтовой станции, которой владеет немецкая международная компания доставки DHL - являются однозначно маркерами немецкого рынка. Китайский рынок изобилует разнообразными видами оборудования и инструментами для социальной инженерии, которые преступники могут использовать для осуществления своих киберсхем. Российские рынки отличаются предложениями мощных вредоносных программ, печально известных во всем мире.

«Сегодня российское подпольное киберсообщество не просто выросло - как видно из постоянно увеличивающегося числа незаконных продуктов и услуг, предлагаемых на его рынках - оно также стало более сложным и профессиональным, что проявилось в следующих технических улучшениях:

автоматизация процессов для ускорения совершения сделок и снижения цен;

более плавные, беспрепятственные транзакции через новые рынки;

новые оптимизированные системы языковых переводов (для облегчения коммуникации между участниками) и системы защиты от спама;

уникальные процессы регистрации и более простой доступ к хостинговым сервисам (BPHS), обеспечивающие максимальную анонимность», - отмечает Нежельский.

Более того, российские теневые рынки открыто дублируют себя в Интернет - через такие форумы, как, к примеру, Antichat, что говорит либо о высокой степени киберпреступного мастерства - по причине того, что хакерские открытые форумы до сих пор существуют, - либо о том, что правоохранительные органы закрывают глаза на киберпреступную деятельность.

Неизменными трендами высокоразвитых площадок являются предложения «ботнетов» и «уязвимостей нулевого дня».

«С середины 2000-х годов по сегодняшний день ботнеты являются одним из важных факторов киберпреступности. Само их присутствие говорит о том, что индустрия киберкриминальной торговли очень развита в России» - подчеркивает Нежельский.

Ботнеты представляют собой коллекцию скомпрометированных компьютеров, удаленно контролируемую центральным актором. Ботнеты могут использоваться для выполнения различных действий, включая рассылку спама, сбор персональных данных, распространение вредоносного ПО, запуск DDoS-атак и поддержку незаконных веб-сайтов; ботнеты также могут использоваться для силовых атак со стороны организаций, спонсируемых государством.

Со временем ботнеты технически развивались и становились сложнее. Ранние реализации состояли из приблизительно 10-12 скомпрометированных систем. Сегодня ботнеты включают в себя тысячи уязвимых компьютеров, и эта цифра постоянно растет, что обеспечивается способностью децентрализованного управлять ботнетами через веб-сайты.

Однако модели обслуживания ботнетов также стали более сложными. Некоторые модели обслуживания более высокого порядка продают ограниченный доступ к бот-сетям или позволяют клиентам создавать свои собственные бот-сети на основе определенных целей (например, счета Bank of America на сумму не менее 10 000 долларов США). Другая тенденция, которую отмечает Нежельский, - аренда ботнетов компаниями для законного «веб-хостинга», что пользуется спросом, поскольку поставщик может гарантировать, что каждая машина доступна исключительно для использования ботмастером (человеком, контролирующим сеть) и не используется для каких-либо других целей. В то время как более сложная бот-сеть может иметь высокую цену (стартующую от $50 000), обычные ботнеты доступны в цене по причине существующей на рынке конкуренции и широкого выбора.

Наконец, еще одним трендом являются так называемые «уязвимости нулевого дня» (“zero-day vulnerabilities”). Это атаки, которые не подвластны антивирусным программам и о которых не знает еще никто, кроме авторов, впервые нашедших уязвимость. Поэтому для хакеров, безусловно, более выгодно использовать уязвимости такого типа, что делает их дорогостоящими.

Нулевые дни не так распространены, как культовые зловреды. Обычно для них предусмотрены отдельные площадки, устроенные подобным обычным теневым рынкам образом - обязательная жесткая валидация и верификация покупателей и продавцов, а также существование третьей стороны, которые контролируют продажу уязвимостей нулевых дней. Нежельский отмечает снижение цены на атаки подобное типа, что может указывать на более высокий объем (то есть, более высокий уровень предложения) или меньший спрос (то есть, что-то другое из товаров стало более популярным у клиентов).

Таким образом, обширная география теневых рынков и существование на них уникальных предложений говорят о том, что их администраторы готовы сделать многое для того, чтобы не только более выгодно монетизировать свой бизнес, но и выделить свои магазины на общем фоне остальных теневых рынков, а также привлечь как можно больше покупателей и профессиональных хакеров в свое сообщество, тем самым развивая не только свои площадки, но и теневой рынок Darknet в целом.

Как и любой традиционный рынок, Даркмаркет включает в себя продавцов (предложение) рынка, покупателей (спрос) и посредников. Продавцы предстают в различных формах: отдельные лица, преступные организации, коммерческие поставщики (вендоры). Посредники выступают в качестве третьей стороны для проверки как продуктов, так и участников: они могут упростить транзакции, так же как защитить интересы и персональные данные.

Участники занимают разные уровни в иерархии рынка - чем выше «ступень развития» - количество совершенных сделок, качество товара, тем большее количество привилегий им положено. Переход на более высокие уровни доступа к рынку сопровождается проверкой, которая зачастую зависит даже не от навыков и умений, но от межличностных отношений участников Даркнет.

Таким образом, на подпольных рынках рождаются индивидуальные иерархические модели и специализированные роли:

администраторы занимают, как и положено, верхнюю ступень;

за ними следуют эксперты по определенным темам, обладающие специфическими знаниями в конкретных областях (например, создатели корневых каталогов, торговцы данными, криптоаналитики и другие);

далее - посредники, брокеры и вендоры;

на нижней ступени располагаются обычные люди (случайно интересующиеся или потенциальные покупатели), которых профессионалы именуют «мулами».

Рис. 5. Пирамида иерархии участников Darkmarket

Каждый член рынков Даркнета, прошедший многоуровневую проверку и доказавший свою незаменимость для системы (а также тот факт, что ему можно доверять), вправе сформировать свою «дочернюю» ячейку ассоциированных членов - команду, из которой в дальнейшем может возникнуть новый рынок - уникальный или пришедший на смену какой-то закрывшейся единице.

Поскольку черный рынок призван быть скрытым, трудно точно оценить, как распределены его участники по уровням. Эксперты склонны отдавать лишь 10-20% от общего количества пользователей Даркнета для участников высокопрофессиональных уровней и 80-90% для участников более простых площадок. Таким образом, лишь четверть игроков могут считаться высококвалифицированными. Однако такие суждения оценочны и существует слишком много переменных, чтобы сделать разумную оценку.

Конечной целью игроков на черном рынке является вывод денег. Именно в этот момент в игру вступают «мулы» - покупатели являются источником дохода хакеров, превращая украденную кредитную карту или учетные записи социальных аккаунтов в деньги. «Мулов» или покупателей, в свою очередь, можно разделить на несколько категорий:

- они могут быть хорошо организованными и информированными об операциях участниками

- или невеждами (наивными лицами, вовлеченными в сделки обманным путем).

Как отметил представитель антивирусной компании Symantec Зульфикар Рамзан, остроумные мулы являются «шпильками» системы, поскольку они, как правило, превращают «взятие» атаки в фактическую выплату денег. Таким образом, участвуя в сделке, мул может приносить даже большую прибыль для вендора, чем он ожидал первоначально. Следовательно, его можно считать актантом сети, без существования которого, исходя из акторно-сетевой теории Латура, торговые площадки Даркнет могут прекратить свое существование.

Точной информации о том, сколько людей участвует на черном рынке нет - так же, как и нет данных о том, насколько велик Даркнет, что говорит о достойном уровне анонимизации данных. Эксперты английской антивирусной компании BullGuard сделали серьезное заявление, в своем исследовании отметив, что Даркнет приносит владельцам, как минимум, миллиарды долларов в год.

Количество людей, по мнению Нежельского, играющих на рынке, значительно увеличилось за последние годы. Это связано с распространением Интернета, в частности веб-сайтов, онлайн-форумов, социальных сетей и каналов чата, где можно спокойно купить и продать товары и услуги. Развитие технологий максимально упростило механизм участия в онлайн-мире. Увеличение числа видеороликов на YouTube и Google-руководств касаемо того, как использовать набор эксплойтов, как заработать в сети по черной схеме или где купить кредитные карты, также облегчило доступ в «нижние» уровни Даркнета, особенно для тех, кто хочет быть простым покупателем.

Таким образом, обобщив все вышесказанное, можно предположить, что неизбежное развитие технологий будет требовать от участников хакерских рынков постоянного повышения квалификации, чтобы удовлетворять растущим запросам покупателей. В этой связи возможно ожидать роста Даркмаркета. Однако темпы роста могут быть разными:

- возможен рост в геометрической прогрессии, потому что вариации вредоносного программного обеспечения и способы его применения бесчисленны;

- возможно снижение темпов роста и синхронизация развития Даркнета с не криминальным рынком;

- возможна связь развития теневого рынка с типами преступлений (финансовых, целевых, и других).

Для существования и развития хакерские рынки должны иметь анонимные способы общения и ведения деловых операций. Нежельский отмечает: «Каналы для транзакций в киберпреступности являются виртуальными. Первоначально использовалась комбинация веб-форумов, электронной почты и платформ мгновенного обмена сообщениями, которые поддерживают как функцию отправки личных сообщений, так и создания открытых чатов (например, широко известные протоколы обмена сообщениями Jabber, и QQ). Хотя эти каналы по-прежнему используются сегодня, современные покупатели зачастую лично посещают интернет-магазины, где могут выбрать желаемый продукт самостоятельно или с консультацией продавца, оплатить его цифровой валютой и даже получить товары без какого-либо взаимодействия или переговоров с продавцом». Подобная свобода действий покупателя указывает на то, что темный бизнес становится более зрелым, а доверительные отношения между продавцами и покупателями укрепляются.

Следует сказать несколько слов о международном языке теневых рынков. Хотя английский является универсальным языком торговли, в ходе анализа стало заметно, что он не обязательно является универсальным языком на черном рынке - есть английские переводы, дополняющие российские посты о продаже, также как и форумы на русском или украинском языках. Кроме того, имеются форумы только на немецком, французском, итальянском или даже вьетнамском языках. Тем не менее, важные сделки, как указывает Нежельский, связанные с кибератаками, обычно выполняются на английском, так как продавцы и большинство потенциальных покупателей знают этот язык.

Мнения о рынках складываются на основании того, где и как происходят транзакции. Французский исследователь киберпреступности Франсуа Паже пишет о теневых форумах следующее: «Некоторые сравнивают форумы с Крейглист - это всего лишь кучка болтающих и ничего не знающих идиотов, а товары, которые существуют на форумах, - просто остатки того, что не купили на более высоких уровнях доступа. Другие говорят, что качественные инструменты доступны на более ограниченных, высокопрофессиональных форумах, тогда как данные более доступны для общественности”. Анализ показал, что некоторые каналы открыты и легко доступны; другие требуют одноступенчатой регистрации; третьи доступны лишь по приглашению и после большого количества проверок. На некоторых открытых форумах участники могут получить доступ к закрытым магазинам своими силами, участвуя в обсуждениях и семинарах.

Исследователи признают, что за последние четыре года пользователи стали более изощренными и инновационными в отношении того, как они взаимодействуют в теневых каналах, делая их более анонимными, зашифрованными и скрытыми. Например, чаты ICQ со временем были заменены на более надежные серверы, использующие “Off-the-Record Messaging” - протоколы шифрования сообщений для сетей обмена мгновенными сообщениями, свободную схему шифрования GNU Privacy Guard (GPG), частные учетные записи Twitter, и анонимизирующие сети, такие как Tor, Invisible Internet Project (I2P) и Freenet - для обеспечения полной анонимности действий пользователей.

Как отметил Нежельский: «Участники часто меняют свою тактику общения в надежде загнать в тупик правоохранительные органы. Более опытные, как правило, используют передовые инструменты и технологии шифрования. Однако, как правило, они следуют тенденциям Даркнета. К примеру, браузер Tor - является довольно старым, но проверенным трендом, поэтому администраторы Даркнета не отказываются от браузера и настраивают доменные имена своих магазинов под него».

Даркнет (или “Deepweb” - «глубокая паутина») имеет несколько уровней доступа. Чем выше уровень магазина, тем глубже он расположен в темной сети и тем тщательнее проверка для продавцов и покупателей. Такие магазины, как правило, нелегко обнаружить, их товары гарантированно качественные и будут работать без сбоев. Напротив, самые низкие уровни (чаще всего IRC-каналы - протоколы обмена сообщениями в режиме реального времени) считаются легкодоступными, так как для доступа к ним достаточно придумать логин и пароль. Такие магазины часто посещают мошенники - которые могут обмануть покупателей, продав некачественный товар или вовсе не предоставив его после оплаты, что и делает их низкоуровневыми. Рынки, следующие за нижним уровнем, уже немного сложнее и часто требуют дополнительной проверки (регистрации и аутентификации) перед входом. Уровни, требующие меньшей проверки, имеют больше доступных финансовых и контрафактных товаров, чем сложных вредоносных программ для кибератак, которые находятся на верхних, привилегированных ярусах.

...