На національному рівні федеральні відомства ще не виробили цілісну стратегію боротьби з кіберзлочинністю в "темній мережі", оскільки традиційні методи "відстеження грошей" стають дедалі складнішими у світі, де домінує криптовалюта.
Коли росія вторглася в Україну в лютому, відоме кіберзлочинне угруповання "Конті" заявило про свою "повну підтримку" президента владіміра путіна. Через три дні проукраїнський член організації оприлюднив лог-файли з детальним описом планів групи щодо подальших дій, заявивши, що лідери "Конті" "втратили все своє лайно".
Ці записи розкрили вражаюче новий вимір еволюції одного з найбільших у світі кіберзлочинних угруповань: ці групи розколювались за геополітичними ознаками – націоналістичні цілі проникали в кіберзлочинність, яка до цього часу була безжально орієнтована на отримання прибутку.
І це робить тіньовий світ так званих darknet-ринків, де злочинці торгують інструментами для комп'ютерного злому, викраденими даними, наркотиками і послугами з відмивання грошей, ще більш небезпечним і важким для контролю. Групи кіберзлочинців відмовляються від правил, які регулюють ці ринки, і використовують шкідливе програмне забезпечення, яким вони торгують на цих платформах, для того, щоб атакувати більш чутливі комп'ютерні системи, пов'язані з критично важливою інфраструктурою і державними службами країн, які вони вважають ворожими.
"Це свого роду ідеологічна кібероперація, яка відбувається між тими, кого я б назвав добровільними учасниками", – сказав Адам Мейерс, старший віцепрезидент з питань розвідки компанії CrowdStrike, яка займається технологіями кібербезпеки. – Ми спостерігаємо поширення наступальних кібероперацій на все більше і більше національних держав".
У вересні таку ж динаміку відзначили дослідники з Google та IBM. Хакерські інструменти "Конті" використовувалися у кібератаках проти України в умовах, які дослідники назвали "безпрецедентним розмиванням кордонів".
У "темній мережі" це нове середовище виникло, зокрема, завдяки успіхам правоохоронних органів: у квітні німецька влада закрила Hydra, на той час найстаріший і найбільший у світі ринок darknet, а також одне з місць, де "Конті" купували і продавали дані та хакерські інструменти, згідно з логами.
Такі групи, як "Конті", завжди були відносно агностичними щодо платформ, готовими зробити стрибок на наступну велику платформу і продовжити свій бізнес. Коли в жовтні 2013 року ФБР закрило Silk Road, перший у світі сучасний darknet-ринок, це відкрило дорогу AlphaBay, darknet-ринку, який став у 10 разів більшим за свого попередника.
Але коли Hydra зникла, її колишні адміністратори швидко заповнили порожнечу безліччю нових, менших за розміром ринків і форумів у darknet, створивши основу для того, що старший аналітик фірми Flashpoint Андраш Тот-Чіфра, яка займається розвідкою кіберзагроз, називає "війною ринків" у російськомовному darknet.
І ці майданчики не просто конфліктують із законом: вони перебувають в ідеологічному конфлікті одне з одним, розділені на прокремлівські та проукраїнські.
Вашингтон занепокоєний цими групами, але також намагається знайти рішення.
Конгресмен Джим Хаймс, який очолює підкомітет Палати представників Конгресу США з питань національної безпеки, міжнародного розвитку та грошово-кредитної політики, зазначив, що злочинці, які використовують darknet, є особливо небезпечними, оскільки їм потрібно відносно мало ресурсів, щоб зламати і скомпрометувати масові обчислювальні системи у Сполучених Штатах.
"Це надзвичайна асиметрична загроза", – сказав Хаймс.
І регулювання особливо складне, коли ми говоримо про технологічно складний світ темної павутини, каже він. "Всі розуміють, що таке мости, так? Ніхто не розуміє Monero", – сказав Хаймс, маючи на увазі важко відстежувану криптовалюту, яка стає стандартом за замовчуванням для ринків darknet.
А поліція та правоохоронні органи все ще грають у "наздоганяли", працюючи зі значними технологічними та дипломатичними обмеженнями, які перешкоджають зусиллям з припинення масштабних, децентралізованих операцій кіберзлочинців.
Водночас кіберзлочинці на цих платформах постійно вдосконалюють свою операційну безпеку. Багато нових ринків зобов'язали використовувати Monero і все частіше використовують зашифровані засоби зв'язку.
Геополітика кіберзлочинності. Російсько-українська війна відбувається і у Darknet
Витік даних "Конті" був лише першим політичним протистоянням між цими бандами на нових ринках після падіння Hydra.
У серпні відверто прокремлівська хакерська група Killnet атакувала проукраїнський дискусійний форум у darknet під назвою RuTor, стверджуючи, що ним керують агенти української спецслужби.
Тот-Чіфра з Flashpoint заявив, що це тип дій, які до цього часу були майже заборонені в кіберзлочинному світі – атака на учасника darknet, пов'язаного з країною колишнього Радянського Союзу. Наприклад, Alphabay має правила, згідно з якими платформа забороняє будь-яку діяльність, спрямовану проти росії, білорусі, Казахстану, Вірменії або Киргизстану.
Частково це пов'язано з тим, що підтримання роботи darknet-ринків завжди мало певний політичний вимір.
"росія та деякі інші країни дивляться на це крізь пальці", – сказав Хаймс, описуючи банди на кшталт "Конті" як "квазідержавні суб'єкти", яким уряди дозволяють діяти, оскільки їхні атаки на країни-суперники відповідають політичним цілям цих урядів.
До вторгнення росії в Україну між США та росією було щонайменше кілька спроб побороти транснаціональну кіберзлочинність. У липні 2021 року президент Джо Байден провів телефонну розмову з путіним, намагаючись переконати його припинити діяльність хакерських угруповань, що базуються у рф. Хоча Байден пригрозив вжити "будь-яких необхідних заходів" для захисту критичної інфраструктури Сполучених Штатів, він також заявив, що дві країни встановили лінії зв'язку з цього питання.
Але востаннє російські агенти навіть номінально співпрацювали зі своїми американськими колегами у рамках правоохоронної операції в darknet у квітні – через 10 днів після викриття Hydra і менш ніж через два місяці після вторгнення в Україну. російська влада заарештувала Дмітрія Павлова за звинуваченням у незаконному обігу наркотиків у великих розмірах. Павлов визнав, що надавав сервери в оренду в якості посередника, але заперечував пряму причетність до адміністрування сайту.
У той же час, злочинні угруповання, які використовують ці ринки, стають все більш зухвалими, використовуючи хакерські інструменти, які вони купують на платформах, для кібератак на більш великі цілі, які можуть перешкоджати урядам.
До 2017 року Мейерс зі CrowdStrike побачив появу "того, що ми називаємо полюванням на велику дичину або програм-вимагачів для підприємств", маючи на увазі інструменти, які хакери використовують для блокування доступу до комп'ютерної системи, поки не отримають платіж. Ці кіберзлочинці з'ясували, що їхні вимоги про викуп будуть краще виконуватися, якщо жертва буде змушена піти з мережі навіть на кілька годин, або якщо скомпрометовані дані будуть особливо чутливими. "Це дійсно та "золота середина", яку вони шукають", – сказав Майерс.
Тот-Чіфра з Flashpoint сказав, що ці більш гучні атаки означають, що вони також менше турбуються про те, що уряди переслідуватимуть їх.
"Ми думали, що вони не будуть атакувати об'єкти критичної інфраструктури або промислові системи через страх відплати. А потім стався Colonial Pipeline", – сказав він, маючи на увазі кібератаку східноєвропейського угруповання під назвою DarkSide у травні 2021 року на великий паливний трубопровід Східного узбережжя США, яка змусила компанію зупинити роботу на шість днів. DarkSide заявила, що атака не була політичною.
Проблема з регулюванням та правозастосуванням. Єдиної стратегії боротьби ще немає
У день падіння Hydra міністерка фінансів Джанет Йеллен виступила зі зловісним попередженням для користувачів платформи. "Ви не можете сховатися у darknet або на їхніх форумах, і ви не можете сховатися в росії або де-небудь ще в світі", – сказала Йеллен. – У координації з союзниками і партнерами, такими як Німеччина і Естонія, ми продовжимо руйнувати ці мережі".
Проте більшість користувачів-кіберзлочинців Hydra – продавці, покупці та адміністратори – досі уникли переслідування.
Критики кажуть, що це тому, що правоохоронні органи повільно адаптуються, а координація між відомствами та між урядами, в кращому випадку, була розсіяною.
На національному рівні федеральні відомства ще не виробили єдиної стратегії боротьби з кіберзлочинністю в "темній мережі", навіть у сфері незаконного обігу наркотиків, яка є однією з тих сфер, де правоохоронні органи докладають значних зусиль.
Це пов'язано з тим, що традиційні методи "відстеження грошей" стають все більш складними у світі, де домінує криптовалюта.
Колишній агент Управління по боротьбі з наркотиками (DEA) Елізабет Бісбі з 2015 року наполягає на тому, щоб федеральні правоохоронні органи навчилися відстежувати криптовалютні транзакції – один із основних способів оплати на цих ринках – в рамках розслідувань, пов'язаних з наркотиками.
Бісбі, яка зараз очолює розслідування у США в приватній фірмі з аналізу блокчейнів Chainalysis, сказала, що внутрішня пропаганда більшої кіберпідтримки у розслідуваннях Управління під час її перебування в агентстві "зустрічали з ваганням".
За її словами, в традиційному правоохоронному середовищі такі поняття, як цифрові платежі та криптовалюта, все ще незнайомі. Бісбі згадала заяви, які вона часто чула від правоохоронців, що намагаються адаптуватися: "Ми перевіряємо телефонні номери, ми ведемо спостереження на вулицях. Що ви маєте на увазі, коли кажете, що тепер ми повинні вести спостереження за допомогою комп'ютера? Що це взагалі означає?".
Іноді слідчі покладаються на традиційні методи, такі як аналіз записів телефонних дзвінків окремих продавців darknet-ринку, коли вони намагаються перевести в готівку свої криптовалютні прибутки.
Але це має свої недоліки. Щоб відстежити одного постачальника за допомогою традиційних методів розслідування, потрібно багато часу. На момент вилучення серверів Hydra мала понад 19 000 активних постачальників.
Через технологічні проблеми та міжюрисдикційний характер цих розслідувань координація багатонаціональної правоохоронної операції з припинення кіберзлочинної діяльності в darknet може зайняти роки. Hydra працювала безперешкодно протягом семи років, перш ніж її сервери були вилучені.
Останнім часом спостерігається прогрес. У США створено низку ініціатив для боротьби з інтернет-торгівлею наркотиками, включаючи Спільну кримінальну групу з боротьби з опіоїдною темною мережею, сформовану в 2018 році. Того ж року Міністерство юстиції очолило міжвідомчу групу, яка ліквідувала величезний darknet-ринок, де продавали дитячу порнографію. А на міжнародному фронті Сполучені Штати підписали протокол про міжнародну співпрацю правоохоронних органів у боротьбі з кіберзлочинністю у травні, після майже чотирьох років переговорів між Міністерством юстиції та Державним департаментом.
Але глобальна мережа кіберзлочинців також активізувала свою гру.
На додаток до використання криптовалют, таких як Monero, і більш надійного шифрування, нові darknet-ринки звертаються до вбудованих криптовалютних "міксерів", які підвищують анонімність користувачів, приховуючи походження платежів.
А відсутність регулювання продовжує сприяти торгівлі на darknet-ринках. Регулювання криптовалют у різних країнах світу дуже різниться, а це означає, що ринки можуть переїхати в іншу країну, коли в одній з них починаються репресії. А реакція на санкції в серпні 2022 року одного з таких міксерів – Tornado Cash – підкреслила, наскільки складно регулювати технології, що підтримують анонімність користувачів.
Поки федеральні регулятори ламають голову над тим, як регулювати блокчейн, Monero в серпні оголосила про оновлення шифрування для поліпшення анонімності користувачів.
Пристосування до зміненого ландшафту. Подолати можна тільки зрозумівши
Отже, це новітнє покоління darknet-ринків – це розгалужені кіберзлочинні підприємства з прихованими націоналістичними мотивами, які навчилися на помилках своїх попередників у сфері операційної безпеки.
І вони лише активізуються. Тільки за перше півріччя 2022 року у світі було зафіксовано понад 236 мільйонів атак із використанням програм-вимагачів.
"Ви повинні розуміти, що ви є мішенню для організованого кіберзлочинного угруповання, програми-вимагача або національної держави, яка намагається вкрасти вашу інтелектуальну власність", – сказав Кіт Муларскі, колишній слідчий ФБР з питань кіберзлочинності.
І оскільки мотивація цих груп змінюється, підходи до боротьби з ними, ймовірно, також повинні будуть змінюватися.
Зрештою, ключ до подолання цих тіньових кіберзагроз, за словами Муларські, полягає в тому, щоб зрозуміти "людину, яка сидить за клавіатурою".
Джерело: Politico
