Botnet продолжает охоту в Сети

Оперуполномоченный по особо важным делам Национального центрального бюро Интерпола МВД России капитан полиции Вадим СУЩИК рассказал о проблемах противодействия транснациональной преступности 2 Июнь 2016, 13:59
В 2015 году НЦБ Интерпола во взаимодействии с Управлением «К» МВД России приняло участие в международной полицейской операции по ликвидации инфраструктуры бот-сети «Симда», насчитывавшей порядка 770 тысяч «заражённых» компьютеров по всему миру. Оперуполномоченный по особо важным делам Национального центрального бюро Интерпола МВД России капитан полиции Вадим СУЩИК в эфире радиостанции «Милицейская волна» рассказал о проблемах противодействия транснациональной преступности.
- Вадим Викторович, расскажите подробнее об этой международной операции.

- Соответствующий запрос из Международного центра Интерпола по инновациям поступил в адрес НЦБ Интерпола МВД России в апреле 2015 года.

С помощью вредоносного программного обеспечения SIMDA злоумышленники занимались незаконным сбором персональных данных, хищением паролей пользователей в системе дистанционного банковского обслуживания, скрыто загружали на ПЭВМ другое вредоносное программное обеспечение.

Лишь за первые 2 месяца 2015 года только в США было зафиксировано 90 000 новых «заражений». Саму бот-сеть обнаружили более чем в 190 странах, преимущественно в США, Великобритании, Турции и Канаде. Один из управляющих серверов SIMDA, предположительно, располагался в России.

НЦБ Интерпола совместно с Управлением «К» МВД России был разработан алгоритм проведения соответствующих мероприятий. Операция проходила одновременно в нескольких государствах. В строго определённый период сотрудниками МВД России была прекращена деятельность российского сервера. Управляющие серверы также изъяли в Нидерландах, работу остальных блокировали в США, Люксембурге и Польше. Таким образом удалось ликвидировать большую часть инфраструктуры SIMDA.

- В чём смысл бот-сети? Что это такое и чем она опасна?

- Это слово состоит из двух частей: bot - робот и net - от английского слова network - сеть. То есть это часть компьютерного оборудования, объединённого в единую сеть для выполнения вредоносной функции. Как правило, она имеет единый центр управления, называемый контрольно-командным или управляющим сервером.

Использование бот-сети может причинить реальный ущерб гражданам и организациям. Как пример - реализация сетевых атак на отказ в обслуживании - «DDoS»-атаки. Их смысл заключается в том, что вредоносным программным обеспечением «заражается» огромное количество компьютеров (ботов). При поступлении команды с управляющего сервера они начинают направлять на сервер-жертву ложные запросы без ведома их владельцев. В результате все ресурсы сервера уходят на обработку предъявленных запросов, и он блокируется для остальных пользователей.

«DDoS»-атаки приводят к сбою работы объекта, против которого они направлены, и могут нанести значительный финансовый ущерб.

- Что с этого получают злоумышленники?

- Ими могут оказаться конкуренты, завистники, недоброжелатели или вымогатели, которые начнут атаку, а через пару дней свяжутся с жертвой. Например, попросят вознаграждение за прекращение вредительства. Суммы разные - от нескольких сот долларов, если это малоизвестный веб-сайт. Цена станет расти, если ресурс популярный, например, крупная торговая площадка.

Представьте, какой-нибудь аукцион проводит онлайн-продажу дорогостоящего лота. Участники платят взносы, готовы побороться за него, и тут приходит известие, что сервер атакован и торги не состоятся. Естественно, клиенты возмущены, требуют обратно денег, репутация организаторов торгов падает.

- Какая ответственность предусмотрена за такого рода преступления?

- Стоит отметить, что ответственности за создание бот-сетей в нашем законодательстве нет. Но так как этому предшествует «заражение» компьютерного оборудования вредоносным программным обеспечением, то деяние квалифицируется по статье 273 УК РФ - «Создание, использование и распространение вредоносного программного обеспечения».

Если мы говорим о хищениях денежных средств, совершаемых в сфере дистанционного банковского обслуживания, применяется статья 159.6 УК РФ - «Мошенничество в сфере компьютерной информации».

- Противодействие бот-сетям - это ваша постоянная работа?

- Это, можно сказать, часть повседневной деятельности НЦБ Интерпола. Сюда же относится и информационное обеспечение сотрудничества, связанное с созданием, использованием и распространением вредоносного программного обеспечения, в частности, «DDoS»-атаки. Поэтому мы на постоянной основе получаем запросы от зарубежных партнёров с просьбами оказать содействие в получении компьютерной информации, которой располагают российские провайдеры интернет-услуг, операторы связи. Это будет способствовать раскрытию конкретного преступления, связанного с использованием бот-сетей и в целом вредоносного программного обеспечения. По мнению специалистов, доходы от киберпреступности вскоре могут превысить доходы от наркоторговли…

- Насколько активно идёт обмен информацией между различными странами, являющимися членами Интерпола? Есть ли трудности?

- Такой обмен осуществляется на постоянной основе. Устанавливаем принадлежности сетевых адресов, лог-файлы доступов к аккаунтам социальных сетей, данные о владельцах электронных кошельков, информацию об администраторах доменных имён.

Трудности при этом, безусловно, возникают. Связаны они, прежде всего, с тем, что каждое государство работает в рамках национального законодательства с учётом обязательств, предусмотренных международными договорами. Основания предоставления информации различаются.

Например, когда мы говорим о так называемой краже личности (identity theft). В Польше, США, прибалтийских странах и ряде других государств она подразумевает хищение паролей от различных учётных записей, от электронной почты, социальных сетей. Или незаконное собирание сведений о личной жизни человека, овладение фотоизображением человека, в том числе интимного плана, которое может быть выложено в Сеть и опорочить его честь и достоинство.

У нас такого преступления нет, если только речь не идёт о нарушении неприкосновенности частной жизни лица, то есть о распространении сведений, составляющих его личную и семейную тайну.

- Много ли вам приходит запросов о предоставлении информации, которые не могут быть исполнены?

- Достаточно. Но связано это не с тем, что мы не можем оказать содействие. Чаще всего иностранные партнёры в запросах отображают недостаточно исходных данных (фабулу дела), либо неясно, как эта информация будет использоваться, отсутствует цель запроса.

Иногда существуют и юридические препятствия. К примеру, когда информацию можно получить только на основании решения суда (электронная переписка пользователей), и, соответственно, её запрещено разглашать без международного запроса о правовой помощи.

Пристальное внимание НЦБ Интерпола уделяет запросам, связанным с направлением персональных данных граждан, и не допускает необоснованных случаев их трансграничной передачи правоохранительным органам зарубежных государств.

- Насколько большой объём информации именно по киберпреступности проходит через Интерпол?

- За прошлый год в адрес НЦБ Интерпола МВД России поступило около 80 тысяч сообщений. В целом же киберпреступность занимает порядка 5 % от общего документооборота. Но это не мало, как может показаться на первый взгляд.

Несмотря на то что количество выявленных подобных преступлений растёт, всё же остаётся значительная доля латентных. Имеют место случаи, когда причинённый ущерб невелик для организации, и она может не обратиться в правоохранительные органы, дабы не навредить своей деловой репутации.