Rosyjscy hakerzy w podziemiu. Tajemnice przestępczej społeczności

Rosja niezmiennie pozostaje głównym źródłem zagrożenia w cyberprzestrzeni zarówno dla Polski, jak i świata zachodniego. Nie ma tygodnia, aby nie pojawiły się doniesienia o cyberatakach przeprowadzanych przez wrogich hakerów zza wschodniej granicy, chwalących się np. dostępem do paneli kontrolnych czy przejęciem ważnych plików.

Na łamach CyberDefence24 w ostatnich dniach opisywaliśmy przypadki działań cyberprzestępców, które były wycelowane w m.in. oczyszczalnię ścieków, szpital czy członków Platformy Obywatelskiej. W Holandii z kolei służby poinformowały o cyberataku na infrastrukturę krytyczną.

Unikalna społeczność i kultura

Działania rosyjskich hakerów nie wzięły się „znikąd”; są bowiem efektem wieloletniego rozwoju i ewolucji tamtejszego cyberpodziemia. Raport dotyczący tego tematu przygotowany przez dwóch analityków zagrożeń Trend Micro, Władimira Kropotowa i Fiodora Jaroczkina, ujawnia jak bardzo skomplikowana jest to sieć przestępców, funkcjonująca według własnych zasad.

Jak tłumaczy Jaroczkin, podziemie jest silnie powiązaną i odporną społecznością, która jest przystosowana do globalnych nacisków.

„Rosyjskojęzyczne cyberpodziemie wykształciło unikalną kulturę, która łączy elitarną wiedzę techniczną z surowymi zasadami postępowania, systemem zaufania opartym na reputacji oraz poziomem współpracy dorównującym legalnym przedsiębiorstwom” – wyjaśnił ekspert.

Pojawiające się co jakiś czas nowe taktyki, modele biznesowe czy narzędzia nadają tempa społeczności, która całkowicie funkcjonuje w podziemiu w oparciu o własną etykę czy system reputacji. Kropotow zauważa z kolei, że nie jest to już „zwykły” czarny rynek.

„To zorganizowane społeczeństwo cyberprzestępców, w którym o przetrwaniu i sukcesie decydują status, zaufanie i doskonałość techniczna” – dodaje współautor dokumentu.

Budować zaufanie, udowadniać wiedzę

Co ciekawe, w raporcie ukazano, że „rosyjska droga do cyberprzestępczości” niekoniecznie wynika z typowego tła osób związanych ze światem kryminalnym. Poziom wejścia określono w dokumencie jako niski – pracę w podziemnym świecie mogą znaleźć już osoby uczące się w szkołach średnich, zaś ogłoszenia pojawiają się nawet na ogólnodostępnych portalach rekrutacyjnych. Dużym wsparciem okazują się również darmowe studia, dzięki którym możliwe jest pozyskanie umiejętności związanych m.in. z kreatywnym rozwiązywaniem problemów, co jest bardzo cenione w świecie cyberprzestępców.

Jedną z podstawowych zasad rosyjskiego cyberpodziemia stanowi zaufanie. Można je zdobyć głównie poprzez właściwe zachowanie w komunikacji z innymi członkami, jak również posiadając doświadczenie cyberprzestępcze, wykazując się znajomością slangu czy wiedzy. Wystarczy jednak drobny błąd, aby ostrożni hakerzy zidentyfikowali obiecującego członka społeczności jako funkcjonariusza mającego na celu infiltrację środowiska.

Zasady powiązane z reputacją

Nietrudno się domyślić, że w budowie pozycji w cyberpodziemiu pomaga reputacja. Im starsze konto z dużą ilością dogadanych transakcji, pozytywnych ocen, tym bardziej dana osoba jest szanowana przez innych członków społeczności. Mocnym elementem jest także polecenie danego osobnika przez znanego cyberprzestępcę.

W ślad za reputacją idą też zasady. Na forach dyskusyjnych podziemnych społeczności są tematy zakazane i bezwzględnie przestrzega się zasady milczenia w danej kwestii. Nietrudno się domyślić, dlaczego - jednym z takich tematów jest ransomware, które przyciąga uwagę organów ścigania.

Jakiekolwiek zejście dyskusji z „właściwych torów” na wątek zakazany powoduje natychmiastowe zamknięcie tematu. Im więcej takich incydentów, tym bardziej ich autorzy narażają się na spadek reputacji i w konsekwencji zbanowanie konta. Do końca kariery może wystarczyć nawet plotka o powiązaniach ze służbami.

Poradniki i własny kontrwywiad

Utrzymanie się w danej społeczności daje jednak dostęp do prawdziwej kopalni wiedzy cyberprzestępczości. Poradniki dotyczące przeprowadzania oszustw, wyłudzeń, przygotowywania kampanii phishingowych czy metody brute-force można znaleźć lub zakupić w odpowiednich miejscach podziemnej sieci.

Hakerzy nie działają jednak jednowymiarowo – posiadają bowiem „własny kontrwywiad”. Na forach można znaleźć oferty zarówno dla, jak i od osób mających dostęp do organów i systemów finansowych, rządowych, a nawet międzynarodowych. Zakres cen jest zależny od rodzaju usługi; drobne rzeczy to możliwość zarobku ok. 100 dol., ale poważniejsze zlecenia sięgają nawet 3,5 tys. dol. Można również znaleźć usługi dotyczące omijania sankcji nałożonych przez Zachód.

Jak zauważono w samym dokumencie, świadomość na temat zagrożeń oraz rozwoju rosyjskiego podziemia jest krytyczna zarówno dla przedsiębiorstw, jak i organów państwowych. To właśnie tam rodzi się najwięcej cyberataków, o których można przeczytać w mediach.

Władimir Kropotow zaznacza, że krajobraz cyberpodziemia uległ przekształceniom z powodu zmian geopolitycznych. Działania przestępców coraz bardziej przenikają również do Unii Europejskiej.

„Konflikty polityczne, rosnący haktywizm i zmieniające się sojusze osłabiły zaufanie i zmodyfikowały formy współpracy – prowadząc do tworzenia nowych powiązań, także z grupami posługującymi się językiem chińskim” – wyjaśnia współautor raportu.

„Ta kwitnąca społeczność działa jako centrum, w którym przestępcy mogą opracowywać i zarabiać na nowych atakach. Zaobserwowane przez nas zmiany są szczególnie istotne dla firm, które chcą bronić się przed atakami ransomware, próbami phishingu, oszustwami i nowymi, innowacyjnymi cyberatakami. Zrozumienie wroga jest pierwszą częścią obrony przed nim” – czytamy w dokumencie opublikowanym przez Trend Micro.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].