Современные киберпреступники дышат в затылок APT-группам

Первые выстрелы в украинско-российском конфликте были сделаны не из огнестрельного оружия, а при помощи компьютерной клавиатуры. В современном мире киберпространство является полноценным местом проведения боевых действий, а APT-группы ничем не отличаются от солдат.

Россия отошла от стандартных норм ведения войны в 2008 году, устроив кибератаки на сайты и интернет-инфраструктуру Грузии, как в свое время сообщало издание Small War Journal. Инцидент считается первой в истории координированной кибератакой, синхронизированной с военными действиями в реальном мире.

В современном мире директоры по информационной безопасности должны быть уверенными в том, что их организации способны отслеживать, мониторить и устранять угрозы, исходящие из множества фокальных точек. Сейчас серьезную угрозу представляют не только известные APT-группы, но и среднестатистические киберпреступники.

В последнее время все чаще встречаются заявления проукраинских киберпреступных группировок об удачных атаках на российские организации и даже российские киберпреступные группировки, атакующие западную инфраструктуру. Бегло ознакомившись с профилями и Telegram-каналами этих группировок в Twitter, легко понять, насколько структурированными они являются и как слаженно работают.

Как объяснить это массовое включение киберпреступников в кибервойну между государствами? Было бы просто сказать, что всему виной появление новых технологий. Однако дело не только в этом. Смещение фокуса киберпреступников глубоко связано с изменениями во внутренней динамике самого киберпреступного мира.

Последние десять лет в киберпреступном мире происходит так называемый феномен «прыжка» (leapfrogging), когда организация-последователь опережает («перепрыгивает») организацию-конкурента и становится лидером в отрасли. «Прыжок» предполагает обход стандартного поэтапного пути развития, когда государство, предприятие или отдельное лицо умело пользуется открывшимися возможностями и инновациями для ускорения развития и быстрого занятия лидирующей позиции.

Киберпреступное подполье предоставляет хакерам большое количество возможностей для «прыжка». В частности, новые игроки могут пользоваться инструментами и сервисами, разработанными их более опытными коллегами, и с их помощью проводить сложные кибератаки, которые ранее можно было осуществлять, только пройдя поэтапное развитие и нарастив достаточно опыта.

Спрос на подобные инструменты побуждает все больше и больше хакеров предлагать новые сервисы по разным бизнес-моделям. Одними из самых популярных сервисов в настоящее время являются брокеры начального доступа, ежедневно продающие другим киберпреступникам доступ к тысячам взломанных сетей.

Всего за $10 можно купить доступ к сетям одной организации и закрепиться в ее системах без необходимости взламывать их самостоятельно. Отдавая часть процессов на аутсорс, рядовые хакеры могут разом перепрыгнуть несколько этапов и приблизить свои атаки по уровню к атакам APT-групп.

По мере появления у обычных киберпреступников возможностей, не уступающих APT, все больше группировок оказываются всего на расстоянии одного клика от серьезных хакеров, финансируемых правительствами, и приобретают статус квази-APT.