from 01.01.2000 until now
Russian Federation
12.00.02
12.00.10
12.00.12
12.00.14
10.07
60
The article discusses the changes that cybercrime in the Russian Federation, suggests ways to improve the process of investigation of this type of crimes.
cybercrime, forensic examination
В наши дни компьютерные технологии широко используются большинством институтов общества и государства [5, с. 326]. Повсеместное использование электронных расчетов в Российской Федерации и за ее пределами повлияло на быстрый рост преступлений в этой сфере – формирование так называемой киберпреступности.
Компьютерная преступность, как и любая другая, видоизменяется и развивается со временем, что требует от правоохранительных органов совершенствования методов и технологий предотвращения, пресечения и раскрытия преступлений такого типа [4, c. 40].
За последние 6 лет киберпреступность в Российской Федерации подверглась существенной трансформации. Так, экосистема преступлений в сфере информационных технологий ранее базировалась на разделении ролей в группировках преступников. Вредоносные программы в наибольшей степени распространялись через новостные платформы и другие легитимные российские сайты в сети Интернет. Многие группировки зарабатывали за счет распространения уязвимостей (эксплойтов) через легальные веб-сайты. Вокруг этого процесса был построен целый рынок, со специальным персоналом, обеспечивающим его функционирование. В то время интернет-браузеры содержали большое количество уязвимостей и в целом были небезопасны. Атаки через плагины, такие как Adobe Flash, Silverlight и Java были одними из самых простых и часто используемых способов заражения пользовательских устройств [5].
В наши дни браузеры стали намного безопаснее: некоторые из них обновляются автоматически, без участия пользователя, а разработчики браузеров постоянно инвестируют в оценку уязвимостей. Кроме того, с развитием многочисленных программ по оплате найденных уязвимостей, стало проще продавать обнаруженные «дыры в защите» самим разработчикам, а не искать покупателя в темном интернете (так называемом DarkNet). Это также привело к росту цен на уязвимости, и, в конечном счете, они стали малопривлекательными для преступников.
Приложения стали сложнее, их архитектура - лучше. Это радикально изменило методы работы русскоязычных киберпреступников. Поскольку браузерные атаки больше не являются простыми в исполнении, целый ряд ролей в преступных группах перестал быть востребованным. Сюда входили исполнители, специализирующиеся на покупке и направлении интернет-трафика на определенные страницы с эксплойтами, разрабатывающие и продающие пакеты уязвимостей, покупающие доступ к определенным устройствам.
По мере того, как организации внедряют новые IT-услуги, киберпреступники следуют тем же тенденциям и изменениям [2, с. 40]. Развитие технологий привело к тому, что преступникам такого типа в наши дни намного легче получить доступ к новым эффективным вредоносным программам, купить их, а не заниматься разработкой собственных вредоносных программ или эксплойтов самостоятельно.
С развитием инструментов и услуг по тестированию на проникновение на темном рынке появились новые вредоносные инструменты. Эти инструменты разрабатываются и используются для законных услуг, таких как оценка инфраструктуры безопасности клиентов и потенциала для успешного проникновения в сеть. Они предназначены для продажи тщательно отобранным клиентам, которые будут использовать их только в законных целях. Тем не менее, неизбежно эти инструменты в конечном итоге оказываются в руках киберпреступников. Одним из наиболее ярких примеров является любимый киберпреступниками CobaltStrike, декомпилированная версия которого просочилась в сеть в ноябре 2020 года - и теперь активно используется как киберпреступниками, так и APT-группами. Среди других - Bloodhound, еще один любимый инструмент киберпреступников для составления карты сети, Kali и Commando VM для специализированного распространения, Core Impact и Metaspoit Framework для эксплуатации уязвимостей, использование netscan.exe (SoftPerfect Network Scanner) на взломанных компьютерах, а также легитимные сервисы для удаленного доступа, такие как TeamViewer, AnyDesk и RMS/LMS. В довершение всего киберпреступники используют легитимные сервисы, предназначенные для помощи системным администраторам, такие как PSexec, позволяющий удаленно выполнять программы [5].
Таким образом, для успешного функционирования в 2022 году кибербанде необходимы менеджеры, операторы вредоносных программ, специалисты по получению доступа к сети и финансовые специалисты, которые займутся извлечением и обналичиванием похищенных средств.
В отраслевом плане киберпреступники больше не ограничиваются финансовыми учреждениями. Появление ботнетов создало рынок сетевого доступа - компании из всех отраслей промышленности взламываются, а доступ к ним впоследствии продается в темном сегменте Интернет. Пандемия также сыграла свою роль в его развитии: компании перевели большую часть своей инфраструктуры в онлайн и открыли ее для удаленных работников, что привело к расширению поверхности атаки и увеличению количества способов взлома в других, более защищенных сетях. Другим важным объектом атак являются организации и пользователи, владеющие криптовалютой или оперирующие ею - криптобиржи, криптокошельки и другие являются одними из самых привлекательных целей [3, с. 88].
Мир темных веб-рынков также претерпел изменения. Несмотря на то, что до сих пор существует несколько популярных площадок, где киберпреступники могут встретиться и предложить свои услуги, серьезные преступники все больше и больше уходят в тень. Ярким примером этого являются операторы программ-выкупов, которые были изгнаны с популярных темных веб-платформ из-за повышенного интереса к их деятельности. Теперь они предпочитают общаться в частном порядке. Доступность защищенных мессенджеров также сыграла свою роль, поскольку киберпреступники общаются напрямую, а не через форумы [1, с. 81].
Существующие негативные тенденции накладывают свой отпечаток на изменение методов борьбы с современной киберпреступностью. Так, в частных компаниях, занимающихся вопросами кибербезопасности в зарубежных странах, например Израиле и США, уже несколько лет существуют должности кибер-аналитиков, получающих настоящие сведения о преступниках в сфере информационных технологий.
В связи с вышеизложенным, по нашему мнению, в наши дни назрела необходимость создания в структуре МВД Российской Федерации отделов полиции, сотрудники которых будут специализироваться на выявлении реальных данных киберпреступников, заниматься их «деанонимизацией» и дальнейшей работой по раскрытию преступлений такого типа. В отличие от киберспециалистов, работникам таких отделов не обязательно обладать расширенными навыками программирования. Работа по поиску личных данных киберпреступников будет связана с умением общаться используя методы социальной инженерии, собирать по крупицам информацию и анализировать ее.
1. Borodin M.S. criminal law in the era of digital transformation, or how to counteract cybercrime. In the collection: investigative activities: problems, their solution, development prospects. Materials of the IV All-Russian Youth Scientific and Practical Conference. Moscow, 2020. S. 79-83.
2. Kirilenko V.P., Alekseev G.V. Cybercrime and digital transformation // Theoretical and applied jurisprudence. 2021 No. 1 S. 39-53.
3. Lobach D.V., Smirnova E.A. Organized cybercrime in modern conditions of digital transformation of social relations // Advances in Law Studies. 2020. V. 8. No. S5. pp. 86-93.
4. Bulgakov V., Trushchenkov I., Yarmak K., Trushchenkova I., Bulgakova E. Using virtual reality systems for crime scene reconstruction // Communications in Computer and Information Science. 2021. Vol. 1448 CCIS. pp. 325-335.
5. Sabitov R. Russian-speaking cybercrime evolution: What changed from 2016 to 2021. Kaspersky security experts report. Electronic resource: https://securelist.com/russian-speaking-cybercrime-evolution-2016-2021/104656/.
