Если раньше основной целью киберпреступников были банки, финансовые и медицинские учреждения, то теперь злоумышленники нацелены и на совершенно другие сферы, в частности, на предприятия добывающей промышленности. При этом проблема кибератак в этой отрасли также тесно связана с возрастающей степенью автоматизации ее процессов, отметили в компании. На смену ручному труду и простым механизмам пришли электронные устройства, которые контролируются централизованно с помощью специального программного обеспечения. Сегодня на подобных предприятиях используются операционные технологии (Operational Technology, OT) — аппаратное и программное обеспечение, которое обнаруживает изменения в производственном процессе и управляет ими. При этом во многих организациях OT в лучшем случае слабо защищены от возможных кибератак. А все большее проникновение в отрасль облачных вычислений, систем бизнес-аналитики и интернета вещей приводит к сращиванию ИТ и OT, что дает злоумышленникам широкий доступ к компонентам систем и критически важным процессам, пояснили в Trend Micro.

Важным фактором является и то, что большинство промышленных систем управления (Industrial Control Systems, ICS), которые используются сегодня, были разработаны десятилетия назад. В связи с новыми требованиями подключения к корпоративной сети и использования удаленного доступа, разработчики ICS, как правило, адаптируют соответствующие ИТ-решения для упрощения интеграции и снижения затрат на разработку. Однако это приводит к возникновению целого ряда новых уязвимостей.

Компания привела примеры некоторых крупных кибератак в добывающей промышленности. Так, в апреле и мае 2015 г. канадская золотодобывающая компания Detour Gold Corp. подверглась атаке хакерской группировки, которая называла себя Angels_Of_Truth. В результате злоумышленниками было украдено более 100 ГБ ценной информации. При этом 18 ГБ из этих данных были размещены на торрент-трекере.

В феврале 2016 г. Департамент промышленности, ресурсов и энергетики Нового Южного Уэльса также подвергся атаке хакеров. Злоумышленники безуспешно пытались получить доступ к конфиденциальной информации, касающейся разрешения на добычу полезных ископаемых.

В апреле 2016 г. в канадской золотодобывающей компании Goldcorp произошла крупная утечка данных. Злоумышленники обнародовали 14,8 ГБ данных, разместив соответствующий документ на Pastebin, сайте для хранения и общего использования данных, с ссылкой на его скачивание. Архив содержал персональные данные работников и финансовую информацию.

«Кибератаки в промышленности совершаются, в основном, для того, чтобы получить определенные технические знания для конкурентного преимущества, ослабить экономику другого государства, заполучить определённые данные (личную информацию (PII), финансовую составляющую или учетные записи) или даже с целью протеста против компаний в добывающей отрасли как источника загрязнения окружающей среды, — указали в Trend Micro. — При этом среди тех, кто является инициатором таких атак, можно выделить иностранные государства, организованные киберпреступные синдикаты, конкурентов компаний, хактивистов».

Как отмечается в отчете, кибератаки способны оказывать большое влияние на бизнес компании, например, приводить к ухудшению финансовых показателей, краже интеллектуальной собственности, потере конкурентного преимущества и т.д. Все это становится возможным из-за способности киберпреступников получить доступ к необходимой информации. При этом в добывающей промышленности злоумышленников интересуют, прежде всего: данные по ценообразованию на металлы и минералы; интеллектуальная собственность, например, способ производства, обработки сырья, химических формул, программное обеспечение и т. д.; информация о государственной политике, решениях и процессах принятия решений руководителями корпораций; данные о новых потенциальных месторождениях; информация о запасах руды и производственном процессе; данные систем мониторинга шахт, которые используются для контроля производства, безопасности и мониторинга состояния окружающей среды в режиме реального времени.

Кибератаки в добывающей промышленности не только могут быть причиной потерь из-за простоев на производстве, но и оказать негативное влияние на стоимость акций компании, а также нанести ущерб экономике страны или региона, если она сильно зависит от подобного предприятия, подчеркнули в компании.

Наиболее часто используемыми методами совершения кибератак на сегодняшний являются: фишинг и социальная инженерия; эксплуатация уязвимостей; заражение сайта, который сотрудники предприятия посещают чаще всего; неправильная конфигурация системы эксплуатации; скрытая загрузка; вредоносная реклама; компрометация сторонних вендоров; атака «человек посередине» (MitM); заражение оборудования; инсайдеры.

Сегодня большинство предприятий добывающей промышленности не осознают важность защиты от кибератак, а тем временем в их деятельности обнаруживаются все новые уязвимости, которыми могут воспользоваться злоумышленники. По мнению специалистов Trend Micro, отдельное внимание специалистам по кибербезопасности стоит уделить крупным добывающим компаниям, чья деятельность напрямую связана с состоянием экономики отдельных регионов или стран — им прежде всего необходимо внедрять передовые методы защиты на всех уровнях управления предприятием.

Свой интерес к корреспонденту посредник объяснил публикацией о полезных и легальных методах применения анонимной сети, которая недавно попалась ему на глаза в одном из изданий.

Поскольку предложение «развить эту тему» никак не увязывалось с личностью Nikkon, беседа так и не состоялась. Позднее истории Nikkon были опубликованы изданиями «Медуза» и «Бумага», что, как оказалось, было лишь ловким продолжением масштабной PR-акции администрации Runion.
Площадка с историей

Одна из старейших и в прошлом уважаемых площадок даркнета Runion позиционирует себя прежде всего как форум, где пользователи могут без каких-либо ограничений обсуждать какие угодно темы. В основном разговоры касаются реальных и виртуальных преступлений, обеспечения анонимности, защиты информации и создания финансовых пирамид.

Форум также используется преступниками для торговли наркотиками, оружием и виртуальными личностями. Правда, как утверждают создатели площадки, ее не стоит считать полноценным онлайн-магазином. В отличие от конкурентов, пользователи Runion не хотят «променять свои свободы на золотые клетки».

Вирусное продвижение
Однако именно из-за стремительного роста нелегальных торговых площадок Runion, по утверждениям ряда продвинутых пользователей, еще несколько лет назад начал активную PR-кампанию за пределами даркнета. Вероятно, администрация столкнулась с резким снижением числа посетителей, ведь, в отличие от онлайн-маркетов, Runion был местом, где наиболее осведомленные юзеры «темного» интернета обсуждали различные способы сетевого мошенничества. Администраторы попытались привлечь ту аудиторию, которая подозревала о существовании скрытого сегмента, но не посещала его.

Многие указывают на то, что информационная кампания началась в том числе и с рассуждений о свободе слова и анонимности на просторах «Хабрахабра» — узкоспециального ресурса для дискуссий о современных технологиях и интернете.

Статья за авторством пользователя RussianOnion, которую удалось обнаружить на сайте, посвящена удручающему состоянию российского сегмента Tor. По мнению автора, в этом виноваты СМИ, «очернители» даркнета и сами создатели анонимной сети. Площадки-конкуренты из так называемой «большой четверки», самых посещаемых ресурсов русскоязычного даркнета — Amberoad, R2D2 и RAMP, в материале презрительно именовались исключительно торговыми.

Runion же в очередной раз представал как место для анонимного общения. Его посетители, по словам автора, обладали «обостренным чувством справедливости», для них «анонимность, безопасность и свобода имеют высший приоритет».

Кроме того, как вспоминают несколько анонимных интернет-пользователей, форум успешно разместил баннер со своими координатами на популярном ресурсе Lurkmore, ныне заблокированном в России. Вероятно, даркнет-площадка искала новых пользователей среди наиболее технически подкованной аудитории, поскольку Lurkmore, весьма популярная энциклопедия интернет-фольклора, использовался знающими юзерами.

Еще один инструмент в борьбе за новых пользователей — атаки на соседние площадки. Очевидно, что материалы, якобы просвещающие неопытных читателей, работали не столь эффективно и не могли привлечь новых покупателей.

Администрация Runion, предположительно, действовала по следующей схеме: после взлома площадок-конкурентов (а также нескольких биткоин-бирж) атакующие выкачивали хеши серверов, по которым идентифицировали пользователей и администраторов ресурсов. В одном из своих постов Nikkon утверждал, что под угрозой «слива» данных в правоохранительные органы их заставляли разместить на сайте рекламные баннеры, ведущие на Runion.

В частности, после нескольких набегов прекратили свое существование вышеупомянутые Amberoad и R2D2, а также десятки других мелких даркнет-форумов. Пользователи, приходящие на Runion в поисках виновников, быстро блокировались, а отрицательные отзывы удалялись.

Администрация Runion даже создала на форуме отдельную тему, где активно обсуждались взломы площадок. Админы опубликовали призыв к пользователям искать в сайтах уязвимости, «вскрывать» администраторов и требовать размещения рекламного баннера Runion. В обсуждении также вывешивались трофеи — данные со взломанных серверов и личная информация администраторов. Несогласных с подобной политикой форума сразу отправляли в бан.
Бизнес с гарантией

Через некоторое время на Runion и возник свой гарант для сделок, связанных с оружием и наркотиками. По рассказам анонимных пользователей, незадолго до этого на площадке произошла громкая история: один из покупателей не смог приобрести психотропные вещества и лишился 10 тысяч долларов. Однако после отправки жалобы администратору он просто исчез, как и продавец с несуществующим товаром. Некоторые обитатели форума предположили, что администрация предпочла «слить» недовольного покупателя правоохранительным органам.

Это серьезно ударило по репутации площадки, после чего Nikkon и начал страховать сделки. Именно его пытался связать с корреспондентом анонимный товарищ администратора.

Появление гаранта ознаменовалось новыми правилами — он забирал себе 5-10 процентов от суммы сделки. В случае неудачи гарант возвращал покупателю всю сумму, но оставлял себе вознаграждение за страховку. На форуме Nikkon также значится как автор многих статей и посредник между продавцами нелегальных товаров и заказчиками.

Бывшие активные пользователи нескольких площадок, которым ранее довелось общаться с управленцами Runion, утверждают, что администраторы и крупные продавцы форума, в том числе zed, SleepWalker (упоминался в СМИ как продавец поддельных личностей), Nikkon и Lebanon — один и тот же человек. Об этом же корреспонденту «Ленты.ру» рассказали еще несколько анонимных пользователей.

В этом случае, вероятно, схема с гарантом могла быть более чем прибыльной: если продавец и пользователь, обеспечивающий надежность покупки, — это одно лицо, то в случае срыва сделки процент страховщика не возвращался. Покупатель же терял доверие к продавцу, но никак не к гаранту.

По рассказам опытных пользователей даркнета, некоторое время назад гарант (на Runion таким статусом обладает только Nikkon) временно отказывался обеспечивать сделки и пытался организовать «переезд» площадки на другой сервер из «соображений безопасности». Параллельно с этим ряд продавцов и покупателей нелегальных товаров бесследно исчезли, что породило слухи о связи администраторов с правоохранительными органами.

Подобные до***ки в разговорах озвучивают многие анонимные пользователи. Некоторые из них также утверждают, что взломы площадок-конкурентов были совершены в основном с помощью крайне профессиональных инструментов, которыми владеют далеко не все администраторы сайтов даркнета.
Нечестная конкуренция

Очевидно, что растущая осведомленность обычных пользователей о даркнете и способах использования анонимной сети заставила нелегальные площадки, ведущие сомнительный бизнес, развязать жесткую борьбу за каждого покупателя. На первый план вышли такие факторы, как дизайн и функциональность ресурсов, а также оперативность проведения сделок.

Наиболее действенную модель монетизации в конечном счете применил Darkside — основатель и главный администратор сайта RAMP. Он начал брать с продавцов от 500 до 1000 долларов за возможность торговать на своей площадке, что позволило ему зарабатывать по полмиллиона долларов в год, не участвуя в самих сделках. Кроме того, нанятые им администраторы смогли создать между нелегальными селлерами атмосферу непрекращающегося противостояния.

Они оставили за собой право модерировать и удалять комментарии, а ссылки на магазины с положительными отзывами размещались выше в разделах сайта. Если же продавцы обманывали пользователей, то они блокировались и автоматически лишались возможности торговать на площадке. Столь жесткая политика в итоге способствовала росту числа посетителей, уверенных в честности селлеров.

В то же время это привело к оттоку посетителей у Runion, ведь изначально не являвшийся торговой площадкой форум быстро начал проигрывать конкуренцию RAMP. Многие пользователи старейшего ресурса даркнета тоже занимались продажей различных нелегальных товаров, а также хакерских справочных материалов и инструкций по взлому. Но это не гарантировало им и администрации ощутимых доходов, поскольку наибольшую прибыль в «темном» интернете приносит торговля наркотиками.

По мнению ряда анонимных пользователей, именно поэтому Nikkon и другие модераторы Runion сделали упор на развитии связанных с психотропными веществами торговых веток форума и ввели услуги гаранта. Но эти меры, по всей видимости, не принесли им желаемого притока клиентов, поэтому администраторы решились на PR-кампанию за пределами даркнета. Используя интерес к происходящему в «темном» интернете со стороны представителей СМИ, они обратились к специализирующимся на этой теме журналистам и убедили их написать статьи в популярных онлайн-изданиях.

Это позволило повысить узнаваемость бренда Runion среди наиболее активных и осведомленных пользователей сети, а также очернить конкурентов и обвинить их в формировании негативного отношения к русскоязычному сегменту Tor со стороны правоохранительных органов и общества.

Однако именно такие действия администрации Runion в конечном счете и приводят к той самой деградации российского даркнета, о которой уже несколько лет говорят опытные пользователи анонимной сети. Множество публикаций, где сайты зоны .onion предстают в качестве основных распространителей оружия и наркотиков, несомненно, привлекают к ним столь необходимое для обеспечения безопасности россиян внимание правоохранителей.

Но одновременно общество начинает забывать и о многих полезных ресурсах в Tor. Например, расширенной версии «Википедии», которая в случае решительных действий властей пострадает не меньше, чем скрывающиеся за маской анонимности наркодельцы.