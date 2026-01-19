Интервью

Специалист по кибербезопасности BI.ZONE: к счастью, ссылки злоумышленников долго не живут

В последние годы в России нередко происходят как кибератаки на бизнес и различные структуры, так и случаи мошенничества по отношению к простым пользователям. О том, как действуют хакеры в целевых атаках, сколько сейчас атакующих РФ, каковы сроки жизни фишинговых доменов и вероятность с ними столкнуться, рассказал в интервью ТАСС руководитель управления предупреждения внешних киберугроз компании BI.ZONE

— Давайте начнем с объяснения того, как начинаются целевые атаки на компании и различные структуры. Этот вид кибератак приобрел достаточно большой масштаб в последние годы.

— Целевые атаки не всегда оказываются настолько целевыми, как нам кажется. Даже почти никогда не оказываются. Многим кажется, что злоумышленники сидят в какой-нибудь комнате с компьютером и думают: "Так, вот сейчас мы будем эту компанию атаковать".

На деле это совершенно не так. Хакеры сканируют весь интернет, чтобы найти уязвимости в публично доступных приложениях, рассылают фишинговые письма по огромному количеству адресов. И когда у них вырисовывается список из 100, например, компаний с доступным входом внутрь, они принимают решение "отработать" какую-либо из них. Вот тогда и начинается целевая атака.

То есть сначала у злоумышленников аккумулируется некоторый объем скомпрометированных систем, и только потом хакеры смотрят, есть среди этого какая-то интересная компания или нет.

— Сколько, по вашим последним данным, действует хакерских группировок, например, против России?

— Мы их называем кластерами вредоносной активности, поскольку смотрим на технические особенности кибератак, по которым можем отделить одну группу от другой. И называем кластерами тех, кто реализует действительно целевые атаки, а не рассылает какое-нибудь вредоносное ПО миллионами копий всем подряд, ничего вслед за этим не предпринимая.

Для каждого кластера есть определенные наборы характеристик, с помощью которых мы отличаем один от другого. По нашим данным, на Россию сейчас нацелено более 100 кластеров. Они не все активны, в этом году активность проявляли порядка 45–50. Они могут исчезать, а через какое-то время снова появляться. Были случаи, когда кластеры возвращались через два-три года. Новые кластеры появляются тоже. Их активность определяем по поведенческим маркерам: по присущему кластерам вредоносному ПО, по конфигурации серверов и так далее.

Есть вообще интересные группировки, которые исчезают буквально сразу после реализации успешной атаки и получения выкупа. Через какое-то время деньги у них, видимо, заканчиваются, и они снова активизируются.

— Как активно сейчас хакерами используется ИИ и могут ли эти технологии принести им результат?

— Я бы не сказал, что злоумышленники очень активно используют искусственный интеллект, хоть такие случаи и встречаются. Не все хакеры достаточно подкованы технически, чтобы реализовать сложную кибератаку, написать вредоносный код и скрипты. Они, конечно, прибегают в таких случаях к помощи ИИ. Но здесь речь именно о том, чтобы компенсировать пробелы в знаниях, а не о том, чтобы сделать что-то революционное, обойти современные средства защиты и так далее. Те ИИ-модели, которые известны на сегодняшний день, могут автоматизировать атаку, могут ускорить ее, но улучшить результативность — нет.

У ИИ есть еще одна проблема, с точки зрения хакеров, конечно: у всех сегодняшних моделей есть встроенные этические правила, защита от создания вредоносных скриптов и вообще от реализации вредоносных действий. Конечно, модель можно обмануть. Например, разбить большой запрос на части или убедить ИИ, что он решает задачу для пентеста. И конечно, есть модели, которые создают сами злоумышленники и у которых такие ограничения отсутствуют. Но в любом случае мышление ИИ-моделей остается довольно шаблонным. Как и решения, которые они предлагают.

Да, есть примеры, когда злоумышленники заставляли ИИ выполнить 80–90% всей их "работы". Но методы и инструменты, которые использовала модель, довольно легко выявлялись. Иными словами, это сработает, если киберзащита в атакуемой компании отсутствует. Но если защита есть, если используются современные инструменты, то шансы на успешную атаку ИИ не повысит.

Искусственный интеллект — по крайней мере, пока что — принимает не такие креативные решения, как человек, разбирающийся в кибератаках. А значит, и быстрее "спалится".

— Поговорим о фишинговых веб-ресурсах. Сколько примерно проходит времени между созданием доменов для фишинговых сайтов и их блокировкой?

— Бывает по-разному. Есть домены, которые были зарегистрированы, но пока остаются пустыми. На них нет фишинговой страницы, они не используются как командный сервер, просто оставлены про запас, на будущее. Поскольку вредоносного контента на них нет, такие домены сложнее отправить на блокировку, и процесс занимает больше времени.

Если же мы говорим про домены, на которых уже есть контент, например они используются как фишинговые страницы, то такие ресурсы блокируются в среднем в течение суток. Подобную активность злоумышленников мониторит сразу много вендоров. И если преступники, например, пытаются использовать на своих сайтах логотипы реальных компаний, это очень быстро фиксируется и отправляется на блокировку.

А у доменов, которые атакующие используют в качестве адресов командных серверов, часто есть свои особенности. Это иногда позволяет заранее определить, что тот или иной домен будет использоваться злоумышленниками для реализации кибератаки.

— Получается, что за сутки от создания до блокировки домена никто не может даже ничего успеть украсть?

— Все так. Именно поэтому злоумышленники регистрируют очень большое количество доменов. Даже один такой домен может нанести очень большой ущерб, если проживет подольше.

— Какова в целом вероятность того, что человек, выйдя в Сеть, столкнется с фишинговым сайтом?

— Вероятность есть. Тут все зависит от того, что человек ищет и насколько злоумышленники заинтересованы сделать так, чтобы он на что-то наткнулся. Например, знаем о группировке, которая нацеливается на бухгалтеров. Помимо того что они довольно большими объемами шлют фишинговые письма по разным юридическим лицам, они еще и эксплуатируют термины, которые популярны и которые ищут бухгалтеры. Например, какие-нибудь определенные бланки или формы для отчетности.

Эти атакующие закупают рекламу по типу "такой-то бланк скачать бесплатно", и в результате их страница высвечивается где-то третьей в поисковой выдаче. То есть она оказывается в топе, но не самой первой, чтобы это выглядело естественно. А дальше все просто: человек кликает по ссылке, переходит по ней, скачивает якобы бланк, а на самом деле на устройство в это время устанавливается бэкдор.

— Что интересно: опасно ли, сидя в поисковике, переходить на дальние страницы выдачи? Есть ли вероятность найти там нечто нехорошее?

— Скорее нет, чем да. Злоумышленники хотят увеличить вероятность перехода по фишинговым ссылкам. Именно поэтому они, помимо прочего, закупают рекламу, чтобы их сайты оказывались на первой странице в поисковой выдаче. А на страницы дальше первой чаще всего никто не ходит. Мне не встречались случаи, чтобы злоумышленники пытались свой контент разместить где-то далеко. Наоборот, они целятся в топ выдачи, чтобы у них было максимальное количество жертв.

Человек может искать какую-нибудь литературу, видео, что-то для бесплатного скачивания, не находить этого на первых страницах и листать дальше. Гипотетически да, там могут быть какие-то ссылки на что-нибудь вредоносное. Однако мне все же кажется, что такая стратегия для злоумышленников не очень-то выигрышная. И к счастью для нас и к сожалению для злоумышленников, их ссылки долго не живут.