Hi-Tech

Настоящий кибердетектив

Материал подготовлен при поддержке Group-IB

Она вызвала отказ в обслуживании сайта компании из-за огромного количества целенаправленно генерируемых запросов. Несколько лет назад один из крупнейших международных сервисов онлайн-знакомств AnastasiaDate столкнулся с мощной DDoS-атакой.

Вскоре с представителями компании связались организаторы DDoS-атаки и потребовали выкуп $10 тысяч за её прекращение. Пользователи не могли получить доступ к сайту: он был недоступен по 4−6 часов в день. Служба безопасности Anastasiadate.com обратилась к специалистам Group-IB за помощью в поиске вымогателей.

Эта история стала первым на Украине международным делом о DDoS-вымогательстве, которое было доведено до суда.

Сотрудники отдела расследований Group-IB Анна и Леонид (имена изменены) рассказывают, как компания раскрывает киберпреступления и ищет злоумышленников.

Подготовка

На вид им не больше тридцати лет. Анна и Леонид занимаются расследованиями преступлений с использованием информационных технологий более семи лет.

Чем их больше, тем лучше. Расследование начинается с исходных данных. Задача в начале пути найти векторы расследования, зацепки. На их основе мы предполагаем цели атаки.

Это отчасти похоже на написание диплома, когда начинаешь искать способы развития темы. На этом этапе мы ищем артефакты: лучше всего работают самые неочевидные способы добычи информации. Когда сначала нужно посмотреть на детали и понять, как они могут подойти друг к другу. Или сборку сложного механизма без инструкции.

Леонид

Он складывается из сбора цифровых доказательств, аналитики, исследований, агентурной работы и, своего рода, оперативной игры. Задержание киберпреступников — итог нередко многолетнего кропотливого труда. Group-IB стала одной из первых частных компаний в России, которая занималась компьютерной криминалистикой и расследованием компьютерных преступлений.

В ноябре 2016 года в шести регионах России полиция провела масштабную спецоперацию: практически за один день были задержаны 15 участников группы, в течение нескольких лет похищавшей деньги с банковских счетов пользователей с помощью вредоносной программы — трояна, которым они смогли «заразить» почти миллион смартфонов. Одно из самых крупных дел, о которых мы можем рассказать, это история хакерской группы Cron.

Его «сдал» смартфон — он фиксировал все его перемещения и, в конечном итоге, мы его нашли. В ходе спецоперации один из её лидеров пытался сбежать: уехал из города, бросил свой внедорожник на заправке и вызвал такси.

Начало расследования

Поэтому Анна и Леонид не фотографируются и рассказывают только про те кейсы, по которым завершено уголовное преследование. Сотрудники отдела расследований находятся на «передней линии» киберфронта, и им неоднократно угрожали преступники.

Первые расследования Group-IB были несложными: взломы аккаунтов в почте, ЖЖ, ICQ, шантаж, вымогательства, иногда DDoS-атаки.

Постепенно обращений становилось всё больше и они усложнялись: атаки на банки и финансовые учреждения, хищения со счетов компаний, угрозы, выкупы.

По этой причине расследования некоторых преступлений могут длиться годами, особенно, если мы говорим о международных делах, где скорость взаимодействия и обмена информацией зачастую далеки от желаемой. Всё должно быть в рамках закона. Я часто использую майндмэпы для визуализации хода расследования — нередко они превращаются в огромные схемы.

Леонид

Компания не занимается оперативно-разыскной деятельностью, не задерживает и не арестовывает киберпреступников. Важно понимать, что Group-IB — не киберполиция.

Задача отдела расследований — изучить инцидент, собрать необходимые цифровые доказательства и построить цепочку логических связей, рассуждений, коррелирующих признаков, которые помогут службе безопасности компании или правоохранительным органам отправить преступников за решетку.

Помимо киберпреступлений, сотрудники этого отдела участвуют в расследовании «классических» преступлений — тех, что происходят в реальной жизни. Отдел расследований наряду с лабораторией компьютерной криминалистики самый «старый» в Group-IB. Это те преступления, где помощь киберспециалистов может дать дополнительные зацепки: профили в социальных сетях, активность на форумах, утечки информации, контакты, связи. Они ищут пропавших детей, расследуют самоубийства, шантаж, домогательства и прочее.

Мы анализировали профили и контакты подростков в соцсетях, их знакомства, действия для того, чтобы найти тех, кто стоит за организацией суицидальных групп. В самый разгар прокатившейся по всей стране истории «Синих китов» в отдел расследований Group-IB за помощью обратились правоохранительные органы.

Нашим коллегам приходилось вступать в переписку с потенциальными участниками этой игры, проверять различные версии, указывающие на отношение к ней тех или иных людей, так называемых «кураторов».

Поиск цели преступления

Кражи, шантаж, вымогательство, мошенничество — всё это делается удаленно, анонимно. Преступность переместилась в интернет. У киберпреступлений нет территориальных границ: цель может находиться в одной стране, а члены хакерских групп — в десяти других. «Поймать за руку» нельзя, а цифровые следы запутать намного проще.

А потом и сами банковские организации вместе с правоохранительными органами. В 2015 году к нам обратились не связанные между собой несколько клиентов банков — как компании, так и частные лица.

Пострадавших были сотни, ущерб исчислялся миллионами рублей. Суть была в том, что некая вредоносная программа, попадая на телефон пользователя банковского сервиса, могла автоматически переводить деньги на счета злоумышленников без ведома владельца счета. Мы начали исследование.

Леонид

Например, атака на конкретный сервис, чаще всего связанный с денежными транзакциями. Цель подсаженной на смартфон вредоносной программы может быть разной. Это тысячи зараженных устройств — телефонов, планшетов, компьютеров, вплоть до кофеварок с выходом в интернет. Или хакеры хотят сформировать свою бот-сеть.

Злоумышленники не охотятся за конкретным устройством. Многие киберпреступники совершают атаки именно с помощью ботнетов. Они просто пытаются заразить как можно больше гаджетов: от этого зависит мощность будущей атаки.

Чтобы начать DDoS-атаку, они дают команду — атаковать конкретный сервис, и тогда сотни тысяч заражённых устройств разом обращаются к этому сервису, и он не выдерживает нагрузки. В итоге у мошенников появляется определенное количество устройств (бот-сеть — vc.ru), которыми они могут управлять с помощью команд. Это может быть сайт политической партии, банка, медиаресурс, крупный международный ритейл, минута простоя которого может стоить огромную сумму денег.

В начале нулевых DDoS-атаки был распространенным инструментом конкурентной борьбы или шантажа.

Ещё в 2004 году «Балаковская группа» устроила атаку на британскую букмекерскую контору Canbet Sport Bookmakers и требовала выкуп за её прекращение — злоумышленников удалось задержать и трое получили по восемь лет тюрьмы.

Инструменты для DDоS вышли на массовый хакерский рынок: они стали мощнее и дешевле, а для создания бот-сети стали использоваться устройства интернета вещей — видеокамеры и домашние роутеры. Чуть позже DDоS-атаки стали оружием политической борьбы и сопровождали все значимые геополитические события: олимпиаду в Сочи, революцию и войну на Украине, крушение малазийского «Боинга».

Сложность расследования подобных кейсов заключается в том, что около 70% заказчиков и исполнителей DDоS-атак находятся не в той стране, где сами жертвы, и из-за напряженных политических взаимоотношений очень сложно добиться ареста и выдачи злоумышленников.

Исследование заражённых устройств

Её сотрудники выгружают все приложения, установленные на смартфоне, и вычисляют, какое из них вредоносное и каким образом произошло заражение. В Group-IB есть лаборатория компьютерной криминалистики, в которой, в том числе, анализируются образцы инфицированных устройств. Пришла ли ссылка по SMS или через мессенджер, а может, пользователь сам его скачал.

Вирусные аналитики «разбирают» приложение и пытаются понять логику работы программы, какие именно команды она может выполнять, куда передает данные, откуда управляется.

Вероятно, эти файлы распространялись одними и теми же людьми, а сервера, к которым они обращаются, скорее всего, выполняют роль командных центров. Допустим, мы выяснили, что разные устройства «заразились» похожими программами, которые обращаются к определенным серверам. Нам важно понять, кто их владелец и выйти на него.

Например, «Ваше объявление опубликовано на сайте». Мобильный троян Cron распространялся через SMS-рассылку. Ещё один способ распространения — через фальшивые приложения, замаскированные под реально существующие. Дальше шла ссылка, и, если пользователь переходил по ней, на его устройство загружалась вредоносная программа.

На этом этапе начинается перекрестная аналитика — нужно найти взаимосвязи. Когда специалисты выявили весь список серверов управления, используемых вредоносными приложениями, следующая задача — узнать, кто их регистрировал или покупал. Или злоумышленник взял тот же самый e-mail, который он уже использовал для чего-то много лет назад. Возможно, какой-то домен зарегистрирован на реального человека. А может быть, человек уже пользовался этим доменом раньше.

Понятно, что хакеры стараются быть осторожными, но и они могут допустить ошибку или не учесть все меры по защите от раскрытия своей личности. Обычно всё регистрируется на вымышленные имена, но за ними в любом случае стоят реальные люди.

Однажды мы вышли на человека, который до совершения киберпреступления задавал вопросы на хакерских форумах в даркнете о том, как сделать то или иное действие.

Здесь он засветил себя во всей красе, вплоть до фото. Мы отметили это, а потом сопоставили его ник с более ранним эпизодом, где некто под таким же ником выяснял на обычных общедоступных сайтах, как разводить осетров. Его легко вычислили. Это называется «оставил много цифровых следов».

Леонид

Бывает, кто-то сообщает, что работает вместе с подозреваемым. Если удалось выявить одного подозреваемого, дальше можно найти, с кем он работает, общается, какова вероятность его участия в группе. Тут нет единственно верного алгоритма. Иногда приходится вступать в переписку с людьми на хакерских форумах — притвориться, что тебя интересует совместная работа, и получить необходимую информацию. Каждый такой поиск — новая история.

Задержание преступников

Процесс задержания членов группировки Cron

Бывает, что от начала поисков подозреваемого до момента задержания проходит несколько лет. Обычно расследования не происходят быстро. И даже если киберспециалисты и полицейские уверены, что подозреваемый и есть преступник, нужно собрать достаточно доказательств для задержания.

Достаточная доказательная база убеждает суд в том, что необходимо выдать санкцию на обыск. Доказательства должны быть весомыми. Нередко киберспециалисты приходят вместе с группой захвата — они знают, какие вопросы нужно задать подозреваемым, и на что обратить внимание в помещении и, прежде всего, на имеющихся компьютерных устройствах.

В этом случае у него меньше шансов успеть осознать происходящее, спрятать устройства, компрометирующие данные или попросту уничтожить их. Обыски часто проводят так, чтобы застать подозреваемого врасплох, например, рано утром.

Они скрывают флешки с ключами для расшифровки данных, пароли, адреса используемых ими ресурсов и сервисов. Понятно, что при обыске злоумышленники не стремятся добровольно сдаться и признать свою вину. Для флешек и дисков нередко используются тайники и найти их сходу обычно нельзя.

Показателен пример братьев Попелышей, которых арестовывали два раза в 2012 и в 2015 годах за хищение средств с банковских счетов. Часто опытные хакерские команды и отдельные их участники заранее продумывают пути отхода и детальный план на случай, если к ним придут с обыском.

Ко второму задержанию у них была подготовлена специальная установка для повреждения данных на жестких дисках и подробный план действий по уничтожению других улик: денег, мобильных телефонов и банковских карт во время того, как оперативные сотрудники полиции будут взламывать их металлическую дверь.

Все остальные очень изобретательны. Только начинающие киберпреступники — те, которых ещё ни разу не задерживали — не пытаются продумать план действий заранее. Они активируются удалённо и способны размагнитить диски внутри системного блока. Мы встречали ситуации, когда в финансовых организациях, которые ведут грязный бизнес, на компьютеры устанавливались специальные устройства.

Но практика показывает, что рано или поздно такое устройство может не сработать, а даже самые опытные и осторожные преступники всегда совершают ошибки.

Больше о Group-IB

#партнерский

(function(d) }, 100); function revealBlock(el){ el.classList.add('GroupIBBlock--animated'); animatedBlocksLength++; } loadFonts('https://fonts.googleapis.com/css?family=IBM+Plex+Mono:500,700&subset=cyrillic'); function loadFonts(url){ var link = d.createElement('link'); link.rel = 'stylesheet'; link.href = url; d.body.appendChild(link); } var swiper = makeSwiper('.GroupIBBlock__swiper'); function makeSwiper(cname){ return new Swiper(cname, { initialSlide: 1, loop: true, slidesPerView: 'auto', wrapperClass: 'GroupIBBlock__swiperWrapper', slideClass: 'GroupIBBlock__swiperSlide', prevButton: '.GroupIBBlock__swiperArrow--prev', nextButton: '.GroupIBBlock__swiperArrow--next' }); } })(document);

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»