Настоящий кибердетектив Статьи редакции
Как раскрывают преступления сотрудники отдела расследований Group-IB.
Материал подготовлен при поддержке Group-IB
Несколько лет назад один из крупнейших международных сервисов онлайн-знакомств AnastasiaDate столкнулся с мощной DDoS-атакой. Она вызвала отказ в обслуживании сайта компании из-за огромного количества целенаправленно генерируемых запросов.
Пользователи не могли получить доступ к сайту: он был недоступен по 4−6 часов в день. Вскоре с представителями компании связались организаторы DDoS-атаки и потребовали выкуп $10 тысяч за её прекращение. Служба безопасности Anastasiadate.com обратилась к специалистам Group-IB за помощью в поиске вымогателей.
Сотрудники отдела расследований Group-IB Анна и Леонид (имена изменены) рассказывают, как компания раскрывает киберпреступления и ищет злоумышленников.
Подготовка
Анна и Леонид занимаются расследованиями преступлений с использованием информационных технологий более семи лет. На вид им не больше тридцати лет.
Задержание киберпреступников — итог нередко многолетнего кропотливого труда. Он складывается из сбора цифровых доказательств, аналитики, исследований, агентурной работы и, своего рода, оперативной игры. Group-IB стала одной из первых частных компаний в России, которая занималась компьютерной криминалистикой и расследованием компьютерных преступлений.
Начало расследования
Первые расследования Group-IB были несложными: взломы аккаунтов в почте, ЖЖ, ICQ, шантаж, вымогательства, иногда DDoS-атаки.
Постепенно обращений становилось всё больше и они усложнялись: атаки на банки и финансовые учреждения, хищения со счетов компаний, угрозы, выкупы.
Важно понимать, что Group-IB — не киберполиция. Компания не занимается оперативно-разыскной деятельностью, не задерживает и не арестовывает киберпреступников.
Задача отдела расследований — изучить инцидент, собрать необходимые цифровые доказательства и построить цепочку логических связей, рассуждений, коррелирующих признаков, которые помогут службе безопасности компании или правоохранительным органам отправить преступников за решетку.
Отдел расследований наряду с лабораторией компьютерной криминалистики самый «старый» в Group-IB. Помимо киберпреступлений, сотрудники этого отдела участвуют в расследовании «классических» преступлений — тех, что происходят в реальной жизни. Они ищут пропавших детей, расследуют самоубийства, шантаж, домогательства и прочее. Это те преступления, где помощь киберспециалистов может дать дополнительные зацепки: профили в социальных сетях, активность на форумах, утечки информации, контакты, связи.
Поиск цели преступления
Преступность переместилась в интернет. Кражи, шантаж, вымогательство, мошенничество — всё это делается удаленно, анонимно. «Поймать за руку» нельзя, а цифровые следы запутать намного проще. У киберпреступлений нет территориальных границ: цель может находиться в одной стране, а члены хакерских групп — в десяти других.
Цель подсаженной на смартфон вредоносной программы может быть разной. Например, атака на конкретный сервис, чаще всего связанный с денежными транзакциями. Или хакеры хотят сформировать свою бот-сеть. Это тысячи зараженных устройств — телефонов, планшетов, компьютеров, вплоть до кофеварок с выходом в интернет.
Многие киберпреступники совершают атаки именно с помощью ботнетов. Злоумышленники не охотятся за конкретным устройством. Они просто пытаются заразить как можно больше гаджетов: от этого зависит мощность будущей атаки.
В итоге у мошенников появляется определенное количество устройств (бот-сеть — vc.ru), которыми они могут управлять с помощью команд. Чтобы начать DDoS-атаку, они дают команду — атаковать конкретный сервис, и тогда сотни тысяч заражённых устройств разом обращаются к этому сервису, и он не выдерживает нагрузки. Это может быть сайт политической партии, банка, медиаресурс, крупный международный ритейл, минута простоя которого может стоить огромную сумму денег.
В начале нулевых DDoS-атаки был распространенным инструментом конкурентной борьбы или шантажа.
Чуть позже DDоS-атаки стали оружием политической борьбы и сопровождали все значимые геополитические события: олимпиаду в Сочи, революцию и войну на Украине, крушение малазийского «Боинга». Инструменты для DDоS вышли на массовый хакерский рынок: они стали мощнее и дешевле, а для создания бот-сети стали использоваться устройства интернета вещей — видеокамеры и домашние роутеры.
Сложность расследования подобных кейсов заключается в том, что около 70% заказчиков и исполнителей DDоS-атак находятся не в той стране, где сами жертвы, и из-за напряженных политических взаимоотношений очень сложно добиться ареста и выдачи злоумышленников.
Исследование заражённых устройств
В Group-IB есть лаборатория компьютерной криминалистики, в которой, в том числе, анализируются образцы инфицированных устройств. Её сотрудники выгружают все приложения, установленные на смартфоне, и вычисляют, какое из них вредоносное и каким образом произошло заражение. Пришла ли ссылка по SMS или через мессенджер, а может, пользователь сам его скачал.
Вирусные аналитики «разбирают» приложение и пытаются понять логику работы программы, какие именно команды она может выполнять, куда передает данные, откуда управляется.
Мобильный троян Cron распространялся через SMS-рассылку. Например, «Ваше объявление опубликовано на сайте». Дальше шла ссылка, и, если пользователь переходил по ней, на его устройство загружалась вредоносная программа. Ещё один способ распространения — через фальшивые приложения, замаскированные под реально существующие.
Когда специалисты выявили весь список серверов управления, используемых вредоносными приложениями, следующая задача — узнать, кто их регистрировал или покупал. На этом этапе начинается перекрестная аналитика — нужно найти взаимосвязи. Возможно, какой-то домен зарегистрирован на реального человека. Или злоумышленник взял тот же самый e-mail, который он уже использовал для чего-то много лет назад. А может быть, человек уже пользовался этим доменом раньше.
Обычно всё регистрируется на вымышленные имена, но за ними в любом случае стоят реальные люди. Понятно, что хакеры стараются быть осторожными, но и они могут допустить ошибку или не учесть все меры по защите от раскрытия своей личности.
Если удалось выявить одного подозреваемого, дальше можно найти, с кем он работает, общается, какова вероятность его участия в группе. Бывает, кто-то сообщает, что работает вместе с подозреваемым. Иногда приходится вступать в переписку с людьми на хакерских форумах — притвориться, что тебя интересует совместная работа, и получить необходимую информацию. Тут нет единственно верного алгоритма. Каждый такой поиск — новая история.
Задержание преступников
Обычно расследования не происходят быстро. Бывает, что от начала поисков подозреваемого до момента задержания проходит несколько лет. И даже если киберспециалисты и полицейские уверены, что подозреваемый и есть преступник, нужно собрать достаточно доказательств для задержания.
Доказательства должны быть весомыми. Достаточная доказательная база убеждает суд в том, что необходимо выдать санкцию на обыск. Нередко киберспециалисты приходят вместе с группой захвата — они знают, какие вопросы нужно задать подозреваемым, и на что обратить внимание в помещении и, прежде всего, на имеющихся компьютерных устройствах.
Обыски часто проводят так, чтобы застать подозреваемого врасплох, например, рано утром. В этом случае у него меньше шансов успеть осознать происходящее, спрятать устройства, компрометирующие данные или попросту уничтожить их.
Часто опытные хакерские команды и отдельные их участники заранее продумывают пути отхода и детальный план на случай, если к ним придут с обыском. Показателен пример братьев Попелышей, которых арестовывали два раза в 2012 и в 2015 годах за хищение средств с банковских счетов.
Ко второму задержанию у них была подготовлена специальная установка для повреждения данных на жестких дисках и подробный план действий по уничтожению других улик: денег, мобильных телефонов и банковских карт во время того, как оперативные сотрудники полиции будут взламывать их металлическую дверь.
А чо чо где курсы какие пройти?
А у вас есть свой Дукалис?
А у вас есть какие-нибудь внутренние мемы?
Какой самый пиздецовый факап?
Анона с двача можете по айпи вычислить?
На самом деле, насчёт курсов вопрос серьёзный. Ну и про мемы, да.
Кирилл, добрый день!
Курсы есть разные, мы рекомендуем вот такие. Обучение по компьютерной криминалистике Group-IB проводит в учебных центрах АИС. Подробности тут: http://infosystems.ru/services/informacionnaya/avtorskie_kursy_149/kompyuternaya_kriminalistika.html
И совсем скоро мы запускаем совместный образовательный проект с УЦ "Информзащита" как раз по профилю: Cybercrime investigation. Курс ориентирован на руководителей и специалистов отделов ИБ, руководителей и специалистов технических отделов, сетевых администраторов итд. Если интересно - welcome
А кто вам сайт делал?
По-русски правильно писать "в Украине". Предлог "на" употребляется с местностями: на Дальнем Востоке, на Сахалине, на Кузбассе, на Луне. Предлог "в" употребляется с городами и странами: в Германии, в Париже, в Сочи, в 13-м районе.
на станции метро "Киевская" есть мозаика "Пушкин на Украине". Это мой пруф последние 15 лет.
Ну какая вам разница? Какое занудство
Человек специально зарегистрировался, чтоб оставить этот комментарий, а Вы "какая разница"... )))
Комментарий удален модератором