Настоящий кибердетектив

Как раскрывают преступления сотрудники отдела расследований Group-IB.

Материал подготовлен при поддержке Group-IB

Несколько лет назад один из крупнейших международных сервисов онлайн-знакомств AnastasiaDate столкнулся с мощной DDoS-атакой. Она вызвала отказ в обслуживании сайта компании из-за огромного количества целенаправленно генерируемых запросов.

Пользователи не могли получить доступ к сайту: он был недоступен по 4−6 часов в день. Вскоре с представителями компании связались организаторы DDoS-атаки и потребовали выкуп $10 тысяч за её прекращение. Служба безопасности Anastasiadate.com обратилась к специалистам Group-IB за помощью в поиске вымогателей.

Сотрудники отдела расследований Group-IB Анна и Леонид (имена изменены) рассказывают, как компания раскрывает киберпреступления и ищет злоумышленников.

Анна и Леонид занимаются расследованиями преступлений с использованием информационных технологий более семи лет. На вид им не больше тридцати лет.

Задержание киберпреступников — итог нередко многолетнего кропотливого труда. Он складывается из сбора цифровых доказательств, аналитики, исследований, агентурной работы и, своего рода, оперативной игры. Group-IB стала одной из первых частных компаний в России, которая занималась компьютерной криминалистикой и расследованием компьютерных преступлений.

Первые расследования Group-IB были несложными: взломы аккаунтов в почте, ЖЖ, ICQ, шантаж, вымогательства, иногда DDoS-атаки.

Постепенно обращений становилось всё больше и они усложнялись: атаки на банки и финансовые учреждения, хищения со счетов компаний, угрозы, выкупы.

Важно понимать, что Group-IB — не киберполиция. Компания не занимается оперативно-разыскной деятельностью, не задерживает и не арестовывает киберпреступников.

Задача отдела расследований — изучить инцидент, собрать необходимые цифровые доказательства и построить цепочку логических связей, рассуждений, коррелирующих признаков, которые помогут службе безопасности компании или правоохранительным органам отправить преступников за решетку.

Отдел расследований наряду с лабораторией компьютерной криминалистики самый «старый» в Group-IB. Помимо киберпреступлений, сотрудники этого отдела участвуют в расследовании «классических» преступлений — тех, что происходят в реальной жизни. Они ищут пропавших детей, расследуют самоубийства, шантаж, домогательства и прочее. Это те преступления, где помощь киберспециалистов может дать дополнительные зацепки: профили в социальных сетях, активность на форумах, утечки информации, контакты, связи.

Преступность переместилась в интернет. Кражи, шантаж, вымогательство, мошенничество — всё это делается удаленно, анонимно. «Поймать за руку» нельзя, а цифровые следы запутать намного проще. У киберпреступлений нет территориальных границ: цель может находиться в одной стране, а члены хакерских групп — в десяти других.

Цель подсаженной на смартфон вредоносной программы может быть разной. Например, атака на конкретный сервис, чаще всего связанный с денежными транзакциями. Или хакеры хотят сформировать свою бот-сеть. Это тысячи зараженных устройств — телефонов, планшетов, компьютеров, вплоть до кофеварок с выходом в интернет.

Многие киберпреступники совершают атаки именно с помощью ботнетов. Злоумышленники не охотятся за конкретным устройством. Они просто пытаются заразить как можно больше гаджетов: от этого зависит мощность будущей атаки.

В итоге у мошенников появляется определенное количество устройств (бот-сеть — vc.ru), которыми они могут управлять с помощью команд. Чтобы начать DDoS-атаку, они дают команду — атаковать конкретный сервис, и тогда сотни тысяч заражённых устройств разом обращаются к этому сервису, и он не выдерживает нагрузки. Это может быть сайт политической партии, банка, медиаресурс, крупный международный ритейл, минута простоя которого может стоить огромную сумму денег.

В начале нулевых DDoS-атаки был распространенным инструментом конкурентной борьбы или шантажа.

Чуть позже DDоS-атаки стали оружием политической борьбы и сопровождали все значимые геополитические события: олимпиаду в Сочи, революцию и войну на Украине, крушение малазийского «Боинга». Инструменты для DDоS вышли на массовый хакерский рынок: они стали мощнее и дешевле, а для создания бот-сети стали использоваться устройства интернета вещей — видеокамеры и домашние роутеры.

Сложность расследования подобных кейсов заключается в том, что около 70% заказчиков и исполнителей DDоS-атак находятся не в той стране, где сами жертвы, и из-за напряженных политических взаимоотношений очень сложно добиться ареста и выдачи злоумышленников.

В Group-IB есть лаборатория компьютерной криминалистики, в которой, в том числе, анализируются образцы инфицированных устройств. Её сотрудники выгружают все приложения, установленные на смартфоне, и вычисляют, какое из них вредоносное и каким образом произошло заражение. Пришла ли ссылка по SMS или через мессенджер, а может, пользователь сам его скачал.

Вирусные аналитики «разбирают» приложение и пытаются понять логику работы программы, какие именно команды она может выполнять, куда передает данные, откуда управляется.

Мобильный троян Cron распространялся через SMS-рассылку. Например, «Ваше объявление опубликовано на сайте». Дальше шла ссылка, и, если пользователь переходил по ней, на его устройство загружалась вредоносная программа. Ещё один способ распространения — через фальшивые приложения, замаскированные под реально существующие.

Когда специалисты выявили весь список серверов управления, используемых вредоносными приложениями, следующая задача — узнать, кто их регистрировал или покупал. На этом этапе начинается перекрестная аналитика — нужно найти взаимосвязи. Возможно, какой-то домен зарегистрирован на реального человека. Или злоумышленник взял тот же самый e-mail, который он уже использовал для чего-то много лет назад. А может быть, человек уже пользовался этим доменом раньше.

Обычно всё регистрируется на вымышленные имена, но за ними в любом случае стоят реальные люди. Понятно, что хакеры стараются быть осторожными, но и они могут допустить ошибку или не учесть все меры по защите от раскрытия своей личности.

Если удалось выявить одного подозреваемого, дальше можно найти, с кем он работает, общается, какова вероятность его участия в группе. Бывает, кто-то сообщает, что работает вместе с подозреваемым. Иногда приходится вступать в переписку с людьми на хакерских форумах — притвориться, что тебя интересует совместная работа, и получить необходимую информацию. Тут нет единственно верного алгоритма. Каждый такой поиск — новая история.

Обычно расследования не происходят быстро. Бывает, что от начала поисков подозреваемого до момента задержания проходит несколько лет. И даже если киберспециалисты и полицейские уверены, что подозреваемый и есть преступник, нужно собрать достаточно доказательств для задержания.

Доказательства должны быть весомыми. Достаточная доказательная база убеждает суд в том, что необходимо выдать санкцию на обыск. Нередко киберспециалисты приходят вместе с группой захвата — они знают, какие вопросы нужно задать подозреваемым, и на что обратить внимание в помещении и, прежде всего, на имеющихся компьютерных устройствах.

Обыски часто проводят так, чтобы застать подозреваемого врасплох, например, рано утром. В этом случае у него меньше шансов успеть осознать происходящее, спрятать устройства, компрометирующие данные или попросту уничтожить их.

Часто опытные хакерские команды и отдельные их участники заранее продумывают пути отхода и детальный план на случай, если к ним придут с обыском. Показателен пример братьев Попелышей, которых арестовывали два раза в 2012 и в 2015 годах за хищение средств с банковских счетов.

Ко второму задержанию у них была подготовлена специальная установка для повреждения данных на жестких дисках и подробный план действий по уничтожению других улик: денег, мобильных телефонов и банковских карт во время того, как оперативные сотрудники полиции будут взламывать их металлическую дверь.

#партнерский