Настоящий кибердетектив25.05.2018 15:06

Сотрудники отдела расследований Group-IB рассказали, как раскрывают преступления.

Материал подготовлен при поддержке Group-IB

Несколько лет назад один из крупнейших международных сервисов онлайн-знакомств AnastasiaDate столкнулся с мощной DDoS-атакой. Она вызвала отказ в обслуживании сайта компании из-за огромного количества целенаправленно генерируемых запросов.

Пользователи не могли получить доступ к сайту: он был недоступен по 4−6 часов в день. Вскоре с представителями компании связались организаторы DDoS-атаки и потребовали выкуп $10 тысяч за её прекращение. Служба безопасности Anastasiadate.com обратилась к специалистам Group-IB за помощью в поиске вымогателей.

Эта история стала первым на Украине международным делом о DDoS-вымогательстве, которое было доведено до суда.

Сотрудники отдела расследований Group-IB Анна и Леонид (имена изменены) рассказывают, как компания раскрывает киберпреступления и ищет злоумышленников.

Подготовка

Анна и Леонид занимаются расследованиями преступлений с использованием информационных технологий более семи лет. На вид им не больше тридцати лет.

Расследование начинается с исходных данных. Чем их больше, тем лучше. На их основе мы предполагаем цели атаки. Задача в начале пути найти векторы расследования, зацепки.

На этом этапе мы ищем артефакты: лучше всего работают самые неочевидные способы добычи информации. Это отчасти похоже на написание диплома, когда начинаешь искать способы развития темы. Или сборку сложного механизма без инструкции. Когда сначала нужно посмотреть на детали и понять, как они могут подойти друг к другу.

Леонид

Задержание киберпреступников — итог нередко многолетнего кропотливого труда. Он складывается из сбора цифровых доказательств, аналитики, исследований, агентурной работы и, своего рода, оперативной игры. Group-IB стала одной из первых частных компаний в России, которая занималась компьютерной криминалистикой и расследованием компьютерных преступлений.

Одно из самых крупных дел, о которых мы можем рассказать, это история хакерской группы Cron. В ноябре 2016 года в шести регионах России полиция провела масштабную спецоперацию: практически за один день были задержаны 15 участников группы, в течение нескольких лет похищавшей деньги с банковских счетов пользователей с помощью вредоносной программы — трояна, которым они смогли «заразить» почти миллион смартфонов.

В ходе спецоперации один из её лидеров пытался сбежать: уехал из города, бросил свой внедорожник на заправке и вызвал такси. Его «сдал» смартфон — он фиксировал все его перемещения и, в конечном итоге, мы его нашли.

Начало расследования

Сотрудники отдела расследований находятся на «передней линии» киберфронта, и им неоднократно угрожали преступники. Поэтому Анна и Леонид не фотографируются и рассказывают только про те кейсы, по которым завершено уголовное преследование.

Первые расследования Group-IB были несложными: взломы аккаунтов в почте, ЖЖ, ICQ, шантаж, вымогательства, иногда DDoS-атаки.

Постепенно обращений становилось всё больше и они усложнялись: атаки на банки и финансовые учреждения, хищения со счетов компаний, угрозы, выкупы.

Всё должно быть в рамках закона. По этой причине расследования некоторых преступлений могут длиться годами, особенно, если мы говорим о международных делах, где скорость взаимодействия и обмена информацией зачастую далеки от желаемой. Я часто использую майндмэпы для визуализации хода расследования — нередко они превращаются в огромные схемы.

Леонид

Важно понимать, что Group-IB — не киберполиция. Компания не занимается оперативно-разыскной деятельностью, не задерживает и не арестовывает киберпреступников.

Задача отдела расследований — изучить инцидент, собрать необходимые цифровые доказательства и построить цепочку логических связей, рассуждений, коррелирующих признаков, которые помогут службе безопасности компании или правоохранительным органам отправить преступников за решетку.

Отдел расследований наряду с лабораторией компьютерной криминалистики самый «старый» в Group-IB. Помимо киберпреступлений, сотрудники этого отдела участвуют в расследовании «классических» преступлений — тех, что происходят в реальной жизни. Они ищут пропавших детей, расследуют самоубийства, шантаж, домогательства и прочее. Это те преступления, где помощь киберспециалистов может дать дополнительные зацепки: профили в социальных сетях, активность на форумах, утечки информации, контакты, связи.

В самый разгар прокатившейся по всей стране истории «Синих китов» в отдел расследований Group-IB за помощью обратились правоохранительные органы. Мы анализировали профили и контакты подростков в соцсетях, их знакомства, действия для того, чтобы найти тех, кто стоит за организацией суицидальных групп.

Нашим коллегам приходилось вступать в переписку с потенциальными участниками этой игры, проверять различные версии, указывающие на отношение к ней тех или иных людей, так называемых «кураторов».

Поиск цели преступления

Преступность переместилась в интернет. Кражи, шантаж, вымогательство, мошенничество — всё это делается удаленно, анонимно. «Поймать за руку» нельзя, а цифровые следы запутать намного проще. У киберпреступлений нет территориальных границ: цель может находиться в одной стране, а члены хакерских групп — в десяти других.

В 2015 году к нам обратились не связанные между собой несколько клиентов банков — как компании, так и частные лица. А потом и сами банковские организации вместе с правоохранительными органами.

Суть была в том, что некая вредоносная программа, попадая на телефон пользователя банковского сервиса, могла автоматически переводить деньги на счета злоумышленников без ведома владельца счета. Пострадавших были сотни, ущерб исчислялся миллионами рублей. Мы начали исследование.

Леонид

Цель подсаженной на смартфон вредоносной программы может быть разной. Например, атака на конкретный сервис, чаще всего связанный с денежными транзакциями. Или хакеры хотят сформировать свою бот-сеть. Это тысячи зараженных устройств — телефонов, планшетов, компьютеров, вплоть до кофеварок с выходом в интернет.

Многие киберпреступники совершают атаки именно с помощью ботнетов. Злоумышленники не охотятся за конкретным устройством. Они просто пытаются заразить как можно больше гаджетов: от этого зависит мощность будущей атаки.

В итоге у мошенников появляется определенное количество устройств (бот-сеть — vc.ru), которыми они могут управлять с помощью команд. Чтобы начать DDoS-атаку, они дают команду — атаковать конкретный сервис, и тогда сотни тысяч заражённых устройств разом обращаются к этому сервису, и он не выдерживает нагрузки. Это может быть сайт политической партии, банка, медиаресурс, крупный международный ритейл, минута простоя которого может стоить огромную сумму денег.

В начале нулевых DDoS-атаки был распространенным инструментом конкурентной борьбы или шантажа.

Ещё в 2004 году «Балаковская группа» устроила атаку на британскую букмекерскую контору Canbet Sport Bookmakers и требовала выкуп за её прекращение — злоумышленников удалось задержать и трое получили по восемь лет тюрьмы.

Чуть позже DDоS-атаки стали оружием политической борьбы и сопровождали все значимые геополитические события: олимпиаду в Сочи, революцию и войну на Украине, крушение малазийского «Боинга». Инструменты для DDоS вышли на массовый хакерский рынок: они стали мощнее и дешевле, а для создания бот-сети стали использоваться устройства интернета вещей — видеокамеры и домашние роутеры.

Сложность расследования подобных кейсов заключается в том, что около 70% заказчиков и исполнителей DDоS-атак находятся не в той стране, где сами жертвы, и из-за напряженных политических взаимоотношений очень сложно добиться ареста и выдачи злоумышленников.

Исследование заражённых устройств

В Group-IB есть лаборатория компьютерной криминалистики, в которой, в том числе, анализируются образцы инфицированных устройств. Её сотрудники выгружают все приложения, установленные на смартфоне, и вычисляют, какое из них вредоносное и каким образом произошло заражение. Пришла ли ссылка по SMS или через мессенджер, а может, пользователь сам его скачал.

Вирусные аналитики «разбирают» приложение и пытаются понять логику работы программы, какие именно команды она может выполнять, куда передает данные, откуда управляется.

Допустим, мы выяснили, что разные устройства «заразились» похожими программами, которые обращаются к определенным серверам. Вероятно, эти файлы распространялись одними и теми же людьми, а сервера, к которым они обращаются, скорее всего, выполняют роль командных центров. Нам важно понять, кто их владелец и выйти на него.

Мобильный троян Cron распространялся через SMS-рассылку. Например, «Ваше объявление опубликовано на сайте». Дальше шла ссылка, и, если пользователь переходил по ней, на его устройство загружалась вредоносная программа. Ещё один способ распространения — через фальшивые приложения, замаскированные под реально существующие.

Когда специалисты выявили весь список серверов управления, используемых вредоносными приложениями, следующая задача — узнать, кто их регистрировал или покупал. На этом этапе начинается перекрестная аналитика — нужно найти взаимосвязи. Возможно, какой-то домен зарегистрирован на реального человека. Или злоумышленник взял тот же самый e-mail, который он уже использовал для чего-то много лет назад. А может быть, человек уже пользовался этим доменом раньше.

Обычно всё регистрируется на вымышленные имена, но за ними в любом случае стоят реальные люди. Понятно, что хакеры стараются быть осторожными, но и они могут допустить ошибку или не учесть все меры по защите от раскрытия своей личности.

Однажды мы вышли на человека, который до совершения киберпреступления задавал вопросы на хакерских форумах в даркнете о том, как сделать то или иное действие.

Мы отметили это, а потом сопоставили его ник с более ранним эпизодом, где некто под таким же ником выяснял на обычных общедоступных сайтах, как разводить осетров. Здесь он засветил себя во всей красе, вплоть до фото. Это называется «оставил много цифровых следов». Его легко вычислили.

Леонид

Если удалось выявить одного подозреваемого, дальше можно найти, с кем он работает, общается, какова вероятность его участия в группе. Бывает, кто-то сообщает, что работает вместе с подозреваемым. Иногда приходится вступать в переписку с людьми на хакерских форумах — притвориться, что тебя интересует совместная работа, и получить необходимую информацию. Тут нет единственно верного алгоритма. Каждый такой поиск — новая история.

Задержание преступников

Процесс задержания членов группировки Cron

Обычно расследования не происходят быстро. Бывает, что от начала поисков подозреваемого до момента задержания проходит несколько лет. И даже если киберспециалисты и полицейские уверены, что подозреваемый и есть преступник, нужно собрать достаточно доказательств для задержания.

Доказательства должны быть весомыми. Достаточная доказательная база убеждает суд в том, что необходимо выдать санкцию на обыск. Нередко киберспециалисты приходят вместе с группой захвата — они знают, какие вопросы нужно задать подозреваемым, и на что обратить внимание в помещении и, прежде всего, на имеющихся компьютерных устройствах.

Обыски часто проводят так, чтобы застать подозреваемого врасплох, например, рано утром. В этом случае у него меньше шансов успеть осознать происходящее, спрятать устройства, компрометирующие данные или попросту уничтожить их.

Понятно, что при обыске злоумышленники не стремятся добровольно сдаться и признать свою вину. Они скрывают флешки с ключами для расшифровки данных, пароли, адреса используемых ими ресурсов и сервисов. Для флешек и дисков нередко используются тайники и найти их сходу обычно нельзя.

Часто опытные хакерские команды и отдельные их участники заранее продумывают пути отхода и детальный план на случай, если к ним придут с обыском. Показателен пример братьев Попелышей, которых арестовывали два раза в 2012 и в 2015 годах за хищение средств с банковских счетов.

Ко второму задержанию у них была подготовлена специальная установка для повреждения данных на жестких дисках и подробный план действий по уничтожению других улик: денег, мобильных телефонов и банковских карт во время того, как оперативные сотрудники полиции будут взламывать их металлическую дверь.

Только начинающие киберпреступники — те, которых ещё ни разу не задерживали — не пытаются продумать план действий заранее. Все остальные очень изобретательны. Мы встречали ситуации, когда в финансовых организациях, которые ведут грязный бизнес, на компьютеры устанавливались специальные устройства. Они активируются удалённо и способны размагнитить диски внутри системного блока.

Но практика показывает, что рано или поздно такое устройство может не сработать, а даже самые опытные и осторожные преступники всегда совершают ошибки.

Больше о Group-IB

#партнерский