Профессия: кибердетектив

    Веста Матвеева — эксперт в области информационной безопасности компании Group-IB, признанной изданием Business Insider UK одной из 7 самых влиятельных мировых организаций в индустрии кибербезопасности. За 6 лет она провела десятки экспертиз — технических разборов инцидентов в роли криминалиста, после чего перешла в отдел расследования и раскрыла несколько дел.

    Веста приехала в Университет Иннополис по приглашению преподавателей и студентов программы магистратуры Разработка безопасных систем и сетей в рамках курса CyberCrime and Forensics. Гостья прочла лекцию о том, как глобализируется киберпреступность, какие тактики и инструменты используются для атак на финансовые и промышленные организации и какими методами пользуются киберкриминалисты для борьбы с хакерами.

    image

    Работа


    В Group-IB нельзя просто работать с 10 до 19. Перед нами стоит глобальная цель — борьба с преступностью. Мы помогаем бизнесу, государству и другим жертвам кибератак найти тех, кто стоит за преступлением, и довести злоумышленников до скамьи подсудимых. Работая с такими инцидентами каждый день, мы научились понимать, как думают злоумышленники, какие используют методы, тактику и инструменты для взлома. Этот опыт вкупе со знаниями определяет качество реагирования на инциденты информационной безопасности и масштаб последствий атаки. Поэтому я и мои коллеги проводим много времени на работе: обучаемся, читаем, изучаем, исследуем.

    Если сравнить лабораторию компьютерной криминалистики, где я работала раньше, и отдел расследований, куда я перешла, то в криминалистике рабочий день менее нормирован. Специалисты там работают с инцидентами, происходящими в реальном времени: оперативно выезжают на место преступления, восстанавливают хронологию атаки, ищут скомпрометированные данные. Нельзя всё бросить и уйти домой, потому что рабочее время закончилось. Аналогичная схема работает во время проведения следственных мероприятий, когда мы, например, участвуем в обыске, исследуя информацию накопителей, образов, серверов с технической точки зрения. Тут всё доводится до конца: если нужно работать сутки — работаем сутки, если несколько дней — значит, несколько дней. Но в остальное время, когда не нужно спасать условный банк, мы работаем в обычном режиме, как все люди.

    Проработав в криминалистике 6 лет, мне захотелось попробовать себя в сфере расследований. Здесь другая специфика работы — компьютерные преступления расследуются не быстро. Но и тут, конечно, мы задерживаемся, когда нужно оперативно помочь пострадавшей стороне. Например, к нам обращаются родители или правоохранительные органы, если ребёнок ушел из дома, для анализа его активности в социальных сетях и форумах, чтобы понять, с кем он общался, кто может знать о побеге и его предполагаемом месте нахождения. Другой пример — мощные DDoS-атаки на ресурсы электронной коммерции. Час простоя такого сайта может стоить компании сотни тысяч или миллионы рублей. Поэтому нам нужно оперативно установить источники атаки и блокировать её.

    Но каждое расследование уникально. Начиная с технических моментов, когда мы пытаемся понять используемые сервисы, идентифицировать инструменты для оценки технического уровня злоумышленника, и заканчивая зацепками по IP-адресам, телефонам и почте, анализом социальных сетей, форумов и объявлений на общедоступных и скрытых ресурсах в Darknet. Нет шаблона, по которому можно раскрыть дело. Это всегда изучение большого количества источников. Например, в инцидентах с использованием вредоносной программы нужно понимать, как она работает, куда обращается, кто регистрировал эти серверы, кто и как заражал устройства.

    Однако, базовые подходы в нашей работе не меняются, но изменяются инструменты и то, что мы исследуем. Даже данные в операционных системах от версии к версии меняются: структура, формат, подходы. Если раньше все использовали ICQ, переписка в которой хранилась в открытом виде и при проведении экспертизы диска к ней можно было получить доступ, то сейчас многие мессенджеры используют шифрование. Это значительно усложняет получение так называемых цифровых доказательств.

    Преступления


    Хакер – собирательный образ. Говоря о преступлениях, этот термин используется для простоты лексики, но на самом деле так называют всех специалистов, которые знают, как обходить системы компьютерной безопасности. Самые серьезные преступники в этой сфере делятся на несколько категорий:

    • Финансово мотивированные хакеры. Цель – денежные средства. Похищают реквизиты доступа от интернет-банка, данные платежных карт или атакуют серверы организаций, на которых проводятся платежные операции;
    • Прогосударственные хакеры. Эти люди проводят слежку в промышленных и в финансовых организациях, они часто остаются незамеченными и воруют документацию, переписку, секреты, технологии. Считается, что за такими группами стоят государства: Lazarus Group, Equation Group, Black Energy, Fancy Bear. Известны случаи, когда такие группы проводили слежку на энергетических предприятиях, пытаясь получить управление оборудованием.

    В 2010 году Equation Group заразила компьютеры в Иране, чтобы помешать производству ядерного оружия. Это был первый известный случай промышленной атаки, когда злоумышленники получили доступ к оборудованию Siemens, влияя на технологический процесс. Energetic Bear и Black Energy — две другие группы, работающие в области атак на промышленные объекты. Последняя создала инструмент Industroyer, позволяющий контролировать протоколы, по которым общается оборудование, и отправлять им команды. Их достижение — блэкаут на Украине, когда в некоторых регионах страны, отключилось электричества на 75 минут.

    Самая крупная сумма хищения, в расследовании которого я участвовала как технический специалист — 700 млн рублей. Сначала деньги идут на оплату всех звеньев преступной группы, обеспечение, поддержку сервисов и инфраструктуры. Оставшуюся часть ключевые участники группы тратят на организацию своей безопасности и предметы роскоши – машины, яхты, квартиры. Лидер группы всегда осознает риски того, чем он занимается, знает, что к нему могут прийти с обыском в любую минуту, поэтому, я думаю, у него никогда не бывает ощущения полной безопасности.

    В обысках и при задержании подозреваемого важна внезапность. Хакеры хорошо подкованы технически, и, если не застать их врасплох, они успевают активировать защиту данных на устройствах (например, шифрование), которую сложно обойти, или вовсе уничтожить данные.

    Обычно задержание происходит рано, пока человек ещё не успел уйти из дома: в 6—7 утра, или, когда мы уверены, что он точно проснулся и включил компьютер, что зависит от специфики его работы. Если обыск происходит в компании, то оперативная группа приходит к открытию офиса. Методы задержания зависят от фантазии правоохранительных органов: в бизнес-центрах работать легко — достаточно показать, что вы с полицией и вам нужно в определённую компанию. Задержание физического лица — более сложная процедура, потому что подозреваемого нужно побудить открыть дверь, например, представиться курьером. Один раз на моей практике правоохранительные органы проникали в квартиру злоумышленника с крыши на тросах, ломая окна.

    Расследования


    Существуют злоумышленники, тщательно прорабатывающие техническую реализацию краж. Учитывают, как их будут искать, как работает механизм атаки, меняя способы проникновения. Такие сложные дела очень интересны нам — специалистам, и в моей практике выделяются два таких случая.

    Первый случай произошёл в банке, из которого украли деньги. На первый взгляд — обычное дело: получение доступа к автоматизированному рабочему месту клиента Банка России. Такая схема использовалась несколькими группами, начиная с 2013 г. Но, несмотря на понимание всей схемы преступления, в ней было одно отличие. На одном из компьютеров сети хакеры запустили программу-червя, которая работала исключительно в оперативной памяти — сейчас это модно называть fileless (бестелесная программа). Таким образом, злоумышленники получили доступ к каждому компьютеру во всех филиалах организации. Другими словами, они устроили контролируемую бот-сеть внутри банка. Поэтому пока хотя бы один зараженный компьютер будет включён, он снова и снова будет заражать машины компании.

    image
    Фрагмент червя, передающегося в момент заражения в сетевом трафике

    Встал логичный вопрос: как же почистить сеть? Испробовав технические способы, мы поняли, что лучшее решение в этой ситуации — единовременно выключить все компьютеры во всех филиалах банка, на что банк и согласился. Таким образом, мы добились очистки оперативной памяти, в автозагрузке червя не было. Это было уникальное мероприятие по масштабам. В обычной ситуации мы бы никогда не смогли сразу отключить работоспособность всех серверов компании.

    Второй пример, который я считаю одним из интереснейших за время моей работы, — дело группы Cobalt — самой агрессивной и успешной хакерской группы последних лет. Она начала работать в России в 2016 году, атакуя банки и финансовые организации по всему миру. По данным Европола, за все время её работы ей удалось вывести со счетов жертв 1 млрд евро. В работе они использовали вполне легальный инструмент для тестов на проникновение Cobalt Strike. Получая доступ к компьютерам, они могли управлять даже теми машинами, которые не подключены к интернету. Это было не похоже на действия других преступных групп, с которыми мы сталкивались. Члены группы Cobalt постоянно изменяли локации атак, тестировали новые инструменты и почти 2 года оставались неуловимы для киберкриминалистов и правоохранительных органов. Лидера группы арестовали только этой весной в испанском Аликанте. Сейчас он ждет суда.

    image
    Инжектированный код полезной нагрузки, предоставляющий доступ по VNC

    Расследование — длительный процесс. Самые долгие дела обычно связаны с крупными преступными группами, которые занимаются целевыми атаками, кражами денег через интернет-банк или мобильные приложения финансовых организаций. Они уделяют большое внимание тому, как скрыть свою личность — используют несколько цепочек серверов для доступа к ресурсам, применяют шифрование, постоянно переписывают программы для атак, чтобы обойти антивирусы и системы защиты периметра. Таких людей не найти по одному инциденту. Только по нескольким делам набирается материал, с которым можно работать, но даже тогда процесс поиска длится долго. Чтобы понять, кто стоит за преступлением, нужно полгода (а иногда и больше), ещё обычно более года необходимо для того, чтобы собрать доказательную базу для задержания и обыска.

    Но бывает и наоборот. Самое быстрое расследование длилось всего один день. Нам сообщили, что злоумышленники получили доступ к серверам банка. Мы приехали на место и разбирались несколько часов до тех пор, пока не поняли, что один из отделов заказал тест на проникновение, о котором не знали другие. Такие тесты делаются, чтобы оценить защиту инфраструктуры компании. Знает о них обычно руководство, проверяя, как команда отработает ситуацию.

    Иногда в работе мы утыкаемся в стену, но, по моему опыту, в ней есть дверь. Именно такие случаи не отпускают: приходишь домой и в своё свободное время ищешь выход из ситуации, думаешь, как распутать дело.

    На моем опыте была экспертиза, в которой нужно было доказать, что злоумышленник действительно причастен к инциденту, потому что одно только наличие вредоносной программы на компьютере недостаточно для возбуждения уголовного дела. Этим пользуется защита подозреваемых, выстраивая позицию по принципу: программа не работала на компьютере или подозреваемый не подключался к ней во время инцидента. В этом деле журналы работы программы, предоставляющей удаленный доступ, в зашифрованном виде хранились какое-то время на компьютере жертвы, а потом отправлялись на сервер злоумышленника и удалялись.

    Мне потребовалось несколько дней, чтобы понять, как решить задачу: восстановить из свободной области файловой системы журналы работы программы до зашифрования (фрагменты оперативной памяти). Повезло, что не перезаписался и момент инцидента. Это позволило мне доказать, что во время хищения денежных средств злоумышленник подключался к компьютеру параллельно с жертвой.

    Наказание


    В хакерских группах роли чётко распределены и дробятся, поэтому киберпреступление от начала до конца проводит не один человек. Только лидер группы знает всю схему преступления. Он нанимает помощников под определённые задачи: настроить сервер, написать и распространить программу, обеспечить защиту вредоносного софта от антивирусов. Такими людьми могут оказаться и обыкновенные мальчишки, интересующиеся информационными технологиями, иногда даже не подозревающие, что участвуют в преступной группе.

    Как правило, с человеком связывается аноним и предлагает деньги за определённую работу по принципу: «Можешь настроить сервер? — Могу». Скорее всего, организатор и не скажет исполнителю, для чего нужен этот сервер.

    Другое дело, когда человек разрабатывает программу, перехватывающую данные. Он знает, что её можно использовать в мошеннических целях. Иногда такие программы покупают у третьего лица и автор не информирован о том, как мошенники её используют: для перехвата пароля к аккаунту Вконтакте или данных банковской карты. Такая же история с человеком, который «криптует» программу от антивирусов — он должен осознавать, что для легальных целей такие программы не создаются. Человека, распространяющего программу, уже можно привлечь по 273 статье УК РФ.

    Российское законодательство по уголовному преследованию людей, совершивших киберпреступление, требует доработки. Раньше за такие правонарушения чаще всего давали условные сроки, даже если хакеры похищали значительные суммы денег. Это не пугало и не мотивировало людей отказаться от того, чем они занимаются. С 2014 года положение дел стало лучше, после того как осудили Carberp на реальные большие сроки.

    Карьера


    Чтобы получить работу в компьютерной криминалистике, у человека должен быть технический бэкграунд. Я закончила МИФИ, факультет «Информационная безопасность», когда в России ещё не обучали криминалистике. Нам преподавали языки программирования, основы системного администрирования и защиты периметра. Мы изучали, как работают вредоносные программы и как преодолевать защитные механизмы операционных систем.

    Человеку с техническим опытом, понимающему, как работают операционные системы, как построена сеть, как передаются, крадутся и защищаются данные, хватит знаний, чтобы устроиться на работу в сфере компьютерной криминалистики. При условии, что он углубится в специфику области. В нашей компании есть примеры, когда приходили люди и без технического образования — им было сложнее, потому что сперва пришлось освоить базовые знания.

    Тем, кто интересуется криминалистикой, я советую к прочтению File System Forensic Analysis (Brian Carrier) — базовую книгу по работе файловых систем, что важно для области. Network Forensics (Sherri Davidoff) и The Art of Memory Forensics (Michael Hale Ligh) — еще две книги, которые должен изучить каждый уважающий себя криминалист. Для исследования мобильных устройств советую Practical Mobile Forensics (Oleg Skulkin).

    Чтобы понимать, что происходит в криминалистике, необходимо читать статьи и блоги об успешных кейсах и личном опыте. Но не нужно ждать, что в интернете будут делиться секретами поимки хакеров — в рамках уголовных дел информация не распространяется. А о том, как люди анализируют данные, можно прочитать на международных и российских ресурсах: блог SANS Institute (также есть курс по криминалистике, выпускают книги и пишут статьи), ForensicFocus и Хабр.

    Но самое интересное в моей работе — это решать «загадку»: придумывать нестандартные способы и мыслить нешаблонно, чтобы найти брешь в уловках злоумышленников.

    Innopolis University

    57,00

    Российский ИТ-вуз

    Поделиться публикацией
    Комментарии 15
      +6
      Моя девушка кибер детэктив. Всегда знает кого я лайкнул и под чьей фоткой оставил комментарий
        +1
        Тем, кто интересуется криминалистикой, я советую к прочтению File System Forensic Analysis (Brian Carrier) — базовую книгу по работе файловых систем, что важно для области. Network Forensics (Sherri Davidoff) и The Art of Memory Forensics (Michael Hale Ligh) — еще две книги, которые должен изучить каждый уважающий себя криминалист. Для исследования мобильных устройств советую Practical Mobile Forensics (Oleg Skulkin).

        А можно ещё более подробно.

        Список литературы на 1-2 страницы хороших книг от Весты.
        Буду давать первокурсникам, чтобы к 4 курсу хотя бы с теоретическими знаниями было норм.
          0
          А еще бы тематические блоги, почитываемые на досуге Вестой
            0
            Здравствуйте!
            В добавление к тому, что в статье:

            Криминалистика ОС Windows
            Windows Registry Forensics: Advanced Digital Forensic Analysis of the Windows Registry, Harlan Carvey, 2016, английский
            Windows Forensic Analysis Toolkit — Windows 8, Harlan Carvey, 2014, английский
            What every engineer should know about cyber security & digital forensics, Joanna, 2014, английский
            Windows Forensic Analysis Toolkit — Windows 7, Harlan Carvey, 2012, английский
            Криминалистическое исследование Windows, Harlan Carvey, 2009, русский
            Malware Forensics Field Guide for Linux Systems: Digital Forensics Field Guides, Eoghan Casey, 2014, английский
            Digital Forensics and Incident Response: A practical guide to deploying digital forensic techniques in response to cyber security incidents, Gerard Johansen, 2017, английский
            Incident Response & Computer Forensics, Jason T. Luttgens and Matthew Pepe, 2014, английский
            Computer Incident Response and Forensics Team Management: Conducting a Successful Incident Response, Leighton Johnson, 2013, английский

            Мобильные устройства
            Practical Mobile Forensics, Satish Bommisetty, 2014, английский
            Learning iOS Forensics, Mattia Epifani & Pasquale Stirparo, 2015, английский
            Android forensics investigation, Andrew Hoog, 2011, английский

            Журналы по криминалистике
            DigitalForensics
            eForensics
            Advances in Digital Forensics
            Хакер

            Конференции. где бывают доклады по криминалистике
            PHD (Positive Hack Days), Positive Technologies, русский и английский
            ZeroNights, Digital Security и DEFCON Russia, русский и английский
            РусКрипто, АИС и ассоциация «РусКрипто», русский
            DEFCON, английский
            BlackHat, английский
            SANS DFIR Summit, SANS Institute, английский
            Forensic Europe Expo, английский, французский и немецкий

            Ресурсы
            www.computer-forensics-lab.org
            securelist.ru
            threatpost.ru
            www.invoke-ir.com
            journeyintoir.blogspot.ru
            www.forensicfocus.com
            blog.didierstevens.com
            www.securityfocus.com
            az4n6.blogspot.ru
            www.4n6k.com
            windowsir.blogspot.com
            krebsonsecurity.com
            forensicmethods.com
            www.sans.org
            blog.4n6ir.com
            smarterforensics.com
            www.forensickb.com
            volatility-labs.blogspot.com
            forensicartifacts.com
            www.mac4n6.com
            davidkoepi.wordpress.com
            github.com/ForensicArtifacts/artifacts
            www.reddit.com/r/computerforensics
          • НЛО прилетело и опубликовало эту надпись здесь
            • НЛО прилетело и опубликовало эту надпись здесь
              +1

              Очередные сказочки на ночь от групиб.

                –1
                Спасибо! Очень интересная статья. Мотивирует.
                  –2
                  Чисто не там где метут, а там где не сорят. Было бы так чтобы не ломалось, не ломали бы.
                    –1
                    Чисто не там где метут, а там где не сорят.


                    Закон неубывания энтропии с вами не согласен.
                    +1
                    VestaMatveeva, данные зашифрованные с помощью программ типа TrueCrypt/VeraCrypt/GnuPG легко взламываются или если хакеры их используют, то вы доступ к файлам уже не можете получить?
                      0
                      иногда можем, иногда нет
                        +1
                        «иногда можем» означает, что можно зашифрованный контейнер без пароля вскрыть или просто можете как-то пароль узнать?
                      +1
                      Я так понял, у вас нет выходных, отпусков, личных дел, семьи,… Не боитесь, что через пару лет просто сгорите либо на работе, либо по пути на очередной супер-мега срочный вызов? Или просто всё бросите и смените деятельность?
                        0
                        Насыщенная работа учит крутиться и все успевать :) а если еще и интересная, то дает дополнительную подпитку

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое