Со времен Эжена Видока, “отца” классических уголовных расследований, их алгоритм мало изменился: сыщик собирает улики, строит гипотезу, исключает лишних подозреваемых и, наконец, выходит на злодея, которого в итоге отправляет за решетку. С киберпреступлениями не все так просто  — ко всем обязательным этапам по сбору и анализу цифровых доказательств, зацепок и артефактов прибавляется атрибуция —  цифровую личность подозреваемого нужно “привязать” к конкретному живому человеку. Киберрасследование может занять пару часов, а, бывает, растягивается на годы, превращаясь в огромный пазл-квест. Новая героиня проекта «Киберпрофессии будущего» — Анна Юртаева — рассказывает о том, как удается вычислить злоумышленника в цифровом мире, даже если он сработал почти безупречно. 

Профайл:
Имя: Анна Юртаева
Должность: старший специалист Департамента исследования высокотехнологичных преступлений, Group-IB
Специализация: старший специалист по исследованиям высокотехнологичных киберпреступлений
Возраст: 26 лет
Образование: МТУСИ, МИСиС
Чем известна: за пять лет провела 100+ исследований высокотехнологичных преступлений, отдает предпочтение помаде цвета своего настроения.
Хобби: треккинг, кулинария, йога.

В кибербез меня привели Шерлок и Cluedo 

В детстве я обожала книги про детективов,  мультики про девочек-шпионок и фильмы про спецагентов с крутыми девайсами. А еще меня нельзя было оторвать от настольной игры Cluedo, где нужно разгадать детективную задачку и выяснить, кто кого и чем убил — я могла играть в нее сутки напролет. Студенткой я в сотый раз перечитывала «Шерлока Холмса» и однажды на тусовке познакомилась с ребятами из Group-IB. Они так завораживающе рассказывали о компании и чем они занимаются, что я умирала от любопытства. На память мне достался блокнот-мерч с Шерлоком. «Да это же знак!» — подумала я и решила для себя, что рано или поздно буду там работать.

Свое первое расследование я провела… в электричке! В студенческие годы мне каждый день приходилось ездить в универ из Московской области — занять свободное место в переполненном вагоне было очень сложно. Чтобы чем-то себя развлечь, мне пришла идея найти во “ВКонтакте” всех этих незнакомых ребят, которые часто ездили со мной. Я находила аккаунты моих попутчиков,  списывалась с ними и просила занять для меня место. Скоро у нас набралась целая команда, на которую я могла рассчитывать — мы держали друг для друга места. Этот простой навык поиска в соцсетях в будущем не раз меня выручал уже в настоящих расследованиях.

Я училась на технаря в МТУСИ и МИСиС, но эти специальности были далеки от кибербеза. Еще на первом курсе я решила пойти работать в Group-IB. И… меня не взяли. Несмотря на то, что компания была небольшой, уже тогда  штат состоял из профи — специалистов по форензике, киберразведке, реверсу, пентестам и тд. Мне посоветовали набраться знаний и навыков, понять, чем именно хочу заниматься, и возвращаться. Я обиделась и подумала, что тут все девчонки получают отказ: в универе  я постоянно сталкивалась со стереотипами о девочках-технарях. Конечно же, дело было не в этом — например, в команде у криминалистов, уже работала — Веста Матвеева, которая сейчас возглавляет департамент исследований  высокотехнологичных преступлений в Сингапуре. Если чего-то сильно хочешь, надо быть настойчивым: я снова пришла на собеседование через пару лет и получила должность, о которой мечтала.

Все оставляют улики, даже профи 

История Group-IB начиналась с расследований и компьютерной криминалистики, они были “визитной карточкой” компании. Пусть никто не думает, что это хвастовство, но мы были и остаемся лучшими в этом деле. Наши конкуренты отправляют к нам тех, кто обратился к ним. И это показатель. Хотя сейчас в мире нас больше знают как инженеров и разработчиков. Первые кейсы, которые лично расследовали основатели компании Илья Сачков и Дима Волков, с технической точки зрения были несложными: взломы аккаунтов электронной почты, ЖЖ, ICQ, шантаж, заказные DDoS-атаки. А сейчас наша команда исследует мошенничество в системах онлайн-банкинга и мобильного банкинга, BEC-атаки (Business Email Compromise),  атаки с использованием распространение вредоносных программ, создание бот-сетей,  конкурентный шпионаж, утечки данных и так далее. Без инструментов и данных, которыми с нами делятся коллеги из департамента Threat Intelligence (Киберразведка),  Центра реагирования на инциденты CERT-GIB 24/7/365 (кстати крупнейшего в Восточной Европе!) и департамента  Digital Risk Protection, мы были бы не так всесторонне прокачаны. Например, наша киберразведка трекает криминальные группы — кардеров, фишеров, вымогателей и пишет правила хантинга, по которым мы можем отслеживать инфраструктуру атакующих.  Я слежу за их работой очень внимательно: любая атака готовится довольно долго от пары недель до месяцев: когда злодеи “поднимают” сервера для атаки или регают сайты, с которых будут рассылать фейковые письма с вредоносным содержимым на борту — мы, а значит, и наши клиенты будут об этом знать первыми.  

Я не преувеличу, если скажу, что мы имеем отношение к исследованию большинства крупных инцидентов информационной безопасности:  мы изучаем такие инциденты или помогаем с их анализом полиции, чтоб защитить наших клиентов. То есть в буквальном смысле мы этим живём и "руками" исследуем инфраструктуру злоумышленников. Каждый продукт или сервис компании фактически имеет одну цель — остановить киберпреступника. Если интересно, некоторые наши публичные кейсы, например, дело братьев Попелышей, групп CRON, TipTop, "Киберфашистов" — можно посмотреть здесь.

Мы находили ссылки на наш блог Group-IB в закладках браузера у киберпреступников — они знают о нас, и пока мы изучаем их, они изучают то, что мы пишем. После наших аналитических отчетов и блогов группы меняли техники, тактики и инструменты, чтоб мы больше не могли их трекать. Но это можно оценить как nice try. Не больше.

 Мы — не киберполиция. Не надо путать. Так, в основном, думают те, кто не представляет сути нашей работы. Частные компании не занимаются оперативно-разыскной деятельностью, не задерживают киберпреступников. Они работают исключительно в интересах бизнеса и конечный бенефициар нашей работы всегда бизнес. Мы собираем доказательную базу для суда, выступаем в качестве технических экспертов — помогаем правильно  (строго по закону!) изъять технику у киберпреступников — ноутбуки, телефоны, жесткие диски, серверы.  Я на обыски и задержания не выезжаю, работаю в тылу — с изъятой техникой. Чем больше улик и артефактов я найду, тем быстрее мы сможем выйти на след преступника.  

К раскрытию киберпреступления можно подойти с разных сторон — мы всегда идем по пути исследования технического бэкграунда.   Расследуя хищения через дистанционно-банковское обслуживание (ДБО), полиция первым делом выходит на след обнальщиков —  их можно по камерам отследить, быстро отловить и допросить руководителя обнала, узнать маршруты перевода денег. А выводил он их скорее через крипту и миксеры — и все концы в воду. Мы идем немного другим путем — с технической точки зрения. Находим программистов, так называемых заливщиков — тех, кто сидят в управляющем центре с вредоносным ПО и проводят транзакции.  И с криптой, кстати, тоже можем разобраться. 

Никто не застрахован от ошибок, даже опытные хакеры.  Главное – понять, где наследили киберпреступники, найти проколы, слабые места, опечатки – это первый и очень важный этап моей работы. Помните эпизод из фильма «Один дома», где «мокрые бандиты» включали воду в ограбленных домах? Когда копы повязали их, то сразу поняли, кто орудовал в других домах. С киберпреступниками похожая ситуация. Одна-две лишние буквы в коде могут дать правильный вектор расследования. Никто не мог долго понять, почему акции одной известной международной компании обваливаются без всякого повода. Оказалось, что это было тщательно продуманная информационная атака, которая била по репутации компании. Мне с командой удалось вычислить злоумышленников — кстати они были русскоговорящими, они и  придумали такую схему. Ее суть — запустить множество сайтов на английском языке, чтоб дискредитировать компанию. Акционеры получали ложные сведения о компании, паниковали и сбрасывали ценные бумаги. Мы нашли злодеев по многочисленным “хлебным крошкам”, которые они оставляли, создавая фейковые ресурсы. Для каждого клиента атаки на его компанию кажутся новыми, нестандартными. Но на самом деле хакерские схемы, даже хитро закрученные, можно распутать, если знать, с чего начинать. 

Я делю киберпреступников на честолюбцев и растяп. Честолюбцы везде оставляют цифровые улики — свои никнеймы (так себя любят!) или ведут личный дневник, а потом на том же сервере тестируют мошенническую схему. Конечно, они подчищают все что могут, но наша система Threat Intelligence все равно “видит”и “запоминает” изменение инфраструктуры злоумышленников в ретроспективе 10-15 лет. Я восстанавливаю хронологию изменений и нахожу какую-нибудь интересную “дичь”. Что же касается растяп, они постоянно совершают одни и те же ошибки – и это могут быть просто типичные ошибки в обычных текстах. Эти огрехи повторяются на целой ветке сайтов, и я уже знаю, что это сделал один и тот же человек. Дальше нужно определить, кто именно это был.

Расследования некоторых киберпреступлений занимают годы и похожи на сериал. Например, в пандемию стала дико популярной мошенническая схема “Мамонт”  («мамонтом» на сленге мошенников называют жертву) с фейковой курьерской доставкой товаров, заказанных на досках объявлений. Мои коллеги из Group-IB Digital Risk Protection подсчитали, что в 2020 году заработок всех преступных групп, использующих эту схему, превысил $6,2 млн, а количество фейковых ресурсов перевалило за 3 000. В конце-концов  “Мамонту” стало тесно в России и он “ушел” в страны СНГ, Европу и Азию,  начал осваивать новые ниши. При помощи  телеграм-ботов  мошенники  генерировали  фейковые ресурсы уже не только курьерских сервисов и досок объявлений, но и популярных сайтов аренды жилья, автомобилей, букмекерских контор. На нашем счету есть несколько успешных кейсов по этим мошенническим группам —  одни специализировались на курьерских сервисах и досках объявлений, другие — на автомобильных сервисах.  

Первая заповедь кибербойца 

Ask more questions. Это первая заповедь киберборца. Никогда не поздно задать все возникшие  вопросы самому себе, клиенту или коллеге по команде — это существенно помогает делу. Помню, когда только устроилась на работу, я стеснялась задавать вопросы, выписывала какие-то дикие штуки в огромный блокнот и сама себе усложняла жизнь. Ведь я же делала лишнюю работу! В команде можно рассчитывать не только на помощь и поддержку, но и на стоящий совет. Что почитать, к кому обратиться, на каких деталях сфокусировать внимание — ответы на вопросы позволяют быстро расти как профессионалу.

Как в классическом детективе, где Шерлок переодевался в извозчика, в нашей работе всегда есть место для оперативной игры. Например, нам нужно внедриться в группировку мошенников в закрытых Telegram-чатиках и под видом новичка-воркера (рядовой участник мошеннической схемы) получить как можно больше  полезной информации: кого и как обманули, сколько получили,  куда вывели деньги. Или возьмем другое довольно распространенное преступление — вымогательство.  У жертвы поломали личный почтовый ящик, подключились к его облаку и восстановили оттуда резервную копию себе на телефон — получив доступ к фото, переписке, документам. Человек получает угрозы в Telegram, что в руках у преступников оказалась его переписка с любовницей или конкурентами.  И они эту переписку готовы опубликовать, если не получат выкуп. Мы помогаем потерпевшему выстроить стратегию коммуникаций, чтобы минимизировать возможный ущерб и выявить как можно больше данных о злоумышленнике.  Мы можем попросить кошельки, куда перевести деньги, убедить злодея, что готовы выполнить его условия, закинуть  ему ссылки-ловушки. Секреты раскрывать не буду, скажу, что в итоге мы  получаем его IP-адрес, технические данные, разрешение его экрана, разные фингерпринты, которые позволят установить его личность, даже если он старательно прячется за средствами анонимизации.

У меня есть несколько ачивок Group-IB и я ими очень горжусь. Ачивка - наша фишка, это специальные памятные значки за успешные операции, исследования, отчеты. Если меня спрашивают о кейсах, которыми я занимаюсь на работе, естественно,  я не могу ничего рассказывать, но когда дело закончено — могу с гордостью и трепетом показать ачивки, которые  все скажут за меня.

Как в фильмах про детективов у меня есть схемка-граф. Ниточки на стене больше никто не развешивает, все давно перешло в диджитал — мы пользуемся, как известными популярными инструментами типа Maltego, так и собственными разработками — из публичных могу назвать, например, граф исследования сетевой инфраструктуры злоумышленников. Но я всегда стараюсь делать свою работу с душой и олдскульно украшаю схемы, чтоб на них было приятно смотреть. Нашла соцсети подозреваемого — добавила ссылки и украсила их картинкой. Это вдохновляет работать над делом дальше. Девчонки меня поймут. 

У нас не бывает шаблонных расследований и стандартного подхода. Когда мы анализируем информацию, мы можем глазами зацепиться за IP-адрес или строчку кода, и понять, что мы ее где-то встречали, или можем ее нагуглить, или найти ее в других источниках данных — и начинаем раскручивать эту цепочку. Один злоумышленник создал скрипт, который рассылал пользователям сайта СМС в невероятных количествах — “смс-бомбер”. Пользователей это ужасно злило, они писали и звонили в поддержку, оставляли негативные отзывы. Компания теряла лояльность, доверие клиентов — следовательно, и продажи. Когда я получила скрипт злоумышленника, обратила внимание, что в коде по ошибке “слиплись” данные. Заказчику это было неочевидно, а для меня стало зацепкой — и я нашла, кто это сделал. 

Медитация и спорт повышают внимательность к деталям  

Нет готового “рецепта”, как стать крутым инвестигатором. Одной теории явно недостаточно — мир быстро меняется.  Многое нарабатывается с опытом, но обширный кругозор помогает искать зацепки. Когда ты начитан и интересуешься многими вещами, ты креативен и лучше понимаешь логику злоумышленников. Могу точно сказать, что не помешает: пройти курсы по компьютерной криминалистике или пентестингу (этичному хакингу), знать инструменты для OSINT и графовый анализ, изучить языки программирования. Английский язык вообще можно поставить на первое место, потому что лучшая литература в области cyber investigation,  OSINT,  форензики выходит в основном на английском. 

В кибербезе важен прежде всего моральный принцип — борьба с киберпреступностью, а для этого нужен внутренний стержень. Сейчас некоторые ребята приходят на собеседования и говорят, что хотят прокачать технические навыки, построить карьеру, заработать. Этого мало. Я работаю в Group-IB во многом потому, что миссия компании — бороться с киберпреступностью. Это благородное дело, которое отвечает и  моим личным устремлениям, и целям моих соратников по команде. 

Я хочу получить сертификат CompTIA, чтоб быть профи на мировом уровне. Так проще работать с заказчиками, и для компании это преимущество, когда у нее много сотрудников с сертификатами международных организаций. Я смотрю профильные конференции и стараюсь получить больше юридических знаний, чтоб понимать, в каких случаях злоумышленника можно привлечь к ответственности.

День кибершерлока начинается с подготовки: нужно прийти на работу красивой и не подавать виду даже в стрессовых ситуациях. Я постоянно мониторю, кто и как что-нибудь взломал — чтобы автоматизировать рутину, нужно быть в курсе новостей об информационной безопасности. У меня есть лист, куда я выписываю вопросы (ask more questions, помните?), а потом обсуждаю их с командой, прошу совета. Кстати, на обед мы ходим тоже вместе, чтобы пообщаться уже о неформальных вещах. Переключаться тоже важно, ведь внимание не может работать 24/7.

Кстати, внимателен только тот, кто активно занимается спортом и умеет хорошо отдыхать. Я предпочитаю треккинг и йогу — медитативные практики возвращают внимание к деталям. Если работать круглыми сутками, не высыпаться и не отдыхать, можно делать досадные, непростительные оплошности. В критичных случаях, конечно же, я задерживаюсь на работе дольше обычного. Но практика показывает, что в ночи чаще всего получается какой-то бред. 

 Я ношу помады под цвет настроения. Смелый синий, если зацепки найдены и все идет по плану. Этот знак вдохновляет и команду, ведь любое исследование — это командная игра. Вообще я обожаю отсутствие строгого дресс-кода. Думаю, в белой рубашке, узкой юбке и со строгим пучком на голове мне было бы сложнее найти злодеев. Когда я выгляжу как супергерой, я и действую по-супергеройски — быстро и точно.

ФотоКристина Долголаптева

P.S. Нужно больше информации? Подпишитесь на остросюжетный Telegram-канал Group-IB об информационной безопасности, хакерах, APT, кибератаках, мошенниках и Интернет-пиратах. Расследования по шагам, практические кейсы с применением технологий Group-IB и рекомендации, как не стать жертвой. Подключайтесь!