Киберкриминалисты: как проводят расследования цифровых преступлений

От вымогателей до «Робин Гудов»: зачем хакерам наши данные

Многие романтизируют преступления в цифровом пространстве, однако они ничем не отличаются от привычных краж «карманников» в метрополитене или угонов авто. Прокуратура России понимает под киберпреступностью все типы криминальной активности, совершаемые с использованием вычислительных машин или интернета. Можно выделить несколько глобальных трендов высокотехнологичных преступлений последних лет:

Атаки на госучреждения и крупные компании. По данным Positive Technologies, в России в 2021 году лидером по количеству нападений стали государственные учреждения: 16% от числа всех покушений было нацелено на них. На втором месте оказались медицинские учреждения (11%), на третьем — промышленные компании (10%). В основном злоумышленники охотились за персональными и учетными данными, а также за информацией, составляющей коммерческую тайну. Так, в прошлом году «Яндекс» подвергся DDoS-атаке, скорость которой на пике составила 21,8 миллиона запросов в секунду. Она стала крупнейшей в истории рунета, однако компании удалось ее отразить.

Использование вирусов-шифровальщиков. Запущенная на компьютере жертвы, вредоносная программа шифрует файлы и удаляет их теневые копии, делая невозможным восстановление данных. Такой атаке в мае 2021 года подверглась американская трубопроводная система Colonial Pipeline, которая поставляет газ и нефтепродукты с заводов Мексиканского залива на Восточное побережье США. Жертвой шифровальщика стала корпоративная сеть, и компания была вынуждена перекрыть трубопровод на пять дней. Чтобы возобновить работу, Colonial Pipeline заплатила киберпреступникам выкуп в размере $4,5 млн.

Атаки на цепочки поставок. Злоумышленники получают доступ к сети компании через сторонних вендоров. Поставщики программного обеспечения при этом не знают, что их приложения или обновления заражены вредоносным кодом. Так, в 2020 году хакеры внедрили вирус в регулярное обновление ПО от SolarWinds, которое широко используется американскими госучреждениями и частными компаниями. В результате взломщики получили доступ к данным госдепартамента США и других ведомств.

В большинстве случаев высокотехнологичные преступления совершаются ради денег. Злоумышленники требуют выкуп за зашифрованные данные или продают их на теневом рынке третьим лицам. Помимо этого, набирает обороты «активистская» киберпреступность. К ней можно отнести атаки, которым в феврале этого года подвергся ряд российских СМИ, таких как ТАСС, Известия, «Коммерсантъ». На сайтах изданий появлялись объявления, подписанные «неравнодушными журналистами России» и логотип группировки Anonymous, специализирующейся на акциях протеста в интернете.

Есть и другие мотивы, вроде «спортивного интереса» или желания поиграть в «Робин Гуда», переводя украденные средства на счета благотворительных организаций. Так, хакерская группировка Darkside в 2020 году пожертвовала по $10 тыс. в биткойнах двум фондам.

Доверчивые сотрудники и корпоративные «шпионы»: как действуют хакеры

Чаще всего киберпреступники атакуют, воспользовавшись существующей уязвимостью в инфраструктуре компании. Она возникает, если разработчики вовремя не обновляют софт или уделяют недостаточно внимания безопасности, делая ставку на функциональность ПО. А злоумышленники, изучив исходный код, находят его слабое место.

Кроме того, хакеры часто пользуются человеческим фактором. Например, отправляют массовые фишинговые рассылки или могут выбрать целью конкретных работников компании. Исследуя социальные сети, рабочие или личные аккаунты, злоумышленники могут узнать информацию о должностях и увлечениях сотрудников. Воспользовавшись этими данными, они составляют письмо, по которому человек не сможет заподозрить подвоха и сделает то, о чем его просят. «Вам приходит фишинговая рассылка, где написано: “Зиночка, срочно собери для меня данные и пройди по ссылке”, а снизу подпись: “P.S. Классно отдохнули на рыбалке”. Такое письмо вызывает максимальное доверие», — отмечает Роман Жуков.

Еще один способ злоумышленников добраться до цели — недобросовестные сотрудники компании или корпоративные «шпионы». Иногда работники намерено открывают доступ в инфраструктуру организации или устанавливают ShadowIT — программы и устройства, не разрешенные к применению корпоративной политикой. Взамен «проводник» получает вознаграждение за помощь, а хакеры «сливают» данные в сеть или шантажируют руководителей компании.

«Киберпреступники сформировали целую индустрию. Одни создают вирусы и вредоносные программы, другие покупают их, затачивают под конкретную компанию и перепродают, третьи непосредственно осуществляют атаки, четвертые выводят деньги. На теневых площадках часто можно встретить объявления вроде “Купите сегодня DDoS-атаку. Если она не сработает, мы вернем вам деньги”», — рассказывает Роман Жуков.

Всегда остаются зацепки

Официально расследованием киберпреступлений в России занимаются МВД, ФСБ и Генпрокуратура. Но есть и коммерческие компании (такие как Group IB), которые отвечают за информационную безопасность (ИБ). К слову, в них работают узкопрофильные специалисты. Например, третхантеры или «охотники за угрозами» анализируют различные тактики нападений: они могут приобрести в даркнете вирус и «развернуть» его, чтобы понять, какие инструменты использовали киберпреступники в той или иной атаке, и поделиться с другими компаниями. Кроме того, иногда они расставляют ловушки в интернете – например, создают сервис, очень похожий на известный банк. Злоумышленники, решившие напасть на него, попадают в «капкан»: взламывают сервис, но не получают никаких денег. Зато «охотники» могут изучить, как именно преступники проникают в инфраструктуру.

Кроме того, во многих компаниях есть штатные специалисты, отвечающие за информационную безопасность. Они исследуют киберугрозы и реагируют на инциденты, которые могут классифицироваться как «успешная атака» или «подготовка к атаке», чтобы предотвратить или минимизировать потери при покушении хакеров. Эти люди по крупицам собирают информацию, соединяют и рисуют общую картину произошедшего.

«Все как в фильмах про детективов. Представьте, что вам поступает сигнал о том, что какого-то пользователя корпоративной сети взломали или, еще хуже, у него утащили данные. Как и обычный следователь, киберкриминалист исследует место преступления — конечное оборудование, к которому получили доступ злоумышленники», — объясняет Роман Жуков.

Первым делом специалист пытается восстановить цепочку событий. Отключает устройство от сети, снимает дампы памяти жестких дисков и операционной системы, на которых хранится содержимое устройства, изучает логи (текстовые файлы, где фиксируется информация обо всех действиях программы или пользователя) — и исследует их на особом оборудовании и программном обеспечении. Это гарантирует, что в момент проверки информацию нельзя будет изменить, удалить или зашифровать.

После киберкриминалист ищет следы противоправных действий во внутренней Сети и выясняет, получил преступник доступ только к одному конкретному устройству или к нескольким учетным записям сотрудников. Для этого он может посмотреть логин на фаерволах, межсетевых экранах, маршрутизаторах и понять, как скомпрометированная учетная запись двигалась в Сети, перемещаясь с компьютера на компьютер. Конечно, специалисты используют не только стандартные инструменты программистов, но и коллекторы логов или CM-системы, и специальные средства для инспекции трафика, которые, как правило, установлены в любой компании, заботящейся о сохранности данных.

Разумеется, киберпреступники заметают следы: создают фейковые аккаунты, чистят за собой логи. Но каждый из нас оставляет цифровые отпечатки, которые можно найти даже в открытом интернете – например, в соцсетях или на тематических форумах в даркнете.

«Чтобы что-то незаконно продать, купить или кого-то шантажировать, нужно общаться. То есть, должны быть какие-то ники, учетные записи, — поясняет Роман Жуков, — Поэтому часто, вычислив одного злоумышленника, можно узнать, с кем он взаимодействовал. Бывало, что удавалось обнаружить целую группировку хакеров только из-за того, что они “засветились” на совместной фотографии с отдыха».

Есть и другие методы. Например, можно собрать цифровое досье, чтобы понять, с какой частотой и в какие соцсети заходит человек, какие действия совершает и на каких сайтах. Сделать это легко, достаточно исследовать публичную активность подозреваемого. Ведь никто не запрещает собирать информацию о людях по открытым источникам. Впрочем, с помощью этого метода злоумышленники тоже могут воссоздать «цифрового двойника», чтобы отвести от себя подозрения.

Иногда киберпреступников находят по «почерку»: некоторые группировки пишут свои вредоносные программы в характерной только им манере — вставляют туда кусочки кода или текст на определенном языке.

«Злоумышленников можно вычислить даже по незначительным деталям. Например, сотрудник энергетической компании за дополнительную плату незаконно продавал клиентам присоединение к электрическим сетям, чтобы те смогли получить услугу без очереди. Это удалось выяснить благодаря установленным в компании DLP-системам, специальным средствам защиты от утечек данных. Преступник выкладывал технические документы в Dropbox с рабочего компьютера и система его заподозрила. После этого специалисты перехватили его переписки внутри корпоративной сети и обнаружили, что у него были сообщники за пределами организации, таким образом раскрыли целую преступную группу», — рассказывает Роман Жуков.

При этом право сотрудника на тайну переписки не было нарушено. Специалисты по информационной безопасности не могут получать информацию из личного почтового ящика работника и использовать ее как доказательство вины, если не был предъявлен ордер. А перехват сообщения из личного почтового ящика на корпоративный считается законным.

«К сожалению или к счастью, пока нет волшебной кнопки, на которую можно нажать, чтобы раскрутить всю цепочку инцидента. Так что специалистам приходится применять смекалку и творчески подходить к решению задач. Но, как я уже говорил, в кибербезопасности все как в сериале про Коломбо — все равно останется запонка, упавшая за комод. Именно поэтому это феноменально интересная область. Ты получаешь инженерный экстаз, когда какая-то мелочь помогает сложить общую картину произошедшего, и ты осознаешь, что убийца дворецкий», — рассуждает Роман Жуков, преподаватель Нетологии.

Путь в цифровые детективы

С уходом с российского рынка западного ПО и заменой его отечественными аналогами, спрос на услуги DevOps-инженеров и других «безопасников» возрастает. Кроме того, в начале мая президент подписал указ, в соответствии с которым в органах власти, компаниях с госучастием и субъектах критической информационной инфраструктуры персональная ответственность за ИБ возлагается на заместителя руководителя организации. А над обеспечением защиты будет трудиться отдельное подразделение, которое либо уже существует в компании, либо должно быть создано с нуля.

Чтобы заниматься оценкой рисков, модерированием угроз или защитой персональных данных, специалисту нужно быть технически подкованным. Ему необходимо разбираться в том, как устроены сети и инфраструктура, он должен уметь читать технические схемы и говорить с айтишниками на одном языке.

«Прийти в кибербезопасность можно из любой сферы – главное, чтобы у вас была мотивация и искренний интерес к профессии, – отмечает Роман Жуков, преподаватель курса Нетологии «Специалист по информационной безопасности». – Сейчас много специализированных курсов, но большинство из них учат только какой-то отдельной дисциплине – например, законодательству или непосредственно взлому. Важно выбрать вариант, где предложена разносторонняя программа, есть практические задания, а ученики получают реальный опыт решения задач. Наши студенты проходят основы ИБ, изучают сети передачи данных, безопасность информационных систем, основы программирования и многое другое».

Текст: Роман Жуков