Автор фото: F6
За более чем 20-летнюю историю компании специалисты F6 помогли полиции задержать и отправить за решётку свыше тысячи киберпреступников – вымогателей, кардеров, вирусописателей, скамеров. Наши эксперты приложили руку к ликвидации таких преступных групп, как Carberp, Anunak, Cobalt, Cron и других. Но в паблик попадают единицы успешных кейсов. О большинстве расследований не узнают ни журналисты, ни безопасники из ИБ-сообщества. Такая скрытность объясняется, как правило, оперативным интересом и тем, что кибердетективы связаны по рукам и ногам NDA – соглашением о неразглашении.
Стоило большого труда уговорить Вадима Алексеева, руководителя департамента расследований высокотехнологичных преступлений компании F6, немного подсветить внутреннюю кухню кибердетективов и секреты их ремесла, но оно того стоило. Мы узнали, как расследователю помогает интуиция, какие инструменты помогают выстраивать логику событий и какой смертный грех губит хакеров чаще всего.
Детектив из техподдержки
У меня свой путь в кибербезе: я не служил в полиции, не заканчивал профильную кафедру, как это обычно бывает. В компанию пришел из хостинга, начинал там с первой линии техподдержки. Знания о том, как работает WEB, как устроены сети, здорово пригодились в расследованиях, особенно когда нужно разобраться с инфраструктурой злоумышленников. Начинал я свои «университеты» с изучения информации о том, как работают теневые форумы и финансовые схемы: покупка и продажа «инсталлов», списание через USSD-запросы, автозаливы и обнал. Надо было учиться отслеживать злоумышленников, а не их ботнеты. Довольно быстро выяснилось, что cybercrime — живой рынок, а значит, инструменты для совершения киберпреступлений продаются, передаются, переписываются в новые версии. Но бывает и нечто постоянное. Например, партнёры, которые приводят хороший трафик (спамеры, арбитражники, seo-веб-мастера, которые распространяют вредоносы и обеспечивают злоумышленников качественным пользовательским трафиком) ценятся высоко, им хорошо платят, и они остаются постоянными партнёрами, несмотря на изменение инструментов группы.
Для клиента расследование часто начинается с боли, а для нас с вопроса: что случилось? Что-то украли, пошифровали, требуют выкуп, шантажируют. Много эмоций, люди переживают и ничего не понятно. В такой вот ситуации тебе, как доктору, нужно провести первичный опрос. Ты лично разговариваешь с клиентом, как это возможно: по телефону, по видеосвязи. Для себя я сделал вывод: лучший вариант – попросить написать о том, что случилось. Когда человек пишет, он сам убирает эмоции, более внятно формулирует, что произошло. На первом этапе нужно восстановить хронологию событий, разложить историю по полочкам, понять, что за чем следовало. Собираешь информацию, строишь векторы для расследования и дальше идёшь по ним искать.
Быстрое расследование – скорее исключение из правил. Есть дела, которые длятся месяцами. Другие можно расследовать несколько лет, особенно если мы говорим про международные истории. Самое длительное, но успешное расследование на моей памяти случилось, когда я только пришёл в компанию, и длилось оно примерно три года. Группа злоумышленников использовала Android-боты для хищения денежных средств. Менялись боты, их владельцы и разработчики, появлялись новые боты. Кого-то задерживали, сажали, но в целом группе удавалось оставаться на плаву. Злодеи меняли ботнеты, потому что число заражений (инсталлов бота) у тех, что исследовали специалисты по кибербезопасности, неизменно падало. Мы научились отслеживать ботнеты этой группы через траффера. В итоге при нашем содействии полиция задержала участников группы, дело дошло до суда.
В основе многих преступлений лежит человеческая драма. В случае с группой, о котором только что рассказал, такая драма произошла у траффера. Он был вебмастером, владел несколькими достаточно популярными сайтами, которые рекламировали популярные приложения для Android. Однажды ему предложили очень дорогой трафик: нужно было по запросам на популярные приложения отдавать .apk-файл, который присылали каждый день. Деньги платили хорошие, он поначалу заметался и задавал вопрос заказчику: а почему антивирус «орёт» — срабатывает? А точно ли это не вредонос? Закончилось тем, что жадность победила и вопросы закончились. На криминальные доходы он доделал ремонт в квартире, купил машину и перестал жалеть о своём драматичном переходе на темную сторону – до того момента, пока его не задержали.
Полная версия интервью — в блоге на сайте F6.
Источник: habr.com
Похожие новости:
Гиперперсонализация: как сделать предложение пользователю релевантным
Уровень «цифровой зрелости» компаний в России выше, чем в среднем по миру
«Слушая подкасты, ничего не узнаешь, ты должен устать, упасть без задних ног — такой должна быть встреча с образованием»
Технологии в агрокомплексе: мастера, подмастерье и искусственный интеллект