المهنة: المخبر السيبراني

Vesta Matveeva هي خبيرة في أمن المعلومات في Group-IB ، معترف بها من قبل Business Insider UK كواحدة من أكثر 7 منظمات عالمية تأثيرًا في صناعة الأمن السيبراني. لمدة 6 سنوات ، أجرت العشرات من الفحوصات - التحليل الفني للحوادث كجريمة ، وبعد ذلك انتقلت إلى قسم التحقيق وفتحت عدة قضايا.

جاءت Vesta إلى جامعة Innopolis بدعوة من المعلمين والطلاب في برنامج الماجستير.تصميم أنظمة وشبكات آمنة كجزء من دورة CyberCrime و Forensics. ألقى الضيف محاضرة حول كيفية عولمة الجريمة السيبرانية ، وما هي التكتيكات والأدوات المستخدمة لمهاجمة المنظمات المالية والصناعية ، وما هي الأساليب التي يستخدمها المجرمون الإلكترونيون لمكافحة المتسللين.

العمل

في Group-IB ، لا يمكنك العمل من 10 إلى 19. فقط لدينا هدف عالمي - مكافحة الجريمة. نحن نساعد رجال الأعمال والحكومة وغيرهم من ضحايا الهجمات السيبرانية في العثور على من هم وراء الجريمة ونجلب المتسللين إلى قفص الاتهام. من خلال العمل مع مثل هذه الحوادث كل يوم ، تعلمنا أن نفهم كيف يفكر المهاجمون ، وما هي الأساليب والتكتيكات وأدوات القرصنة المستخدمة. تحدد هذه التجربة ، إلى جانب المعرفة ، جودة الاستجابة لحوادث أمن المعلومات وحجم عواقب الهجوم. لذلك ، أنا وزملائي نقضي الكثير من الوقت في العمل: نحن ندرس ، نقرأ ، ندرس ، بحث.

إذا قارنا مختبر الطب الشرعي بالكمبيوتر حيث عملت من قبل وقسم التحقيق حيث انتقلت ، فإن يوم عمل الطب الشرعي أقل تطبيعًا. يعمل الخبراء هناك مع الحوادث التي تحدث في الوقت الفعلي: يذهبون بسرعة إلى مسرح الجريمة ، ويعيدون تاريخ الهجوم ، ويبحثون عن البيانات المخترقة. لا يمكنك ترك كل شيء والعودة إلى المنزل ، لأن وقت العمل قد انتهى. يعمل مخطط مماثل أثناء الأحداث الاستقصائية ، عندما نشارك ، على سبيل المثال ، في البحث ، وفحص معلومات محركات الأقراص والصور والخوادم من وجهة نظر فنية. هنا ينتهي كل شيء: إذا كنت بحاجة إلى العمل في اليوم ، فنحن نعمل في اليوم ، إذا كانت بضعة أيام ، فهذا يعني عدة أيام. ولكن في بقية الوقت ، عندما لا تحتاج إلى إنقاذ بنك مشروط ، فإننا نعمل كالمعتاد ، مثل جميع الناس.

بعد أن عملت في الطب الشرعي لمدة 6 سنوات ، أردت أن أجرب نفسي في مجال التحقيق. هنا ، تفاصيل أخرى من العمل - لا يتم التحقيق في جرائم الكمبيوتر بسرعة. ولكن هنا ، بالطبع ، نتأخر عندما يكون من الضروري مساعدة الطرف المصاب بسرعة. على سبيل المثال ، يتصل بنا الآباء أو وكالات إنفاذ القانون إذا غادر الطفل المنزل لتحليل نشاطه في الشبكات الاجتماعية والمنتديات ، من أجل فهم من تحدث إليه ، ومن يمكنه معرفة الهروب وموقعه المزعوم. مثال آخر هو هجمات DDoS القوية على موارد التجارة الإلكترونية. يمكن أن تكلف ساعة من التوقف عن هذا الموقع شركة مئات الآلاف أو ملايين الروبل. لذلك ، نحن بحاجة إلى تحديد مصادر الهجوم بسرعة وحجبها.

لكن كل تحقيق فريد من نوعه. بدءًا من اللحظات الفنية عندما نحاول فهم الخدمات المستخدمة ، لتحديد الأدوات لتقييم المستوى الفني للمهاجم ، وانتهاءً بأدلة بواسطة عناوين IP والهواتف والبريد ، وتحليل الشبكات الاجتماعية ، والمنتديات والإعلانات على الموارد العامة والمخفية في Darknet. لا يوجد قالب للكشف عن حالة. هذه هي دائمًا دراسة عدد كبير من المصادر. على سبيل المثال ، في الحوادث التي تنطوي على برامج ضارة ، تحتاج إلى فهم كيفية عملها ، وأين تذهب ، ومن قام بتسجيل هذه الخوادم ، ومن يصيب الأجهزة ، وكيف.

ومع ذلك ، فإن الأساليب الأساسية في عملنا لا تتغير ، ولكن الأدوات وما نبحث عنه في التغيير. حتى البيانات في أنظمة التشغيل تتغير من إصدار إلى آخر: الهيكل ، التنسيق ، النهج. إذا استخدم الجميع في وقت سابق ICQ ، المراسلات التي تم تخزينها في شكل واضح وأثناء فحص القرص يمكن الوصول إليه ، يستخدم العديد من الرسل الآن التشفير. وهذا يعقد بشكل كبير تلقي ما يسمى الأدلة الرقمية.

الجريمة

Hacker هي صورة جماعية. بالحديث عن الجرائم ، يتم استخدام هذا المصطلح لتبسيط المفردات ، ولكن في الواقع ، هذا هو اسم جميع المتخصصين الذين يعرفون كيفية التحايل على أنظمة أمان الكمبيوتر. ينقسم أخطر المجرمين في هذا المجال إلى عدة فئات:

• قراصنة بدوافع مالية. الهدف هو النقد. إنهم يسرقون تفاصيل الوصول من بنك الإنترنت ، أو بيانات بطاقات الدفع أو يهاجمون خوادم المنظمات التي يتم تنفيذ معاملات الدفع عليها ؛
• قراصنة الدولة. يقوم هؤلاء الأشخاص بالمراقبة في المنظمات الصناعية والمالية ، وغالبًا ما يذهبون دون أن يلاحظهم أحد ويسرقون المستندات والمراسلات والأسرار والتقنيات. ويعتقد أن مثل هذه الجماعات مدعومة من قبل الولايات: مجموعة Lazarus ، Equation Group ، Black Energy ، Fancy Bear. هناك حالات عندما أجرت مثل هذه المجموعات مراقبة في شركات الطاقة ، في محاولة للسيطرة على المعدات.

في عام 2010 ، أصابت مجموعة المعادلات أجهزة الكمبيوتر في إيران لمنع إنتاج الأسلحة النووية. كانت هذه أول حالة معروفة لهجوم صناعي عندما تمكن المهاجمون من الوصول إلى معدات سيمنز ، مما أثر على العملية. إن شركتي Energetic Bear و Black Energy هما مجموعتان أخريان تعملان في مجال الهجمات على المنشآت الصناعية. قام الأخير بإنشاء أداة Industroyer التي تسمح لك بالتحكم في البروتوكولات التي تتصل بها المعدات وإرسال الأوامر إليها. إنجازهم هو انقطاع التيار الكهربائي في أوكرانيا ، عندما انقطع التيار الكهربائي في بعض مناطق البلاد لمدة 75 دقيقة.

كانت أكبر كمية من السرقة ، والتي شاركت في التحقيق فيها كأخصائي تقني ، 700 مليون روبل. أولاً ، يذهب المال لدفع ثمن جميع أجزاء المجموعة الإجرامية ، وتقديم الخدمات المساندة والبنية التحتية. ينفق ما تبقى من الأعضاء الرئيسيين في المجموعة على تنظيم سلامتهم وسلعهم الفاخرة - السيارات واليخوت والشقق. يدرك قائد المجموعة دائمًا مخاطر ما يفعله ، ويعلم أنه يمكنهم القدوم إليه للبحث في أي لحظة ، لذلك ، أعتقد أنه لا يشعر أبدًا بالأمان الكامل.

والمفاجأة مهمة في عمليات التفتيش واحتجاز المشتبه فيه. إن المتسللين على دراية فنية جيدة ، وإذا لم يفاجأوا ، فإنهم يتمكنون من تنشيط حماية البيانات على الأجهزة (على سبيل المثال ، التشفير) ، الذي يصعب الالتفاف عليه أو حتى تدمير البيانات.

عادة ، يحدث الاحتجاز مبكرًا ، قبل أن يغادر الشخص المنزل بعد: في الساعة 6-7 صباحًا ، أو عندما نكون على يقين من أنه استيقظ للتو وشغل جهاز الكمبيوتر ، والذي يعتمد على تفاصيل عمله. إذا تم البحث في الشركة ، فستأتي فرقة العمل إلى افتتاح المكتب. تعتمد أساليب الاحتجاز على مخيلة وكالات تطبيق القانون: العمل في مراكز الأعمال أمر سهل - فقط أظهر أنك مع الشرطة وتحتاج إلى الذهاب إلى شركة معينة. يعتبر احتجاز الفرد إجراءً أكثر تعقيدًا ، لأن المشتبه فيه يحتاج إلى تشجيع لفتح الباب ، على سبيل المثال ، ليقدم نفسه على أنه ناقل. مرة واحدة في ممارستي ، دخلت وكالات إنفاذ القانون شقة المهاجم من على سطح الكابلات ، وكسر النوافذ.

التحقيقات

هناك متسللون يعملون بعناية على تنفيذ التقنية للسرقة. يأخذون في الاعتبار كيف سيتم البحث عنهم ، وكيف تعمل آلية الهجوم ، وتغيير طرق الاختراق. مثل هذه الحالات المعقدة ذات أهمية كبيرة لنا نحن المتخصصين ، وفي ممارستي العملية تبرز حالتان من هذا القبيل.

وقد حدثت الحالة الأولى في بنك سُرقت منه أموال. للوهلة الأولى ، هذا أمر شائع: الوصول إلى محطة عمل عميل بنك روسيا. تم استخدام هذا المخطط من قبل عدة مجموعات منذ عام 2013. ولكن على الرغم من فهم مخطط الجريمة بأكمله ، إلا أنه كان له فرق واحد. على أحد أجهزة الكمبيوتر على الشبكة ، أطلق المخترقون برنامجًا متنقلًا يعمل بشكل حصري في ذاكرة الوصول العشوائي - الآن أصبح من المألوف استدعاء بلا ملفات (برنامج متضمن). وهكذا ، تمكن المهاجمون من الوصول إلى كل جهاز كمبيوتر في جميع فروع المنظمة. وبعبارة أخرى ، أقاموا شبكة بوت نت محكومة داخل البنك. لذلك ، أثناء تشغيل جهاز كمبيوتر مصاب واحد على الأقل ، فإنه سيصيب أجهزة الشركة مرارًا وتكرارًا.


جزء من دودة تنتقل في وقت الإصابة في حركة مرور الشبكة

كان هناك سؤال منطقي: كيف لتنظيف الشبكة؟ بعد تجربة الطرق الفنية ، أدركنا أن أفضل حل في هذه الحالة هو إيقاف تشغيل جميع أجهزة الكمبيوتر في وقت واحد في جميع فروع البنك ، والتي وافق عليها البنك. وهكذا ، تمكنا من تنظيف ذاكرة الوصول العشوائي ؛ لم يكن هناك دودة في بدء التشغيل. لقد كان حدثًا فريدًا في الحجم. في الوضع العادي ، لن نتمكن أبدًا من تعطيل أداء جميع خوادم الشركة على الفور.

المثال الثاني ، الذي أعتبره من أكثر الأمثلة إثارة للاهتمام أثناء عملي ، هو عمل مجموعة الكوبالت - أكثر مجموعات القراصنة عدوانية ونجاحًا في السنوات الأخيرة. بدأت العمل في روسيا في عام 2016 ، مهاجمة البنوك والمؤسسات المالية في جميع أنحاء العالم. وفقا ليوروبول ، طوال الوقت الذي عملت فيه ، تمكنت من الانسحاب من حسابات الضحايا مليار يورو. في عملهم ، استخدموا أداة اختبار اختراق Cobalt Strike قانونية تمامًا. من خلال الوصول إلى أجهزة الكمبيوتر ، يمكنهم حتى التحكم في الأجهزة غير المتصلة بالإنترنت. لم تكن مثل أفعال الجماعات الإجرامية الأخرى التي واجهناها. قام أعضاء مجموعة Cobalt باستمرار بتغيير مواقع الهجوم ، واختبروا أدوات جديدة ، وظلوا بعيدًا عن المجرمين الإلكترونيين ووكالات إنفاذ القانون لمدة عامين تقريبًا. تم القبض على زعيم المجموعة هذا الربيع فقط في أليكانتي الإسبانية. الآن ينتظر المحاكمة.


رمز حمولة الوصول VNC المحقونة

التحقيق عملية طويلة. عادة ما ترتبط أطول الحالات بمجموعات إجرامية كبيرة تنخرط في هجمات مستهدفة ، وتسرق الأموال من خلال الخدمات المصرفية عبر الإنترنت أو تطبيقات الهاتف المحمول للمؤسسات المالية. يولون اهتمامًا كبيرًا لكيفية إخفاء هويتهم - يستخدمون العديد من سلاسل الخوادم للوصول إلى الموارد ، ويستخدمون التشفير ، ويعيدون كتابة برامج الهجوم باستمرار لتجاوز برامج الحماية من الفيروسات وأنظمة الحماية المحيطة. لا يمكن العثور على هؤلاء الناس في حادثة واحدة. في حالات قليلة فقط يتم تجميع المواد التي يمكن العمل بها ، ولكن حتى ذلك الحين تستغرق عملية البحث وقتًا طويلاً. لفهم من يقف وراء الجريمة ، تحتاج إلى ستة أشهر (وأحيانًا أكثر) ، وعادة ما تكون هناك حاجة لأكثر من عام من أجل جمع الأدلة على الاعتقال والتفتيش.

ولكن هذا يحدث والعكس صحيح. استغرق التحقيق الأسرع يوم واحد فقط. تم إعلامنا بأن المهاجمين تمكنوا من الوصول إلى خوادم البنك. وصلنا إلى المكان وفرزناه لعدة ساعات حتى أدركنا أن أحد الأقسام أمر باختبار الاختراق ، والذي لم يعرفه الآخرون. يتم إجراء هذه الاختبارات لتقييم حماية البنية التحتية للشركة. عادة ما تعرف الإدارة عنهم ، والتحقق من كيفية عمل الفريق على الوضع.

في بعض الأحيان في العمل ، نتصادم مع جدار ، ولكن حسب تجربتي ، يكون له باب. مثل هذه الحالات لا تتركها: تعود إلى المنزل وفي وقت فراغك تبحث عن مخرج من الموقف ، تفكر في كيفية حل الأمر.

في تجربتي ، كان هناك فحص كان من الضروري فيه إثبات أن المهاجم كان متورطًا بالفعل في الحادث ، لأن مجرد وجود برامج ضارة على الكمبيوتر لا يكفي لبدء قضية جنائية. تستفيد حماية المشتبه بهم من ذلك ، وبناء موقف على مبدأ: البرنامج لم يعمل على الكمبيوتر أو المشتبه به لم يتصل به أثناء الحادث. في هذه الحالة ، تم تشفير سجلات البرنامج التي توفر الوصول عن بُعد لبعض الوقت على كمبيوتر الضحية ، ثم تم إرسالها إلى خادم المهاجم وحذفها.

استغرق الأمر عدة أيام لمعرفة كيفية حل المشكلة: لاستعادة سجلات البرنامج من المنطقة الحرة لنظام الملفات قبل التشفير (أجزاء من ذاكرة الوصول العشوائي). كان من حسن الحظ أن لحظة الحادث لم تتم إعادة كتابتها أيضًا. سمح لي هذا بإثبات أنه أثناء سرقة المال ، اتصل المهاجم بالكمبيوتر بالتوازي مع الضحية.

العقوبة

في مجموعات القراصنة ، يتم توزيع الأدوار بشكل واضح وتقسيمها ، لذلك ينفق أكثر من شخص الجريمة السيبرانية من البداية إلى النهاية. فقط قائد الجماعة يعرف مخطط الجريمة بأكمله. يقوم بتعيين مساعدين لمهام معينة: تكوين الخادم ، وكتابة البرنامج وتوزيعه ، وحماية البرامج الضارة من الفيروسات. الأولاد العاديون المهتمون بتكنولوجيا المعلومات ، وأحيانًا لا يشكون في أنهم يشاركون في جماعة إجرامية ، قد يتبين أنهم مثل هؤلاء الأشخاص.

كقاعدة ، يقوم شخص مجهول بالاتصال بشخص ما ويقدم الأموال لعمل معين على أساس مبدأ: "هل يمكنك إعداد خادم؟ "يمكنني." على الأرجح ، لن يخبر المنظم المقاول عن سبب الحاجة إلى هذا الخادم.

شيء آخر هو عندما يطور الشخص برنامجًا يعترض البيانات. يعرف أنه يمكن استخدامه لأغراض احتيالية. في بعض الأحيان يتم شراء هذه البرامج من طرف ثالث ولا يتم إبلاغ المؤلف عن كيفية استخدام المحتالين لها: لاعتراض كلمة المرور لحساب Vkontakte أو معلومات البطاقة المصرفية. نفس القصة مع شخص "يشفر" برنامجًا من مضادات الفيروسات - يجب أن يكون على علم بأن هذه البرامج لم يتم إنشاؤها لأغراض قانونية. يمكن بالفعل جذب الشخص الذي يوزع البرنامج بموجب المادة 273 من القانون الجنائي للاتحاد الروسي.

يتطلب التشريع الروسي بشأن مقاضاة الأشخاص الذين ارتكبوا جرائم الإنترنت مزيدًا من التطوير. في السابق ، بالنسبة لمثل هذه الجرائم ، غالبًا ما كانوا يصدرون أحكامًا مشروطة ، حتى لو سرق المتسللون مبالغ كبيرة من المال. هذا لم يخيف أو يحفز الناس على التخلي عن ما يفعلونه. منذ عام 2014 ، تحسنت الأمور بعد أن أدانوا Carberp لفترات طويلة.

مهنة

للحصول على وظيفة في الطب الشرعي للكمبيوتر ، يجب أن يكون لدى الشخص خلفية تقنية. تخرجت من معهد موسكو للفيزياء الهندسية ، كلية أمن المعلومات ، عندما لم يتم تدريس علم الجريمة في روسيا حتى الآن. تعلمنا لغات البرمجة وأساسيات إدارة النظام وحماية المحيط. درسنا كيفية عمل البرامج الضارة وكيفية التغلب على آليات الحماية لأنظمة التشغيل.

إن الشخص ذو الخبرة التقنية الذي يفهم كيفية عمل أنظمة التشغيل ، وكيف يتم بناء الشبكة ، وكيف يتم نقل البيانات وسرقتها وحمايتها ، لديه معرفة كافية للحصول على وظيفة في مجال الطب الشرعي للكمبيوتر. شريطة أن يغوص في تفاصيل المنطقة. لدى شركتنا أمثلة عندما جاء الناس بدون تعليم تقني - كان الأمر أكثر صعوبة بالنسبة لهم ، لأنه في البداية كان عليهم إتقان المعرفة الأساسية.

بالنسبة لأولئك المهتمين بالطب الشرعي ، أوصي بقراءة File System Forensic Analysis (Brian Carrier) ، وهو كتاب أساسي عن كيفية عمل أنظمة الملفات ، وهو أمر مهم للمنطقة. Network Forensics (Sherri Davidoff) و The Art of Memory Forensics (مايكل هال ليغ) كتابان آخران يجب على كل عالم شرعي يحترم نفسه أن يدرسهما. من أجل البحث على الأجهزة المحمولة ، أوصي بـ Mobile Forensics (Oleg Skulkin).

لفهم ما يحدث في الطب الشرعي ، تحتاج إلى قراءة مقالات ومدونات حول الحالات الناجحة والخبرة الشخصية. ولكن ليست هناك حاجة لانتظار القبض على المتسللين وهم يتقاسمون الأسرار على الإنترنت - لا يتم نشر المعلومات في القضايا الجنائية. ويمكن قراءة كيفية تحليل الأشخاص للبيانات على الموارد الدولية والروسية: مدونة معهد SANS (هناك أيضًا دورة عن الطب الشرعي ونشر الكتب وكتابة المقالات) و ForensicFocus و Habr.

لكن الشيء الأكثر إثارة للاهتمام في عملي هو حل "اللغز": اختراع طرق غير قياسية والتفكير خارج الصندوق من أجل إيجاد فجوة في حيل المتسللين.