تلبية: Vesta Matveeva - خبير أمن المعلومات Group-IB.
التخصص: التحقيق في الجرائم السيبرانية.
ما هو معروف: تشارك فيستا بانتظام ليس فقط في التحقيقات ، ولكن أيضًا في عمليات الاعتقال والاستجواب وعمليات البحث لأعضاء مجموعات القراصنة. لمدة 6 سنوات ، أجرت العشرات من الفحوصات - التحليل الفني للحوادث كمجرمة ، وبعد ذلك انتقلت إلى قسم التحقيق في Group-IB ، نجحت في فتح العديد من الحالات واستمرت في العمل في هذا الاتجاه.
خلفية ظهور هذه المواد: جاءت Vesta إلى جامعة Innopolis بدعوة من المعلمين والطلاب في برنامج الماجستير
تصميم أنظمة وشبكات آمنة كجزء من دورة الجرائم الإلكترونية
والطب الشرعي (الجرائم الإلكترونية والطب الشرعي الكمبيوتر). ألقت محاضرة حول كيفية عولمة الجريمة السيبرانية ، وما هي التكتيكات والأدوات المستخدمة لمهاجمة المنظمات المالية والصناعية ، وما هي الأساليب التي يستخدمها مجرمو الإنترنت للبحث عن المجرمين الإلكترونيين. التقى الرجال من قسم العلاقات العامة في Innopolis مع Vesta وطرحوا الكثير من الأسئلة. الشيء الأكثر إثارة للاهتمام هو أننا قمنا بتضمين اقتباسات في هذه المادة.
عملي ليس مجرد خيار لصالح صاحب العمل ، بل هو خيار أخلاقي يطابق قيم حياتي وأسلوب حياتي. لدينا هدف عالمي - نحن نكافح الجرائم السيبرانية ، ونساعد الشركات والمستخدمين الأفراد الذين يقعون ضحايا هجوم سيبراني في العثور على من يقف وراءها ويجلبون المهاجمين إلى قفص الاتهام. نحن نتعامل مع مثل هذه الحوادث كل يوم ، ونعرف كيف يفكر المهاجم ، والأساليب التي يستخدمها ، وما هي التكتيكات التي يختارها ، والأدوات التي يستخدمها للاختراق. يعتمد حجم عواقب الهجوم على جودة عملنا. أنا وزملائي نقضي الكثير من الوقت في العمل: نحن نبحث ، ندرس ، ندرس ، نقرأ ، نشارك الخبرات.
التعليم الذاتي المستمر ، وتحسين الأدوات وتحديث المعرفة هي الطريقة الوحيدة المؤكدة للتمكن من مواجهة المجرمين والتحقيق في أكثر الجرائم الحاسوبية تعقيدًا.
الطب الشرعي هو سباق ، والتحقيقات هي ماراثون. يشارك خبراء مختبر الطب الشرعي للكمبيوتر Group-IB في الاستجابة لحوادث أمن المعلومات في الوقت الفعلي: غالبًا ما يضطرون للذهاب بسرعة إلى مسرح الجريمة ، واستعادة سجل الهجمات ، والبحث عن البيانات المخترقة. غالبًا ما يكون يوم العمل غير موحد: خلال الحادث ، لا يمكنك ترك كل شيء والعودة إلى المنزل ، لأن وقت العمل قد انتهى. ليس لدى المهاجمين جدول عمل أو عطلة نهاية أسبوع: يمكن أن يكون الوقت الخامل من جانبنا مميتًا للشركة المتضررة. يتشابه مخطط العمل في إطار مقاييس البحث التشغيلي ، على سبيل المثال ، عندما نشارك في بحث ، ونفحص معلومات محركات الأقراص والصور والخوادم من وجهة نظر فنية. تم إنهاء كل شيء: إذا كنت بحاجة إلى العمل يومًا ، فنحن نعمل يوميًا ، إذا كان ذلك بضعة أيام ، فهذا يعني القليل. ولكن في بقية الوقت ، عندما لا تكون بحاجة إلى "حفظ" مصرف مشروط ، فإننا نجري أبحاثًا على البيانات ونقوم بمراجعات الخبراء ونعمل كالمعتاد ، مثلما يفعل جميع الأشخاص العاديين. حسنا ، أو نفس الشيء تقريبا.
بعد أن عملت في مختبر الطب الشرعي للكمبيوتر في Group-IB لمدة 6 سنوات ، أردت أن أجرب نفسي في مجال التحقيق. هنا خصوصية أخرى للعمل: المزيد من التحليلات ، المهام الأكبر. الغرض من التحقيق هو التعرف على الجماعة الإجرامية التي تقف وراء الهجوم وبنيتها التحتية. نظرًا لإمكانية إخفاء الهوية على الإنترنت ، لا يتم التحقيق في جرائم الكمبيوتر بسرعة. يحدث أننا تأخرنا عندما يكون هناك حاجة ملحة لمساعدة الطرف المصاب. على سبيل المثال ، غادر طفل المنزل ، ويطلب منا الآباء أو وكالات إنفاذ القانون تحليل نشاطه في الشبكات الاجتماعية ، والمنتديات ، لفهم من كان يتحدث معه ، والذين يمكنهم معرفة الهروب ، حول المكان المفترض الذي يمكن أن يكون فيه في الوقت الحالي. مثال آخر: هناك هجوم DDoS قوي على مورد متعلق بالتجارة الإلكترونية. يمكن أن تكلف ساعة من تعطل مثل هذا الموقع شركة مئات الآلاف ، وأحيانًا ملايين الروبل. نحن مطالبون بتحديد مصادر الهجوم بسرعة وحجبها.
التحقيق عملية طويلة. عادة ما ترتبط أطول الحالات بمجموعات إجرامية كبيرة تنخرط في هجمات مستهدفة ، وتسرق الأموال من خلال الخدمات المصرفية عبر الإنترنت أو تطبيقات الهاتف المحمول للمؤسسات المالية. يولون اهتمامًا كبيرًا لكيفية إخفاء هويتهم - يستخدمون العديد من سلاسل الخوادم للوصول إلى الموارد ، ويستخدمون التشفير ، ويعيدون كتابة البرامج للهجمات باستمرار. لا يمكن العثور على هؤلاء الناس في حادثة واحدة. في حالات قليلة فقط يتم تجميع المواد التي يمكن العمل بها ، ولكن حتى ذلك الحين تستغرق عملية البحث وقتًا طويلاً. لفهم من يقف وراء الجريمة ، عادة ما يستغرق الأمر حوالي ستة أشهر (أحيانًا أطول) ، ولفترة طويلة (عادة سنوات) ، من الضروري جمع الأدلة على الاعتقال والتفتيش.
احتجاز أعضاء مجموعة إجرامية القرصنة كرون هو نتيجة للعمل المشترك بين وزارة الشؤون الداخلية والمجموعة IB.
استغرق التحقيق الأسرع يوم واحد. تم إعلامنا بأن المهاجمين تمكنوا من الوصول إلى خوادم البنك. ذهبنا إلى المكان ، وفرزناه لعدة ساعات حتى أدركنا أنه تم إجراء اختبار اختراق في البنك. يتم إجراء هذه الاختبارات لتقييم حماية البنية التحتية للشركة. عادة ما تعرف الإدارة عنهم ، والتحقق من كيفية عمل الفريق على الوضع. علاوة على ذلك ، لم يكن من الصعب أن نفهم أن هذا التدقيق هو الذي دفعنا إلى الاتصال بنا.
كل تحقيق فريد. من اللحظات الفنية التي نحاول فيها فهم الخدمات المستخدمة ، لتحديد الأدوات لتقييم المستوى الفني للمهاجم ، والانتهاء من القرائن عن طريق عناوين IP وأرقام الهاتف والبريد وتحليل الشبكات الاجتماعية والمنتديات والإعلانات على موارد القراصنة العامة والمخفية في Darknet. لا يوجد قالب للكشف عن حالة. هو دائما تحليلات لعدد كبير من مصادر المعلومات. على سبيل المثال ، في الحوادث التي تنطوي على برامج ضارة ، تحتاج إلى فهم كيفية عملها ، وأين تذهب ، ومن قام بتسجيل هذه الخوادم ، ومن قام بتوزيع البرامج وكيف (الأجهزة المصابة).
المناهج الأساسية في عملنا لا تتغير ، ولكن الأدوات وما نستكشفه من تغيير. تختلف نفس البيانات الموجودة في أنظمة التشغيل من إصدار إلى آخر: البنية ، التنسيق ، النهج. على سبيل المثال ، إذا كان الجميع يستخدم ICQ ، فإن المراسلات التي تم تخزينها بشكل واضح ، وخلال فحص القرص ، يمكن الوصول إليها ، يستخدم العديد من الرسل الآن التشفير. وهذا يعقد إلى حد كبير تلقي ما يسمى "الأدلة الرقمية".
في بعض الأحيان في العمل ، نتصادم مع جدار ، ولكن حسب تجربتي ، يكون له باب. هناك طلبات ليس حلها واضحًا نظرًا لميزاتها التقنية. مثل هذه الحالات لا تتركها: تعود إلى المنزل وفي وقت فراغك تبحث عن مخرج من الموقف ، تفكر في كيفية حل الأمر.
في تجربتي ، كان هناك فحص كان من الضروري فيه إثبات أن المهاجم كان متورطًا بالفعل في الحادث ، لأن مجرد وجود برامج ضارة على الكمبيوتر لا يكفي لبدء قضية جنائية. تستفيد حماية المشتبه بهم من ذلك ، وبناء موقف على مبدأ: البرنامج لم يعمل على الكمبيوتر أو المشتبه به لم يتصل به أثناء الحادث. في هذه الحالة ، تم تشفير سجلات البرنامج التي توفر الوصول عن بُعد لبعض الوقت على كمبيوتر الضحية ، ثم تم إرسالها إلى خادم المهاجم وحذفها.
استغرق الأمر عدة أيام لمعرفة كيفية حل المشكلة: لاستعادة سجلات البرنامج من المنطقة الحرة لنظام الملفات قبل التشفير (أجزاء من ذاكرة الوصول العشوائي). كان من حسن الحظ أن لحظة الحادث لم تتم إعادة كتابتها أيضًا. سمح لي هذا بإثبات أنه أثناء سرقة المال ، اتصل المهاجم بالكمبيوتر بالتوازي مع الضحية.
"الهاكر" هي صورة جماعية. بالحديث عن الجرائم ، يُستخدم هذا المصطلح من أجل البساطة ، ولكن في الواقع هو اسم جميع المتخصصين الذين يعرفون كيفية التحايل على أنظمة أمان الكمبيوتر. ينقسم أخطر المجرمين في هذا المجال إلى عدة فئات:
قراصنة بدوافع مالية. هدفهم هو المال. إنهم يسرقون تفاصيل الوصول من بنك الإنترنت ، أو بيانات بطاقات الدفع أو يهاجمون خوادم المنظمات التي يتم تنفيذ معاملات الدفع عليها ؛
قراصنة الدولة. يقوم هؤلاء الأشخاص بالمراقبة في المنظمات الصناعية والمالية ، وغالبًا ما يذهبون دون أن يلاحظهم أحد ويسرقون المستندات والمراسلات والأسرار والتقنيات. ويعتقد أن مثل هذه الجماعات مدعومة من قبل الولايات: مجموعة Lazarus ، Equation Group ، Black Energy ، Fancy Bear. هناك حالات عندما أجرت هذه المجموعات مراقبة في شركات الطاقة ، في محاولة للوصول إلى إدارة المعدات.
في عام 2010 ، أصابت مجموعة المعادلات أجهزة الكمبيوتر في إيران لمنع إنتاج الأسلحة النووية. كانت هذه أول حالة معروفة لهجوم صناعي عندما تمكن المهاجمون من الوصول إلى معدات سيمنز ، مما أثر على العملية. إن شركتي Energetic Bear و Black Energy مجموعتان أخريان تعملان في مجال الهجمات على المنشآت الصناعية. قام الأخير بإنشاء أداة Industroyer التي تسمح لك بالتحكم في البروتوكولات التي تتصل بها المعدات وإرسال الأوامر إليها. إن "إنجازهم" البارز هو انقطاع التيار الكهربائي في أوكرانيا ، عندما قاموا في بعض مناطق البلاد بإيقاف الكهرباء لمدة 75 دقيقة.
أكبر قدر من السرقة في بنك روسي ، في التحقيق الذي شاركت فيه كأخصائي تقني ، بلغ 700 مليون روبل. أولاً ، يذهب المال لدفع ثمن جميع أجزاء المجموعة الإجرامية ، وتقديم الخدمات المساندة والبنية التحتية. ينفق الأعضاء الرئيسيون في المجموعة الباقي على ضمان سلامتهم وأحيانًا السلع الكمالية - السيارات واليخوت والشقق. يدرك قائد المجموعة دائمًا مخاطر ما يفعله ، ويعلم أنه يمكنهم القدوم إليه للبحث في أي لحظة ، لذلك ، أعتقد أنه ليس لديه شعور بالأمن الكامل.
الصعوبات مثيرة للاهتمام. هناك متسللون يعملون بعناية على التنفيذ الفني للسرقة. يأخذون في الاعتبار كيف سيتم البحث عنهم ، وكيف تعمل آلية الهجوم ، وتغيير طرق الاختراق. هذه الأمور مثيرة جدا للاهتمام للمتخصصين.
حدثت حالة واحدة في بنك سُرقت منه أموال. للوهلة الأولى ، عادة ما يكون هذا هو الحال: الوصول إلى AWS من CBD (محطة عمل مؤتمتة لعميل بنك روسيا). تم استخدام هذا المخطط من قبل عدة مجموعات منذ عام 2013. خصوصية هذه الحالة كانت أن المهاجمين كان لديهم وصول إلى كل جهاز كمبيوتر داخل المنظمة ، بما في ذلك في الفروع. للقيام بذلك ، على جهاز كمبيوتر واحد على الشبكة ، أطلقوا دودة كمبيوتر عملت حصريًا في ذاكرة الوصول العشوائي للكمبيوتر. ما هو الآن من المألوف أن نسميه بلا برنامج (برنامج مضمن). وبعبارة أخرى ، أقاموا شبكة بوت نت محكومة داخل البنك. طالما تم تشغيل كمبيوتر مصاب واحد على الأقل ، فإنه سيصيب أجهزة الشركة مرارًا وتكرارًا.
كان هناك سؤال منطقي: كيف لتنظيف الشبكة؟ بعد تجربة الطرق الفنية ، أدركنا أن أفضل حل في هذه الحالة هو إيقاف تشغيل جميع أجهزة الكمبيوتر في وقت واحد في جميع فروع البنك ، والتي وافق عليها البنك. وهكذا ، تمكنا من تنظيف ذاكرة الوصول العشوائي ؛ لم يكن هناك دودة في بدء التشغيل. لقد كان حدثًا فريدًا في الحجم. في الوضع العادي ، لن نتمكن أبدًا من فصل جميع خوادم الشركة على الفور.
جزء من دودة تنتقل في وقت الإصابة في حركة مرور الشبكةجميع المتسللين مخطئون. تحتاج فقط إلى الانتظار لهذه اللحظة. حالة مجموعة الكوبالت - أكثر مجموعات القراصنة عدوانية ونجاحًا في السنوات الأخيرة - أعتبرها واحدة من أكثر مجموعاتهم إثارة للاهتمام أثناء عملهم. بدأت العمل في روسيا في عام 2016 ، مهاجمة البنوك والمؤسسات المالية حول العالم وسرقة مبالغ ضخمة من المال. وفقا ليوروبول ، طوال الوقت الذي عملت فيه ، تمكنت من الانسحاب من حسابات ضحاياها حوالي مليار يورو. الكوبالت مثال للهجمات المستهدفة. في عملهم ، استخدموا أداة اختبار اختراق Cobalt Strike قانونية تمامًا. كانت إحدى السمات المثيرة للاهتمام للحمولة التي تم تثبيتها من قبل مجرمي الإنترنت عند الوصول إلى جهاز كمبيوتر في مؤسسة هي القدرة على إدارة أجهزة الكمبيوتر على الشبكة ، حتى تلك التي لم تكن متصلة بالإنترنت. لم تكن مثل أفعال الجماعات الإجرامية الأخرى التي واجهناها. قام الكوبالت باستمرار بتغيير مواقع هجماتهم ، واختبر أدوات جديدة ولمدة عامين تقريبًا كانت بعيدة المنال بالنسبة للجرائم الإلكترونية ووكالات إنفاذ القانون. تم القبض على زعيم الكوبالت هذا الربيع في مدينة أليكانتي الإسبانية. الآن ينتظر المحاكمة.
رمز حمولة الوصول VNC المحقونةوالمفاجأة مهمة في عمليات التفتيش واحتجاز المشتبه فيه. غالبًا ما يكون المخترقون على دراية فنية ، وإذا لم يفاجأوا ، فإنهم يتمكنون من تنشيط حماية البيانات على الأجهزة (على سبيل المثال ، التشفير) ، والتي قد يكون من الصعب التحايل عليها ، أو على العكس ، محاولة تدمير البيانات. عادة ، يحدث الاحتجاز مبكرًا ، قبل أن يغادر الشخص المنزل بعد: في الساعة 6-7 صباحًا ، أو العكس ، عندما استيقظ للتو وشغل جهاز الكمبيوتر - يعتمد ذلك على تفاصيل عمله. إذا تم البحث في الشركة ، فستأتي فرقة العمل إلى افتتاح المكتب. تعتمد أساليب الاحتجاز على وكالات إنفاذ القانون: في مراكز الأعمال ، يحتاج المسؤولون عن تطبيق القانون في بعض الأحيان فقط إلى إظهار بطاقة هوية رسمية للسماح لها بالدخول إلى شركة معينة. يعد احتجاز الفرد إجراءً أكثر تعقيدًا ، لأنه يجب إجبار المشتبه به على فتح الباب ، على سبيل المثال ، لتقديم نفسه على أنه حامل بريد. في بعض الحالات ، لتجنب تدمير البيانات ، يخترقون الشقة بشكل أكثر جذرية: من السقف على الكابلات ، وكسر النوافذ.
فقط زعيم مجموعة القراصنة يعرفون مخطط الجريمة الوشيك بأكمله. في مجموعات القراصنة ، يتم توزيع الأدوار بشكل واضح وتقسيمها ، لذلك ينفق أكثر من شخص الجريمة السيبرانية من البداية إلى النهاية. يوظف قائد المجموعة منفذي مهام معينة: تكوين الخادم وكتابة البرنامج وتوزيعه وحماية البرامج الضارة من مضادات الفيروسات. الأولاد العاديون المهتمون بتكنولوجيا المعلومات وأحيانًا لا يشكون في أنهم يشاركون في جماعة إجرامية قد يتبين أنهم مثل هؤلاء الأشخاص.
كقاعدة ، يقوم شخص مجهول بالاتصال بشخص ما ويقدم الأموال لعمل معين على أساس مبدأ: "هل يمكنك إعداد خادم؟ "يمكنني." على الأرجح ، لن يخبر المنظم المقاول عن الغرض من هذا الخادم.
شيء آخر هو عندما يقوم شخص بتطوير برنامج يعترض البيانات ، وفي نفس الوقت يعرف أنه يمكن استخدامه لأغراض احتيالية. في بعض الأحيان يتم شراء هذه البرامج من طرف ثالث ولا يتم إبلاغ المؤلف بكيفية استخدام المحتالين لها: لاعتراض كلمة المرور الخاصة بحساب VKontakte أو معلومات البطاقة المصرفية. نفس القصة مع شخص "يشفر" برنامجًا من مضادات الفيروسات - يجب أن يكون على علم بأن هذه البرامج لم يتم إنشاؤها لأغراض قانونية. يمكن بالفعل جذب شخص ينشر برنامجًا ضارًا بموجب المادة 273 من القانون الجنائي للاتحاد الروسي.
في روسيا ، يتطلب التشريع المتعلق بالمحاكمة الجنائية للأشخاص الذين ارتكبوا جرائم الإنترنت مزيدًا من التطوير. في السابق ، بالنسبة لمثل هذه الجرائم ، غالبًا ما كانوا يصدرون أحكامًا مشروطة ، حتى لو سرق المتسللون مبالغ كبيرة من المال. هذا لم يخيف أو يحفز الناس على التخلي عن ما يفعلونه. منذ عام 2014 ، تحسنت الأمور بعد أن أدانوا أعضاء في مجموعة Carberp لفترات طويلة حقيقية.
مهنة في الجرائم الإلكترونية أو التحقيقات في جرائم الكمبيوتر هي مهنة العصاميين. من أجل الحصول على وظيفة في الطب الشرعي للكمبيوتر ، يجب أن يكون لدى الشخص خلفية تقنية. تخرجت من معهد موسكو للفيزياء الهندسية ، كلية أمن المعلومات ، عندما لم يتم تدريس علم الجريمة في روسيا حتى الآن. تعلمنا أساسيات إدارة النظام وحماية المحيط وأدوات الأمان ومبادئ تشغيلها. درسنا أيضًا لغات البرمجة ، وكيفية عمل البرامج الضارة ، وكيفية التغلب على آليات الحماية لأنظمة التشغيل.
إن الشخص ذو الخبرة التقنية الذي يفهم كيفية عمل أنظمة التشغيل ، وكيف يتم بناء الشبكة ، وكيف يتم نقل البيانات وسرقتها وحمايتها ، لديه معرفة كافية للحصول على وظيفة في مجال الطب الشرعي للكمبيوتر. شريطة أن يغوص في تفاصيل المنطقة. لدى شركتنا أمثلة عندما جاء الناس بدون تعليم تقني - كان الأمر أكثر صعوبة بالنسبة لهم ، لأنه في البداية كان عليهم إتقان المعرفة الأساسية.
بالنسبة لأولئك المهتمين بالطب الشرعي ، أوصي بقراءة File System Forensic Analysis (Brian Carrier) ، وهو كتاب أساسي عن كيفية عمل أنظمة الملفات ، وهو أمر مهم للمنطقة. Network Forensics (Sherri Davidoff) و The Art of Memory Forensics (Michael Hale Ligh) هما كتابان آخران يحتاج كل عالم شرعي يحترم نفسه إلى دراسته للمشاركة في التحقيق في الجرائم السيبرانية المعاصرة. بالنسبة للبحوث على الأجهزة المحمولة ، يمكنني تقديم النصح العملي للطب الشرعي المتنقل (Oleg Skulkin).
لفهم ما يحدث في الطب الشرعي ، تحتاج إلى قراءة مقالات ومدونات موضوعية عن الحالات الناجحة والخبرة الشخصية. ولكن لا داعي للانتظار حتى يتم القبض على المتسللين وهم يشاركون الأسرار على الإنترنت - هذه الحالات مصنفة في قضايا جنائية. وكيف يمكن للناس تحليل البيانات يمكن قراءتها على الموارد الدولية والروسية: مدونة معهد SANS (هناك أيضًا دورة عن الطب الشرعي ، ونشر الكتب وكتابة المقالات) ، و ForensicFocus ، و Habr.لكن الشيء الأكثر إثارة للاهتمام في عملي هو حل "اللغز": اختراع طرق غير قياسية والتفكير خارج الصندوق من أجل إيجاد فجوة في حيل المتسللين.