Vesta Matveeva ist Informationssicherheitsexpertin bei Group-IB und von Business Insider UK als eine der 7 einflussreichsten globalen Organisationen in der Cybersicherheitsbranche anerkannt. 6 Jahre lang führte sie Dutzende von Untersuchungen durch - technische Analyse von Vorfällen als Kriminalistin. Danach wechselte sie in die Ermittlungsabteilung und eröffnete mehrere Fälle.
Vesta kam auf Einladung von Lehrern und Schülern des Masterstudiengangs an die Innopolis University und
entwarf im Rahmen des CyberCrime- und Forensik-Kurses
sichere Systeme und Netzwerke . Der Gast hielt einen Vortrag darüber, wie sich die Internetkriminalität globalisiert, welche Taktiken und Werkzeuge verwendet werden, um Finanz- und Industrieorganisationen anzugreifen, und welche Methoden Cyberkriminelle zur Bekämpfung von Hackern anwenden.
Arbeit
In der Gruppe IB können Sie nicht nur von 10 bis 19 arbeiten. Wir haben ein globales Ziel - die Bekämpfung der Kriminalität. Wir helfen Unternehmen, Regierungen und anderen Opfern von Cyberangriffen, die Hintermänner des Verbrechens zu finden und Eindringlinge zum Dock zu bringen. Wir arbeiten jeden Tag mit solchen Vorfällen und haben gelernt zu verstehen, wie Angreifer denken, welche Methoden, Taktiken und Hacking-Tools verwendet werden. Diese Erfahrung in Verbindung mit Wissen bestimmt die Qualität der Reaktion auf Vorfälle im Bereich der Informationssicherheit und das Ausmaß der Folgen des Angriffs. Deshalb verbringen meine Kollegen und ich viel Zeit bei der Arbeit: Wir studieren, lesen, studieren, forschen.
Wenn wir das Computerforensiklabor, in dem ich zuvor gearbeitet habe, und die Untersuchungsabteilung, in die ich umgezogen bin, vergleichen, ist der Arbeitstag in der Forensik weniger normalisiert. Dort arbeiten Experten mit Vorfällen, die in Echtzeit auftreten: Sie gehen schnell zum Tatort, stellen den Angriffsverlauf wieder her und suchen nach kompromittierten Daten. Sie können nicht alles verlassen und nach Hause gehen, da die Arbeitszeit abgelaufen ist. Ein ähnliches Schema funktioniert bei Ermittlungsereignissen, wenn wir beispielsweise an einer Suche teilnehmen und die Informationen von Laufwerken, Images und Servern aus technischer Sicht untersuchen. Hier endet alles: Wenn Sie einen Tag arbeiten müssen, arbeiten wir einen Tag, wenn ein paar Tage, dann mehrere Tage. In der restlichen Zeit, in der Sie keine bedingte Bank speichern müssen, arbeiten wir wie gewohnt, wie alle Menschen auch.
Nachdem ich 6 Jahre in der Forensik gearbeitet hatte, wollte ich mich auf dem Gebiet der Untersuchung versuchen. Hier werden weitere Besonderheiten der Arbeit - Computerkriminalität - nicht schnell untersucht. Aber hier verzögern wir uns natürlich, wenn es notwendig ist, dem Verletzten schnell zu helfen. Zum Beispiel kontaktieren uns Eltern oder Strafverfolgungsbehörden, wenn das Kind sein Zuhause verlassen hat, um seine Aktivitäten in sozialen Netzwerken und Foren zu analysieren, um zu verstehen, mit wem es gesprochen hat, wer über die Flucht und seinen mutmaßlichen Standort Bescheid wissen kann. Ein weiteres Beispiel sind leistungsstarke DDoS-Angriffe auf E-Commerce-Ressourcen. Eine Stunde Ausfallzeit für einen solchen Standort kann ein Unternehmen Hunderttausende oder Millionen Rubel kosten. Daher müssen wir die Angriffsquellen schnell ermitteln und blockieren.
Aber jede Untersuchung ist einzigartig. Ausgehend von den technischen Momenten, in denen wir versuchen, die verwendeten Dienste zu verstehen, Tools zur Bewertung des technischen Niveaus eines Angreifers zu identifizieren und mit Hinweisen anhand von IP-Adressen, Telefonen und E-Mails, der Analyse sozialer Netzwerke, Foren und Ankündigungen zu öffentlichen und versteckten Ressourcen in Darknet zu enden. Es gibt keine Vorlage zum Aufdecken eines Falls. Dies ist immer das Studium einer großen Anzahl von Quellen. Bei Vorfällen mit Malware müssen Sie beispielsweise wissen, wie es funktioniert, wohin es geht, wer diese Server registriert hat, wer Geräte infiziert und wie.
Die grundlegenden Ansätze unserer Arbeit ändern sich jedoch nicht, sondern die Werkzeuge und das, was wir erforschen, ändern sich. Sogar Daten in Betriebssystemen ändern sich von Version zu Version: Struktur, Format, Ansätze. Wenn früher jeder ICQ verwendete, dessen Korrespondenz in klarer Form gespeichert war und auf die während der Prüfung der Festplatte zugegriffen werden konnte, verwenden jetzt viele Messenger die Verschlüsselung. Dies erschwert den Erhalt sogenannter digitaler Beweise erheblich.
Verbrechen
Hacker ist ein kollektives Bild. Apropos Verbrechen, dieser Begriff wird zur Vereinfachung des Wortschatzes verwendet, aber tatsächlich ist dies der Name aller Spezialisten, die wissen, wie man Computersicherheitssysteme umgeht. Die schwersten Kriminellen in diesem Bereich sind in mehrere Kategorien unterteilt:
- Finanziell motivierte Hacker. Das Ziel ist Bargeld. Sie stehlen Zugangsdaten von der Internetbank, Daten von Zahlungskarten oder greifen die Server von Organisationen an, auf denen Zahlungsvorgänge ausgeführt werden.
- Staatliche Hacker. Diese Personen überwachen in Industrie- und Finanzorganisationen, bleiben oft unbemerkt und stehlen Dokumente, Korrespondenz, Geheimnisse und Technologien. Es wird angenommen, dass solche Gruppen von den Staaten unterstützt werden: Lazarus Group, Equation Group, Black Energy, Fancy Bear. Es gibt Fälle, in denen solche Gruppen bei Energieunternehmen eine Überwachung durchführten, um die Kontrolle über die Ausrüstung zu erlangen.
Im Jahr 2010 infizierte die Equation Group Computer im Iran, um die Produktion von Atomwaffen zu verhindern. Dies war der erste bekannte Fall eines industriellen Angriffs, bei dem Angreifer Zugang zu Siemens-Geräten erhielten, was sich auf den Prozess auswirkte. Energetic Bear und Black Energy sind zwei weitere Gruppen, die im Bereich der Angriffe auf Industrieanlagen tätig sind. Letzteres hat ein Industroyer-Tool erstellt, mit dem Sie die Protokolle steuern können, über die das Gerät kommuniziert, und Befehle an diese senden können. Ihre Errungenschaft ist ein Stromausfall in der Ukraine, als in einigen Regionen des Landes der Strom für 75 Minuten abgeschaltet wurde.
Die größte Menge an Diebstahl, an deren Untersuchung ich als technischer Spezialist teilgenommen habe, betrug 700 Millionen Rubel. Erstens wird das Geld für alle Teile der kriminellen Gruppe verwendet, die Dienstleistungen und Infrastruktur bereitstellen, unterstützen. Der Rest der wichtigsten Mitglieder der Gruppe gibt für die Organisation ihrer Sicherheits- und Luxusgüter aus - Autos, Yachten, Wohnungen. Der Leiter der Gruppe ist sich immer der Risiken dessen bewusst, was er tut, und weiß, dass sie jederzeit mit einer Suche zu ihm kommen können. Ich denke, er hat nie das Gefühl völliger Sicherheit.
Bei der Suche und bei der Inhaftierung eines Verdächtigen ist Überraschung wichtig. Hacker sind technisch versiert und können, wenn sie nicht überrascht werden, den Datenschutz auf Geräten aktivieren (z. B. Verschlüsselung), der schwer zu umgehen oder sogar zu zerstören ist.
In der Regel erfolgt die Inhaftierung früh, bevor eine Person das Haus noch verlassen muss: um 6-7 Uhr morgens oder wenn wir sicher sind, dass sie gerade aufgewacht ist und den Computer eingeschaltet hat, was von den Besonderheiten ihrer Arbeit abhängt. Wenn die Suche im Unternehmen stattfindet, kommt die Task Force zur Eröffnung des Büros. Die Methoden der Inhaftierung hängen von der Vorstellungskraft der Strafverfolgungsbehörden ab: Die Arbeit in Geschäftszentren ist einfach - zeigen Sie einfach, dass Sie bei der Polizei sind und zu einem bestimmten Unternehmen gehen müssen. Die Inhaftierung einer Person ist ein komplizierteres Verfahren, da der Verdächtige ermutigt werden muss, die Tür zu öffnen, um sich beispielsweise als Kurier vorzustellen. In meiner Praxis betraten Strafverfolgungsbehörden die Wohnung eines Angreifers von einem Dach auf Kabeln und brachen Fenster.
Untersuchungen
Es gibt Eindringlinge, die die technische Umsetzung des Diebstahls sorgfältig ausarbeiten. Sie berücksichtigen, wie sie gesucht werden, wie der Angriffsmechanismus funktioniert und wie die Penetrationsmethoden geändert werden. Solche komplexen Fälle sind für uns Spezialisten von großem Interesse, und in meiner Praxis fallen zwei solcher Fälle auf.
Der erste Fall ereignete sich in einer Bank, von der Geld gestohlen wurde. Auf den ersten Blick ist dies eine häufige Sache: Zugang zu einer Workstation eines Kunden der Bank of Russia. Ein solches System wurde seit 2013 von mehreren Gruppen angewendet. Trotz des Verständnisses des gesamten Verbrechensschemas hatte es jedoch einen Unterschied. Auf einem der Computer im Netzwerk haben Hacker ein Wurmprogramm gestartet, das ausschließlich im RAM funktioniert - jetzt ist es in Mode, fileless (ein unkörperliches Programm) zu nennen. Auf diese Weise erhielten Angreifer Zugriff auf jeden Computer in allen Zweigen der Organisation. Mit anderen Worten, sie richten ein kontrolliertes Botnetz innerhalb der Bank ein. Während mindestens ein infizierter Computer eingeschaltet ist, infiziert er daher immer wieder die Computer des Unternehmens.
Ein Fragment eines Wurms, der zum Zeitpunkt der Infektion im Netzwerkverkehr übertragen wurde
Es gab eine logische Frage: Wie bereinigt man das Netzwerk? Nachdem wir technische Methoden ausprobiert hatten, stellten wir fest, dass die beste Lösung in dieser Situation darin besteht, alle Computer in allen Filialen der Bank, denen die Bank zugestimmt hat, gleichzeitig auszuschalten. So konnten wir den RAM bereinigen, es gab keinen Wurm im Start. Es war ein einzigartiges Ereignis im Maßstab. In einer normalen Situation könnten wir niemals die Leistung aller Unternehmensserver sofort deaktivieren.
Das zweite Beispiel, das ich während meiner Arbeit als eines der interessantesten betrachte, ist die Arbeit der Cobalt-Gruppe - der aggressivsten und erfolgreichsten Hacker-Gruppe der letzten Jahre. Sie begann 2016 in Russland zu arbeiten und griff Banken und Finanzinstitute auf der ganzen Welt an. Laut Europol gelang es ihr während ihrer gesamten Arbeitszeit, 1 Milliarde Euro von den Konten der Opfer abzuziehen. Bei ihrer Arbeit verwendeten sie ein völlig legales Cobalt Strike Penetrationstest-Tool. Durch den Zugriff auf Computer können sie sogar Computer steuern, die nicht mit dem Internet verbunden sind. Es war nicht wie die Handlungen anderer krimineller Gruppen, denen wir begegnet sind. Mitglieder der Cobalt-Gruppe wechselten ständig die Angriffsorte, testeten neue Tools und blieben Cyberkriminellen und Strafverfolgungsbehörden fast zwei Jahre lang schwer fassbar. Der Gruppenleiter wurde erst in diesem Frühjahr auf Spanisch Alicante festgenommen. Jetzt wartet er auf den Prozess.
Injizierter VNC-Zugriffsnutzlastcode
Die Untersuchung ist ein langwieriger Prozess. Die längsten Fälle sind normalerweise mit großen kriminellen Gruppen verbunden, die gezielt angreifen und Geld über Online-Banking oder mobile Anwendungen von Finanzinstituten stehlen. Sie achten sehr darauf, wie sie ihre Identität verbergen können - sie verwenden mehrere Serverketten, um auf Ressourcen zuzugreifen, Verschlüsselung zu verwenden und Angriffsprogramme ständig neu zu schreiben, um Virenschutzprogramme und Perimeterschutzsysteme zu umgehen. Solche Personen können nicht in einem Vorfall gefunden werden. Nur in wenigen Fällen wird Material gesammelt, mit dem gearbeitet werden kann, aber selbst dann dauert der Suchvorgang lange. Um zu verstehen, wer hinter dem Verbrechen steckt, benötigen Sie sechs Monate (und manchmal mehr), normalerweise mehr als ein Jahr, um Beweise für Inhaftierung und Durchsuchung zu sammeln.
Aber es passiert und umgekehrt. Die schnellste Untersuchung dauerte nur einen Tag. Wir wurden informiert, dass die Angreifer Zugriff auf die Server der Bank erhalten haben. Wir kamen am Ort an und sortierten es für einige Stunden, bis wir feststellten, dass eine der Abteilungen einen Penetrationstest bestellte, von dem die anderen nichts wussten. Solche Tests werden durchgeführt, um den Schutz der Infrastruktur eines Unternehmens zu bewerten. Normalerweise kennt das Management sie und prüft, wie das Team die Situation erarbeitet.
Manchmal stoßen wir bei der Arbeit gegen eine Wand, aber meiner Erfahrung nach hat sie eine Tür. Solche Fälle lassen Sie nicht los: Sie kommen nach Hause und suchen in Ihrer Freizeit nach einem Ausweg aus der Situation. Sie überlegen, wie Sie die Angelegenheit lösen können.
Nach meiner Erfahrung gab es eine Untersuchung, bei der nachgewiesen werden musste, dass der Angreifer tatsächlich in den Vorfall verwickelt war, da das bloße Vorhandensein von Malware auf dem Computer nicht ausreicht, um ein Strafverfahren einzuleiten. Der Schutz von Verdächtigen nutzt dies aus und baut eine Position auf dem Prinzip auf: Das Programm funktionierte nicht auf dem Computer oder der Verdächtige stellte während des Vorfalls keine Verbindung zu ihm her. In diesem Fall wurden die Protokolle des Programms, das den Remotezugriff ermöglicht, einige Zeit auf dem Computer des Opfers verschlüsselt und dann an den Server des Angreifers gesendet und gelöscht.
Ich habe mehrere Tage gebraucht, um herauszufinden, wie das Problem gelöst werden kann: Programmprotokolle aus dem freien Bereich des Dateisystems vor der Verschlüsselung (RAM-Fragmente) wiederherzustellen. Es war ein Glück, dass der Moment des Vorfalls auch nicht umgeschrieben wurde. Dadurch konnte ich nachweisen, dass der Angreifer während des Gelddiebstahls parallel zum Opfer eine Verbindung zum Computer hergestellt hatte.
Bestrafung
In Hacker-Gruppen sind die Rollen klar verteilt und aufgeteilt, sodass mehr als eine Person von Anfang bis Ende Cyberkriminalität verbringt. Nur der Gruppenleiter kennt das gesamte Schema des Verbrechens. Er stellt Assistenten für bestimmte Aufgaben ein: Konfigurieren Sie den Server, schreiben und verteilen Sie das Programm und schützen Sie Malware vor Virenschutz. Normale Jungen, die sich für Informationstechnologie interessieren und manchmal nicht einmal den Verdacht haben, an einer kriminellen Vereinigung teilzunehmen, können sich als solche Menschen herausstellen.
In der Regel kontaktiert eine anonyme Person eine Person und bietet Geld für eine bestimmte Arbeit nach dem Prinzip an: „Können Sie einen Server einrichten? "Ich kann." Höchstwahrscheinlich wird der Veranstalter dem Auftragnehmer nicht mitteilen, warum dieser Server benötigt wird.
Eine andere Sache ist, wenn eine Person ein Programm entwickelt, das Daten abfängt. Er weiß, dass es für betrügerische Zwecke verwendet werden kann. Manchmal werden solche Programme von einem Dritten gekauft und der Autor wird nicht darüber informiert, wie Betrüger sie verwenden: um das Passwort für das Vkontakte-Konto oder die Bankkarteninformationen abzufangen. Die gleiche Geschichte handelt von einer Person, die ein Programm gegen Viren „krypt“ - sie muss sich bewusst sein, dass solche Programme nicht für rechtliche Zwecke erstellt wurden. Die Person, die das Programm vertreibt, kann bereits gemäß Artikel 273 des Strafgesetzbuchs der Russischen Föderation angezogen werden.
Die russische Gesetzgebung zur Verfolgung von Menschen, die Cyberkriminalität begangen haben, muss weiterentwickelt werden. Zuvor wurden für solche Straftaten meistens bedingte Strafen verhängt, selbst wenn Hacker erhebliche Geldbeträge gestohlen hatten. Dies hat die Menschen nicht erschreckt oder motiviert, aufzugeben, was sie tun. Seit 2014 ist es besser geworden, nachdem sie Carberp für sehr lange Zeit verurteilt haben.
Karriere
Um einen Job in der Computerforensik zu bekommen, muss eine Person einen technischen Hintergrund haben. Ich absolvierte das Moskauer Institut für Technische Physik an der Fakultät für Informationssicherheit, als Kriminologie in Russland noch nicht unterrichtet wurde. Wir lernten Programmiersprachen, die Grundlagen der Systemadministration und den Perimeterschutz. Wir haben untersucht, wie Malware funktioniert und wie die Schutzmechanismen von Betriebssystemen überwunden werden können.
Eine Person mit technischer Erfahrung, die versteht, wie Betriebssysteme funktionieren, wie ein Netzwerk aufgebaut ist, wie Daten übertragen, gestohlen und geschützt werden, verfügt über genügend Kenntnisse, um einen Job auf dem Gebiet der Computerforensik zu bekommen. Vorausgesetzt, er befasst sich mit den Besonderheiten des Gebiets. Unser Unternehmen hat Beispiele, wenn Menschen ohne technische Ausbildung kamen - es war schwieriger für sie, weil sie zunächst Grundkenntnisse beherrschen mussten.
Für diejenigen, die sich für Forensik interessieren, empfehle ich die Dateisystem-Forensische Analyse (Brian Carrier), ein grundlegendes Buch über die Funktionsweise von Dateisystemen, das für die Region wichtig ist. Network Forensics (Sherri Davidoff) und The Art of Memory Forensics (Michael Hale Ligh) sind zwei weitere Bücher, die jeder forensische Wissenschaftler mit Selbstachtung studieren sollte. Für die Forschung auf Mobilgeräten empfehle ich Practical Mobile Forensics (Oleg Skulkin).
Um zu verstehen, was in der Forensik passiert, müssen Sie Artikel und Blogs über erfolgreiche Fälle und persönliche Erfahrungen lesen. Es besteht jedoch keine Notwendigkeit zu warten, bis Hacker beim Teilen von Geheimnissen im Internet erwischt werden - Informationen werden in Strafsachen nicht verbreitet. Und wie Menschen Daten analysieren, können Sie auf internationalen und russischen Ressourcen lesen: im Blog des SANS-Instituts (es gibt auch einen Kurs über Forensik, Veröffentlichung von Büchern und Schreiben von Artikeln), ForensicFocus und Habr.
Das Interessanteste an meiner Arbeit ist jedoch, das „Rätsel“ zu lösen: nicht standardisierte Methoden zu erfinden und über den Tellerrand hinaus zu denken, um eine Lücke in den Tricks von Eindringlingen zu finden.