Treffen Sie: Vesta Matveeva - Group-IB-Experte für Informationssicherheit.
Spezialisierung: Untersuchung von Cyberkriminalität.
Wofür bekannt ist: Vesta beteiligt sich regelmäßig nicht nur an Ermittlungen, sondern auch an Inhaftierungen, Verhören und Durchsuchungen von Mitgliedern von Hacker-Gruppen. Sechs Jahre lang führte sie Dutzende von Untersuchungen durch - technische Analyse von Vorfällen als Kriminalistin. Danach wechselte sie in die Ermittlungsabteilung der Gruppe IB, eröffnete erfolgreich mehrere Fälle und arbeitet weiterhin in dieser Richtung.
Hintergrund für das Erscheinen dieses Materials: Vesta kam auf Einladung von Lehrern und Schülern des Masterstudiengangs Innopolis University zum Entwurf
sicherer Systeme und Netzwerke im Rahmen des Kurses CyberCrime and Forensics (Cybercrime and Computer Forensics). Sie hielt einen Vortrag darüber, wie sich Cyberkriminalität globalisiert, welche Taktiken und Werkzeuge verwendet werden, um Finanz- und Industrieunternehmen anzugreifen, und welche Methoden Cyberkriminelle zur Suche nach Cyberkriminellen verwenden. Die Mitarbeiter der PR-Abteilung von Innopolis trafen sich mit Vesta und stellten viele Fragen. Das Interessanteste ist, dass wir Zitate in dieses Material aufgenommen haben.
Meine Arbeit ist nicht nur eine Entscheidung zugunsten des Arbeitgebers, sondern vielmehr eine moralische Entscheidung, die meinen Lebenswerten und meinem Lebensstil entspricht. Wir haben ein globales Ziel: Wir bekämpfen Cyberkriminalität und helfen Unternehmen und einzelnen Benutzern, die Opfer eines Cyberangriffs sind, die dahinter stehenden zu finden und die Angreifer zum Dock zu bringen. Wir arbeiten jeden Tag mit solchen Vorfällen, wir wissen, wie der Angreifer denkt, welche Methoden er verwendet, welche Taktiken er wählt und welche Tools er zum Hacken verwendet. Das Ausmaß der Folgen des Angriffs hängt von der Qualität unserer Arbeit ab. Meine Kollegen und ich verbringen viel Zeit bei der Arbeit: Wir recherchieren, studieren, studieren, lesen, tauschen Erfahrungen aus.
Kontinuierliche Selbstbildung, Verbesserung der Tools und Aktualisierung des Wissens sind der einzig sichere Weg , um Kriminellen entgegenzutreten und selbst die komplexesten Computerkriminalitäten zu untersuchen.
Forensik ist ein Sprint und Untersuchungen sind ein Marathon. Experten des Computer Forensics Laboratory der Gruppe IB sind an der Reaktion auf Vorfälle mit Informationssicherheit in Echtzeit beteiligt: Sie müssen häufig schnell zum Tatort gehen, den Angriffsverlauf wiederherstellen und nach kompromittierten Daten suchen. Oft ist der Arbeitstag nicht standardisiert: Während eines Vorfalls können Sie nicht alles verlassen und nach Hause gehen, da die Arbeitszeit abgelaufen ist. Angreifer haben weder einen Arbeitsplan noch ein Wochenende: Eine Leerlaufzeit unsererseits kann für das betroffene Unternehmen tödlich sein. Das Arbeitsschema im Rahmen von operativen Suchmaßnahmen ist ähnlich, beispielsweise wenn wir an einer Suche teilnehmen und die Informationen von Laufwerken, Images und Servern aus technischer Sicht untersuchen. Alles ist zu Ende: Wenn Sie einen Tag arbeiten müssen, arbeiten wir einen Tag, wenn mehrere Tage, bedeutet dies mehrere. In der restlichen Zeit, in der Sie eine bedingte Bank nicht „speichern“ müssen, führen wir Datenrecherchen durch, führen Expertenüberprüfungen durch und arbeiten wie gewohnt, wie es alle normalen Menschen tun. Na ja, oder fast das gleiche.
Nachdem ich 6 Jahre im Computerforensiklabor der Gruppe IB gearbeitet hatte, wollte ich mich auf dem Gebiet der Untersuchungen versuchen. Hier ist eine weitere Besonderheit der Arbeit: mehr Analyse, größere Aufgaben. Ziel der Untersuchung ist es, die kriminelle Gruppe, die hinter dem Angriff steht, und ihre Infrastruktur zu identifizieren. Aufgrund der Möglichkeit der Anonymisierung im Internet werden Computerkriminalität nicht schnell untersucht. Es kommt vor, dass wir uns verspäten, wenn es dringend notwendig ist, dem Verletzten zu helfen. Zum Beispiel ist ein Kind von zu Hause weggegangen und wir werden von Eltern oder Strafverfolgungsbehörden gebeten, seine Aktivitäten in sozialen Netzwerken und Foren zu analysieren, um zu verstehen, mit wem es gesprochen hat, wer über die Flucht Bescheid wissen kann und wo er sich im Moment aufhalten kann. Ein weiteres Beispiel: Es gibt einen starken DDoS-Angriff auf eine Ressource im Zusammenhang mit E-Commerce. Eine Stunde Ausfallzeit eines solchen Standorts kann ein Unternehmen Hunderttausende und manchmal Millionen Rubel kosten. Wir müssen die Angriffsquellen schnell ermitteln und blockieren.
Die Untersuchung ist ein langwieriger Prozess. Die längsten Fälle sind normalerweise mit großen kriminellen Gruppen verbunden, die gezielt angreifen und Geld über Online-Banking oder mobile Anwendungen von Finanzinstituten stehlen. Sie achten sehr darauf, wie sie ihre Identität verbergen können - sie verwenden mehrere Serverketten, um auf Ressourcen zuzugreifen, Verschlüsselung zu verwenden und Programme für Angriffe ständig neu zu schreiben. Solche Personen können nicht in einem Vorfall gefunden werden. Nur in wenigen Fällen wird Material gesammelt, mit dem gearbeitet werden kann, aber selbst dann dauert der Suchvorgang lange. Um zu verstehen, wer hinter dem Verbrechen steckt, dauert es normalerweise etwa sechs Monate (manchmal länger), und für eine lange Zeit (normalerweise Jahre) ist es notwendig, Beweise für die Inhaftierung und Durchsuchung zu sammeln.
Die Inhaftierung der Mitglieder der Hacker-Kriminalgruppe Cron ist das Ergebnis der gemeinsamen Arbeit des Innenministeriums und der Gruppe IB.
Die schnellste Untersuchung dauerte einen Tag. Wir wurden informiert, dass die Angreifer Zugriff auf die Server der Bank erhalten haben. Wir gingen zu dem Ort und sortierten ihn einige Stunden lang, bis wir feststellten, dass ein Penetrationstest in der Bank durchgeführt wurde. Solche Tests werden durchgeführt, um den Schutz der Infrastruktur eines Unternehmens zu bewerten. Normalerweise kennt das Management sie und prüft, wie das Team die Situation erarbeitet. Darüber hinaus war es nicht schwer zu verstehen, dass wir aufgrund dieser Prüfung Kontakt mit uns aufgenommen haben.
Jede Untersuchung ist einzigartig. Ausgehend von den technischen Momenten, in denen wir versuchen, die verwendeten Dienste zu verstehen, Tools zur Bewertung des technischen Niveaus eines Angreifers zu identifizieren und mit Hinweisen anhand von IP-Adressen, Telefonnummern, E-Mails, Analyse sozialer Netzwerke, Foren, Anzeigen in öffentlichen und versteckten Hacker-Ressourcen in Darknet zu enden. Es gibt keine Vorlage zum Aufdecken eines Falls. Es ist immer die Analyse einer großen Anzahl von Informationsquellen. Bei Vorfällen mit schädlicher Software müssen Sie beispielsweise wissen, wie es funktioniert, wohin es geht, wer diese Server registriert hat, wer die Programme verteilt hat und wie (infizierte Geräte).
Die grundlegenden Ansätze unserer Arbeit ändern sich nicht, aber die Werkzeuge und das, was wir erforschen, ändern sich. Die gleichen Daten in Betriebssystemen variieren von Version zu Version: Struktur, Format, Ansätze. Wenn zum Beispiel, bevor alle ICQ verwendeten, die Korrespondenz, in der sie gespeichert war, im Klartext gespeichert war und während der Prüfung der Festplatte darauf zugegriffen werden konnte, verwenden jetzt viele Messenger die Verschlüsselung. Dies erschwert den Erhalt sogenannter „digitaler Beweise“ erheblich.
Manchmal stoßen wir bei der Arbeit gegen eine Wand, aber meiner Erfahrung nach hat sie eine Tür. Es gibt Anfragen, deren Lösung angesichts ihrer technischen Merkmale nicht offensichtlich ist. Solche Fälle lassen Sie nicht los: Sie kommen nach Hause und suchen in Ihrer Freizeit nach einem Ausweg aus der Situation. Sie überlegen, wie Sie die Angelegenheit lösen können.
Nach meiner Erfahrung gab es eine Untersuchung, bei der nachgewiesen werden musste, dass der Angreifer tatsächlich in den Vorfall verwickelt war, da das bloße Vorhandensein von Malware auf dem Computer nicht ausreicht, um ein Strafverfahren einzuleiten. Der Schutz von Verdächtigen nutzt dies aus und baut eine Position auf dem Prinzip auf: Das Programm funktionierte nicht auf dem Computer oder der Verdächtige stellte während des Vorfalls keine Verbindung zu ihm her. In diesem Fall wurden die Protokolle des Programms, das den Remotezugriff ermöglicht, einige Zeit auf dem Computer des Opfers verschlüsselt und dann an den Server des Angreifers gesendet und gelöscht.
Ich habe mehrere Tage gebraucht, um herauszufinden, wie das Problem gelöst werden kann: Programmprotokolle aus dem freien Bereich des Dateisystems vor der Verschlüsselung (RAM-Fragmente) wiederherzustellen. Es war ein Glück, dass der Moment des Vorfalls auch nicht umgeschrieben wurde. Dadurch konnte ich nachweisen, dass der Angreifer während des Gelddiebstahls parallel zum Opfer eine Verbindung zum Computer hergestellt hatte.
"Hacker" ist ein kollektives Bild. In Bezug auf Verbrechen wird dieser Begriff der Einfachheit halber verwendet, aber tatsächlich ist er der Name aller Spezialisten, die wissen, wie man Computersicherheitssysteme umgeht. Die schwersten Kriminellen in diesem Bereich sind in mehrere Kategorien unterteilt:
Finanziell motivierte Hacker. Ihr Ziel ist Geld. Sie stehlen Zugangsdaten von der Internetbank, Daten von Zahlungskarten oder greifen die Server von Organisationen an, auf denen Zahlungsvorgänge ausgeführt werden.
Staatliche Hacker. Diese Personen überwachen in Industrie- und Finanzorganisationen, bleiben oft unbemerkt und stehlen Dokumente, Korrespondenz, Geheimnisse und Technologien. Es wird angenommen, dass solche Gruppen von den Staaten unterstützt werden: Lazarus Group, Equation Group, Black Energy, Fancy Bear. Es gibt Fälle, in denen solche Gruppen bei Energieunternehmen eine Überwachung durchführten, um Zugang zum Gerätemanagement zu erhalten.
Im Jahr 2010 infizierte die Equation Group Computer im Iran, um die Produktion von Atomwaffen zu verhindern. Dies war der erste bekannte Fall eines industriellen Angriffs, bei dem Angreifer Zugang zu Siemens-Geräten erhielten, was sich auf den Prozess auswirkte. Energetic Bear und Black Energy sind zwei weitere Gruppen, die im Bereich der Angriffe auf Industrieanlagen tätig sind. Letzteres hat ein Industroyer-Tool erstellt, mit dem Sie die Protokolle steuern können, über die das Gerät kommuniziert, und Befehle an diese senden können. Ihre hochkarätige „Leistung“ ist der Stromausfall in der Ukraine, als sie in einigen Regionen des Landes den Strom für 75 Minuten abschalteten.
Der größte Diebstahl in einer russischen Bank, an dessen Untersuchung ich als technischer Spezialist beteiligt war, belief sich auf 700 Millionen Rubel. Erstens wird das Geld für alle Teile der kriminellen Gruppe verwendet, die Dienstleistungen und Infrastruktur bereitstellen, unterstützen. Die wichtigsten Mitglieder der Gruppe geben den Rest für die Gewährleistung ihrer Sicherheit und manchmal für Luxusgüter aus - Autos, Yachten, Wohnungen. Der Leiter der Gruppe ist sich immer der Risiken dessen bewusst, was er tut, und weiß, dass sie jederzeit mit einer Suche zu ihm kommen können. Ich denke, er hat daher kein Gefühl der völligen Sicherheit.
Die Schwierigkeiten sind interessant. Es gibt Eindringlinge, die die technische Umsetzung von Diebstahl sorgfältig ausarbeiten. Sie berücksichtigen, wie sie gesucht werden, wie der Angriffsmechanismus funktioniert und wie die Penetrationsmethoden geändert werden. Solche Angelegenheiten sind für Spezialisten sehr interessant.
Ein Fall ereignete sich in einer Bank, von der Geld gestohlen wurde. Auf den ersten Blick ist dies normalerweise der Fall: Zugang zu AWS des CBD (einem automatisierten Arbeitsplatz eines Kunden der Bank of Russia). Dieses Schema wird seit 2013 von mehreren Gruppen verwendet. Die Besonderheit dieses Falls war, dass die Angreifer Zugriff auf jeden Computer innerhalb der Organisation hatten, auch in den Zweigstellen. Zu diesem Zweck haben sie auf einem einzelnen Computer im Netzwerk einen Computerwurm gestartet, der ausschließlich im RAM des Computers funktioniert. Was ist heute in Mode, um fileless (unkörperliches Programm) zu nennen. Mit anderen Worten, sie richten ein kontrolliertes Botnetz innerhalb der Bank ein. Solange mindestens ein infizierter Computer eingeschaltet ist, infiziert er immer wieder Unternehmenscomputer.
Es gab eine logische Frage: Wie bereinigt man das Netzwerk? Nachdem wir technische Methoden ausprobiert hatten, stellten wir fest, dass die beste Lösung in dieser Situation darin besteht, alle Computer in allen Filialen der Bank, denen die Bank zugestimmt hat, gleichzeitig auszuschalten. So konnten wir den RAM bereinigen, es gab keinen Wurm im Start. Es war ein einzigartiges Ereignis im Maßstab. In einer normalen Situation könnten wir niemals alle Server des Unternehmens sofort trennen.
Ein Fragment eines Wurms, der zum Zeitpunkt der Infektion im Netzwerkverkehr übertragen wurdeAlle Hacker sind falsch. Sie müssen nur auf diesen Moment warten. Der Fall der Cobalt-Gruppe - der aggressivsten und erfolgreichsten Hacker-Gruppe der letzten Jahre - halte ich für einen ihrer interessantesten während ihrer Arbeit. Sie begann 2016 in Russland zu operieren, griff Banken und Finanzinstitute auf der ganzen Welt an und stahl riesige Geldbeträge. Laut Europol gelang es ihr während ihrer gesamten Arbeitszeit, etwa 1 Milliarde Euro von den Konten ihrer Opfer abzuheben. Kobalt ist ein Beispiel für gezielte Angriffe. Bei ihrer Arbeit verwendeten sie ein völlig legales Cobalt Strike Penetrationstest-Tool. Ein interessantes Merkmal der Nutzlast, die von Cyberkriminellen beim Zugriff auf einen Computer in einem Unternehmen installiert wurde, war die Möglichkeit, Computer im Netzwerk zu verwalten, auch solche, die nicht mit dem Internet verbunden waren. Es war nicht wie die Handlungen anderer krimineller Gruppen, denen wir begegnet sind. Cobalt wechselte ständig den Ort ihrer Angriffe, testete neue Tools und war fast zwei Jahre lang für Cyberkriminelle und Strafverfolgungsbehörden schwer fassbar. Der Kobaltführer wurde in diesem Frühjahr in der spanischen Stadt Alicante festgenommen. Jetzt wartet er auf den Prozess.
Injizierter VNC-ZugriffsnutzlastcodeBei der Suche und bei der Inhaftierung eines Verdächtigen ist Überraschung wichtig. Hacker sind oft technisch versiert, und wenn sie nicht überrascht werden, können sie den Datenschutz auf Geräten aktivieren (z. B. Verschlüsselung), was schwierig zu umgehen sein kann oder umgekehrt versucht, Daten zu zerstören. In der Regel erfolgt die Inhaftierung früh, bevor eine Person das Haus noch verlassen muss: um 6-7 Uhr morgens oder umgekehrt, wenn sie gerade aufgewacht ist und den Computer eingeschaltet hat - hängt von den Besonderheiten ihrer Arbeit ab. Wenn die Suche im Unternehmen stattfindet, kommt die Task Force zur Eröffnung des Büros. Die Methoden der Inhaftierung hängen von den Strafverfolgungsbehörden ab: In Geschäftszentren müssen Strafverfolgungsbeamte manchmal nur einen amtlichen Ausweis vorlegen, um in ein bestimmtes Unternehmen zugelassen zu werden. Die Inhaftierung einer Person ist komplizierter, da der Verdächtige gezwungen sein muss, die Tür zu öffnen, um sich beispielsweise als Kurier vorzustellen. Um eine Datenvernichtung zu vermeiden, dringen sie in einigen Fällen radikaler in die Wohnung ein: vom Dach auf Kabeln, Fenster zerbrechen.
Nur der Anführer der Hacker-Gruppe kennt das gesamte Schema des bevorstehenden Verbrechens. In Hacker-Gruppen sind die Rollen klar verteilt und aufgeteilt, sodass mehr als eine Person von Anfang bis Ende Cyberkriminalität verbringt. Der Gruppenleiter beschäftigt Ausführende bestimmter Aufgaben: Konfigurieren Sie den Server, schreiben und verteilen Sie das Programm und schützen Sie Malware vor Virenschutz. Normale Jungen, die sich für Informationstechnologie interessieren und manchmal nicht einmal den Verdacht haben, an einer kriminellen Vereinigung teilzunehmen, können sich als solche Personen herausstellen.
In der Regel kontaktiert eine anonyme Person eine Person und bietet Geld für eine bestimmte Arbeit nach dem Prinzip an: „Können Sie einen Server einrichten? "Ich kann." Höchstwahrscheinlich wird der Veranstalter dem Auftragnehmer nicht mitteilen, wofür dieser Server bestimmt ist.
Eine andere Sache ist, wenn eine Person ein Programm entwickelt, das Daten abfängt und gleichzeitig weiß, dass sie für betrügerische Zwecke verwendet werden können. Manchmal werden solche Programme von einem Dritten gekauft und der Autor wird nicht darüber informiert, wie Betrüger sie verwenden: um das Passwort für das VKontakte-Konto oder die Bankkarteninformationen abzufangen. Die gleiche Geschichte handelt von einer Person, die ein Programm gegen Viren „krypt“ - sie muss sich bewusst sein, dass solche Programme nicht für rechtliche Zwecke erstellt wurden. Eine Person, die ein Schadprogramm verbreitet, kann bereits gemäß Artikel 273 des Strafgesetzbuchs der Russischen Föderation angezogen werden.
In Russland muss die Gesetzgebung zur strafrechtlichen Verfolgung von Personen, die Cyberkriminalität begangen haben, weiterentwickelt werden. Zuvor wurden für solche Straftaten meistens bedingte Strafen verhängt, selbst wenn Hacker erhebliche Geldbeträge gestohlen hatten. Dies hat die Menschen nicht erschreckt oder motiviert, aufzugeben, was sie tun. Seit 2014 ist es besser geworden, nachdem sie Mitglieder der Carberp-Gruppe für sehr lange Zeit verurteilt haben.
Eine Karriere in der Ermittlung von Cyberkriminalität oder Computerkriminalität ist eine autodidaktische Karriere. Um einen Job in der Computerforensik zu bekommen, muss eine Person einen technischen Hintergrund haben. Ich absolvierte das Moskauer Institut für Technische Physik an der Fakultät für Informationssicherheit, als Kriminologie in Russland noch nicht unterrichtet wurde. Wir lernten die Grundlagen der Systemadministration, des Perimeterschutzes, der Sicherheitstools und ihrer Funktionsprinzipien. Wir haben auch Programmiersprachen untersucht, wie Malware funktioniert und wie die Schutzmechanismen von Betriebssystemen überwunden werden können.
Eine Person mit technischer Erfahrung, die versteht, wie Betriebssysteme funktionieren, wie ein Netzwerk aufgebaut ist, wie Daten übertragen, gestohlen und geschützt werden, verfügt über genügend Kenntnisse, um einen Job auf dem Gebiet der Computerforensik zu bekommen. Vorausgesetzt, er befasst sich mit den Besonderheiten des Gebiets. Unser Unternehmen hat Beispiele, wenn Menschen ohne technische Ausbildung kamen - es war schwieriger für sie, weil sie zunächst Grundkenntnisse beherrschen mussten.
Für diejenigen, die sich für Forensik interessieren, empfehle ich die Dateisystem-Forensische Analyse (Brian Carrier), ein grundlegendes Buch über die Funktionsweise von Dateisystemen, das für die Region wichtig ist. Network Forensics (Sherri Davidoff) und The Art of Memory Forensics (Michael Hale Ligh) sind zwei weitere Bücher, die jeder forensische Wissenschaftler mit Selbstachtung studieren muss, um an der Untersuchung zeitgenössischer Cyberkriminalität teilnehmen zu können. Für die Erforschung mobiler Geräte kann ich Practical Mobile Forensics (Oleg Skulkin) empfehlen.
, , . , — . , , : SANS Institute ( , ), ForensicFocus, .
— «»: , .