Vesta Matveeva es un experto en seguridad de la información en Group-IB,
reconocido por Business Insider UK como una de las 7 organizaciones globales más influyentes en la industria de la seguridad cibernética. Durante 6 años, realizó docenas de exámenes, análisis técnicos de incidentes como criminalista, luego de lo cual se mudó al departamento de investigación y abrió varios casos.
Vesta llegó a la Universidad de Innopolis por invitación de maestros y estudiantes del programa de maestría,
diseñando sistemas y redes seguras como parte del curso de Delitos Cibernéticos y Forenses. El invitado dio una conferencia sobre cómo el cibercrimen se está globalizando, qué tácticas y herramientas se utilizan para atacar a las organizaciones financieras e industriales, y qué métodos utilizan los cibercriminales para combatir a los piratas informáticos.
Trabajo
En Group-IB no puedes trabajar de 10 a 19. Tenemos un objetivo global: la lucha contra el crimen. Ayudamos a las empresas, el gobierno y otras víctimas de ataques cibernéticos a encontrar a quienes están detrás del crimen y llevar intrusos al muelle. Al trabajar con tales incidentes todos los días, hemos aprendido a comprender cómo piensan los atacantes, qué métodos, tácticas y herramientas de piratería se utilizan. Esta experiencia, junto con el conocimiento, determina la calidad de respuesta a los incidentes de seguridad de la información y la magnitud de las consecuencias del ataque. Por lo tanto, mis colegas y yo pasamos mucho tiempo en el trabajo: estudiamos, leemos, estudiamos, investigamos.
Si comparamos el laboratorio de informática forense en el que trabajé antes y el departamento de investigación donde me mudé, entonces el día de trabajo forense está menos normalizado. Los expertos allí trabajan con incidentes que ocurren en tiempo real: van rápidamente a la escena del crimen, restauran el historial de ataques, buscan datos comprometidos. No puedes dejar todo e irte a casa, porque el tiempo de trabajo ha terminado. Un esquema similar funciona durante los eventos de investigación, cuando, por ejemplo, participamos en una búsqueda, examinando la información de unidades, imágenes y servidores desde un punto de vista técnico. Aquí todo llega a su fin: si necesita trabajar un día, trabajamos un día, si unos pocos días, significa varios días. Pero el resto del tiempo, cuando no necesita guardar un banco condicional, trabajamos como de costumbre, como todas las personas.
Después de haber trabajado en medicina forense durante 6 años, quería probarme en el campo de la investigación. Aquí, otros detalles del trabajo: los delitos informáticos no se investigan rápidamente. Pero aquí, por supuesto, nos demoramos cuando es necesario ayudar rápidamente a la parte lesionada. Por ejemplo, los padres o las agencias de aplicación de la ley nos contactan si el niño se ha ido de su casa para analizar su actividad en las redes sociales y foros, a fin de comprender con quién habló, quién puede saber sobre la fuga y su supuesta ubicación. Otro ejemplo son los poderosos ataques DDoS en recursos de comercio electrónico. Una hora de inactividad para dicho sitio puede costarle a una empresa cientos de miles o millones de rublos. Por lo tanto, necesitamos establecer rápidamente las fuentes de ataque y bloquearlo.
Pero cada investigación es única. Comenzando desde los momentos técnicos cuando estamos tratando de comprender los servicios utilizados, para identificar herramientas para evaluar el nivel técnico de un atacante, y terminando con pistas por direcciones IP, números de teléfono y correo, análisis de redes sociales, foros y anuncios sobre recursos públicos y ocultos en Darknet. No hay una plantilla para revelar un caso. Este es siempre el estudio de una gran cantidad de fuentes. Por ejemplo, en incidentes relacionados con malware, debe comprender cómo funciona, a dónde va, quién registró estos servidores, quién infecta los dispositivos y cómo.
Sin embargo, los enfoques básicos en nuestro trabajo no cambian, pero las herramientas y lo que estamos investigando cambian. Incluso los datos en los sistemas operativos cambian de una versión a otra: estructura, formato, enfoques. Si antes todos usaban ICQ, la correspondencia en la que estaba almacenada en forma clara y durante el examen del disco se podía acceder, ahora muchos mensajeros usan encriptación. Esto complica enormemente la recepción de la llamada evidencia digital.
Crimen
El hacker es una imagen colectiva. Hablando de delitos, este término se usa para simplificar el vocabulario, pero de hecho, este es el nombre de todos los especialistas que saben cómo eludir los sistemas de seguridad informática. Los delincuentes más graves en esta área se dividen en varias categorías:
- Hackers con motivación financiera. El objetivo es el efectivo. Roban datos de acceso del banco de Internet, datos de tarjetas de pago o atacan a los servidores de organizaciones en las que se realizan transacciones de pago;
- Hackers estatales. Estas personas realizan vigilancia en organizaciones industriales y financieras, a menudo pasan desapercibidas y roban documentos, correspondencia, secretos, tecnologías. Se cree que dichos grupos cuentan con el apoyo de los estados: Grupo Lazarus, Grupo de Ecuación, Energía Negra, Oso Fantasía. Hay casos en que tales grupos realizan vigilancia en empresas de energía, tratando de obtener el control de los equipos.
En 2010, el Grupo Ecuación infectó computadoras en Irán para evitar la producción de armas nucleares. Este fue el primer caso conocido de un ataque industrial cuando los atacantes obtuvieron acceso a equipos de Siemens, lo que afectó el proceso. Energetic Bear y Black Energy son otros dos grupos que trabajan en el campo de los ataques contra instalaciones industriales. Este último creó una herramienta Industroyer que le permite controlar los protocolos a través de los cuales el equipo se comunica y les envía comandos. Su logro es un apagón en Ucrania, cuando en algunas regiones del país, se cortó la electricidad durante 75 minutos.
La mayor cantidad de robos, en la investigación en la que participé como especialista técnico, fue de 700 millones de rublos. Primero, el dinero se destina a pagar todas las partes del grupo criminal, brindando servicios de apoyo e infraestructura. El resto de los miembros clave del grupo gastan en la organización de su seguridad y artículos de lujo: automóviles, yates, apartamentos. El líder del grupo siempre es consciente de los riesgos de lo que está haciendo, sabe que pueden acudir a él con una búsqueda en cualquier momento, por lo tanto, creo que nunca tiene una sensación de seguridad total.
En las búsquedas y en la detención de un sospechoso, la sorpresa es importante. Los hackers son técnicamente muy versados, y si no se toman por sorpresa, logran activar la protección de datos en los dispositivos (por ejemplo, el cifrado), lo que es difícil de eludir, o incluso destruir datos.
Por lo general, la detención ocurre temprano, antes de que una persona aún no salga de casa: a las 6-7 de la mañana, o cuando estamos seguros de que acaba de despertar y encender la computadora, lo que depende de los detalles de su trabajo. Si la búsqueda se lleva a cabo en la empresa, el grupo de trabajo llega a la apertura de la oficina. Los métodos de detención dependen de la imaginación de los organismos encargados de hacer cumplir la ley: trabajar en centros de negocios es fácil: solo demuestre que está con la policía y que necesita ir a una determinada empresa. La detención de un individuo es un procedimiento más complicado, porque el sospechoso necesita ser alentado a abrir la puerta, por ejemplo, para presentarse como un mensajero. Una vez en mi práctica, las agencias de aplicación de la ley entraron al apartamento de un atacante desde una azotea con cables, rompiendo ventanas.
Investigaciones
Hay intrusos que están trabajando cuidadosamente en la implementación técnica del robo. Toman en cuenta cómo serán buscados, cómo funciona el mecanismo de ataque, cambiando los métodos de penetración. Tales casos complejos son de gran interés para nosotros los especialistas, y en mi práctica se destacan dos de estos casos.
El primer caso ocurrió en un banco al que le robaron dinero. A primera vista, esto es algo común: obtener acceso a una estación de trabajo de un cliente del Banco de Rusia. Tal esquema ha sido utilizado por varios grupos desde 2013. Pero, a pesar de la comprensión de todo el esquema del crimen, tuvo una diferencia. En una de las computadoras de la red, los hackers lanzaron un programa de gusanos que funcionaba exclusivamente en RAM; ahora está de moda llamar sin archivos (un programa incorpóreo). Por lo tanto, los atacantes obtuvieron acceso a todas las computadoras en todas las ramas de la organización. En otras palabras, establecieron una botnet controlada dentro del banco. Por lo tanto, mientras al menos una computadora infectada está encendida, infectará las máquinas de la compañía una y otra vez.
Un fragmento de un gusano transmitido en el momento de la infección en el tráfico de la red.
Había una pregunta lógica: ¿cómo limpiar la red? Después de probar métodos técnicos, nos dimos cuenta de que la mejor solución en esta situación es apagar todas las computadoras a la vez en todas las sucursales del banco, lo que el banco acordó. Por lo tanto, logramos limpiar la RAM; no había gusanos en el inicio. Fue un evento único en escala. En una situación normal, nunca podríamos desactivar inmediatamente el rendimiento de todos los servidores de la compañía.
El segundo ejemplo, que considero uno de los más interesantes durante mi trabajo, es el trabajo del grupo Cobalt, el grupo de hackers más agresivo y exitoso de los últimos años. Comenzó a trabajar en Rusia en 2016, atacando a bancos e instituciones financieras de todo el mundo. Según Europol, durante todo el tiempo que trabajó, logró retirarse de las cuentas de las víctimas de mil millones de euros. En su trabajo, utilizaron una herramienta de prueba de penetración Cobalt Strike completamente legal. Al obtener acceso a las computadoras, incluso podrían controlar máquinas que no están conectadas a Internet. No fue como las acciones de otros grupos criminales que encontramos. Los miembros del grupo Cobalt cambiaron constantemente los lugares de ataque, probaron nuevas herramientas y durante casi 2 años permanecieron esquivos para los cibercriminales y las agencias de aplicación de la ley. El líder del grupo fue arrestado solo esta primavera en la Alicante española. Ahora está esperando juicio.
Código de carga útil de acceso VNC inyectado
La investigación es un proceso largo. Los casos más largos generalmente están asociados con grandes grupos criminales que participan en ataques dirigidos, robando dinero a través de la banca en línea o aplicaciones móviles de instituciones financieras. Prestan mucha atención a cómo ocultar su identidad: usan varias cadenas de servidores para acceder a los recursos, usan cifrado, reescriben constantemente programas de ataque para evitar los antivirus y los sistemas de protección perimetral. Estas personas no se pueden encontrar en un incidente. Solo en unos pocos casos se reúne material para trabajar, pero aun así el proceso de búsqueda lleva mucho tiempo. Para comprender quién está detrás del delito, necesita seis meses (y, a veces, más), generalmente se necesita más de un año para reunir pruebas para la detención y el registro.
Pero sucede y viceversa. La investigación más rápida duró solo un día. Nos informaron que los atacantes obtuvieron acceso a los servidores del banco. Llegamos al lugar y lo resolvimos durante varias horas hasta que nos dimos cuenta de que uno de los departamentos ordenó una prueba de penetración, que los demás no sabían. Dichas pruebas se realizan para evaluar la protección de la infraestructura de una empresa. Por lo general, la gerencia los conoce y verifica cómo el equipo resolverá la situación.
A veces en el trabajo nos topamos con una pared, pero, en mi experiencia, tiene una puerta. Tales casos no se dejan ir: usted llega a casa y en su tiempo libre está buscando una salida a la situación, piensa cómo resolver el asunto.
En mi experiencia, hubo un examen en el que fue necesario demostrar que el atacante estuvo realmente involucrado en el incidente, porque la mera presencia de malware en la computadora no es suficiente para iniciar un caso penal. La protección de los sospechosos se aprovecha de esto, construyendo una posición sobre el principio: el programa no funcionó en la computadora o el sospechoso no se conectó a ella durante el incidente. En este caso, los registros del programa que proporciona acceso remoto se cifraron durante algún tiempo en la computadora de la víctima, y luego se enviaron al servidor del atacante y se eliminaron.
Me llevó varios días descubrir cómo resolver el problema: restaurar los registros del programa desde el área libre del sistema de archivos antes del cifrado (fragmentos de RAM). Fue una suerte que el momento del incidente tampoco se reescribiera. Esto me permitió probar que durante el robo de dinero, el atacante se conectó a la computadora en paralelo con la víctima.
Castigo
En los grupos de hackers, los roles están claramente distribuidos y divididos, por lo que más de una persona gasta el delito cibernético de principio a fin. Solo el líder del grupo conoce todo el esquema del crimen. Contrata asistentes para ciertas tareas: configurar el servidor, escribir y distribuir el programa y proteger el malware de los antivirus. Los niños comunes que están interesados en la tecnología de la información, a veces sin siquiera sospechar que están participando en un grupo criminal, pueden llegar a ser esas personas.
Como regla general, una persona anónima se contacta con una persona y le ofrece dinero para un determinado trabajo con el principio: “¿Puede configurar un servidor? "Yo puedo". Lo más probable es que el organizador no le diga al contratista por qué se necesita este servidor.
Otra cosa es cuando una persona desarrolla un programa que intercepta datos. Él sabe que puede usarse con fines fraudulentos. A veces, dichos programas se compran a un tercero y no se informa al autor sobre cómo los utilizan los estafadores: para interceptar la contraseña de la cuenta Vkontakte o la información de la tarjeta bancaria. La misma historia es con una persona que "encripta" un programa de antivirus; debe ser consciente de que dichos programas no se crean con fines legales. La persona que distribuye el programa ya puede sentirse atraída por el artículo 273 del Código Penal de la Federación de Rusia.
La legislación rusa sobre el enjuiciamiento de las personas que han cometido delitos informáticos requiere un mayor desarrollo. Anteriormente, para tales delitos, con frecuencia dictaban sentencias condicionales, incluso si los piratas informáticos robaban cantidades significativas de dinero. Esto no asustó ni motivó a las personas a abandonar lo que están haciendo. Desde 2014, las cosas han mejorado después de que condenaron a Carberp a largo plazo.
Carrera
Para obtener un trabajo en informática forense, una persona debe tener una formación técnica. Me gradué del Instituto de Física de Ingeniería de Moscú, Facultad de Seguridad de la Información, cuando todavía no se enseñaba criminología en Rusia. Nos enseñaron lenguajes de programación, los conceptos básicos de la administración del sistema y la protección del perímetro. Estudiamos cómo funciona el malware y cómo superar los mecanismos de protección de los sistemas operativos.
Una persona con experiencia técnica que comprende cómo funcionan los sistemas operativos, cómo se construye una red, cómo se transmiten, roban y protegen los datos, tiene los conocimientos suficientes para conseguir un trabajo en el campo de la informática forense. Siempre que profundice en los detalles de la zona. Nuestra empresa tiene ejemplos cuando las personas venían sin educación técnica; era más difícil para ellos, porque al principio tenían que dominar los conocimientos básicos.
Para aquellos que estén interesados en el análisis forense, les recomiendo leer el Análisis forense del sistema de archivos (Brian Carrier), un libro básico sobre cómo funcionan los sistemas de archivos, que es importante para el área. Network Forensics (Sherri Davidoff) y The Art of Memory Forensics (Michael Hale Ligh) son dos libros más que todo científico forense respetuoso debería estudiar. Para la investigación en dispositivos móviles, recomiendo Practical Mobile Forensics (Oleg Skulkin).
Para comprender lo que sucede en medicina forense, debe leer artículos y blogs sobre casos exitosos y experiencia personal. Pero no hay necesidad de esperar a que los piratas informáticos sean descubiertos compartiendo secretos en Internet: la información no se difunde en casos penales. Y cómo la gente analiza los datos puede leerse en recursos internacionales y rusos: el blog del Instituto SANS (también hay un curso sobre medicina forense, publicar libros y escribir artículos), ForensicFocus y Habr.
Pero lo más interesante en mi trabajo es resolver el "enigma": inventar formas no estándar y pensar fuera de la caja para encontrar una brecha en los trucos de los intrusos.