Conoce: Vesta Matveeva - Experto en seguridad de la información del Grupo IB.
Especialización: investigación del delito cibernético.
Por lo que se sabe: Vesta participa regularmente no solo en investigaciones, sino también en detenciones, interrogatorios y búsquedas de miembros de grupos de hackers. Durante 6 años, realizó docenas de exámenes: análisis técnico de incidentes como criminalista, después de lo cual se mudó al departamento de investigación del Grupo IB, abrió con éxito varios casos y continúa trabajando en esta dirección.
Antecedentes de la aparición de este material: Vesta llegó a la Universidad de Innopolis por invitación de maestros y estudiantes del programa de maestría
Diseño de sistemas y redes seguras como parte del curso de Crímenes cibernéticos y forenses (Cibercrimen e informática forense). Dio una conferencia sobre cómo se está globalizando el delito cibernético, qué tácticas y herramientas se utilizan para atacar a las organizaciones financieras e industriales, y qué métodos utilizan los ciberdelincuentes para buscarlos. Los muchachos del departamento de relaciones públicas de Innopolis se reunieron con Vesta y le hicieron muchas preguntas. Lo más interesante es que hemos incluido citas en este material.
Mi trabajo no es solo una elección a favor del empleador, es más bien una elección moral que coincide con mis valores de vida, estilo de vida. Tenemos un objetivo global: estamos luchando contra el cibercrimen, ayudando a las empresas y usuarios individuales que son víctimas de un ciberataque a encontrar a quienes están detrás de él y llevar a los atacantes al muelle. Trabajamos con tales incidentes todos los días, sabemos cómo piensa el atacante, qué métodos usa, qué tácticas elige y qué herramientas usa para hackear. La magnitud de las consecuencias del ataque depende de la calidad de nuestro trabajo. Mis colegas y yo pasamos mucho tiempo en el trabajo: investigamos, estudiamos, estudiamos, leemos, compartimos experiencias.
La autoeducación continua, la mejora de las herramientas y la actualización del conocimiento es la única forma segura de poder enfrentar a los delincuentes e investigar incluso los delitos informáticos más complejos.
Forense es un sprint, y las investigaciones son un maratón. Los expertos del Laboratorio Forense de Computación del Grupo IB están involucrados en responder a incidentes de seguridad de la información en tiempo real: a menudo tienen que ir rápidamente a la escena del crimen, restaurar el historial de ataques y buscar datos comprometidos. A menudo, la jornada laboral no está estandarizada: durante un incidente, no puede dejar todo e irse a casa, porque el tiempo de trabajo ha terminado. Los atacantes no tienen un horario de trabajo o un fin de semana: el tiempo de inactividad de nuestra parte puede ser fatal para la empresa afectada. El esquema de trabajo en el marco de las medidas de búsqueda operativa es similar, por ejemplo, cuando participamos en una búsqueda, examinando la información de unidades, imágenes, servidores desde un punto de vista técnico. Todo llega a su fin: si necesita trabajar un día, trabajamos un día, si unos días, significa unos pocos. Pero el resto del tiempo, cuando no necesita "guardar" un banco condicional, llevamos a cabo investigaciones de datos, hacemos revisiones de expertos y trabajamos como de costumbre, como hacen todas las personas normales. Bueno, o casi lo mismo.
Después de haber trabajado en el laboratorio de informática forense del Grupo IB durante 6 años, quería probarme en el campo de las investigaciones. Aquí hay otra especificidad del trabajo: más análisis, tareas más grandes. El propósito de la investigación es identificar el grupo criminal que está detrás del ataque, su infraestructura. Debido a la posibilidad de anonimato en Internet, los delitos informáticos no se investigan rápidamente. Sucede que nos retrasamos cuando es urgentemente necesario ayudar a la parte lesionada. Por ejemplo, un niño se fue de su casa y los padres o las agencias policiales nos piden que analicemos su actividad en las redes sociales, foros, para comprender con quién estaba hablando, quién puede saber sobre la fuga, sobre el supuesto lugar donde puede estar en ese momento. Otro ejemplo: hay un poderoso ataque DDoS en un recurso relacionado con el comercio electrónico. Una hora de inactividad de dicho sitio puede costarle a una empresa cientos de miles y, a veces, millones de rublos. Estamos obligados a establecer rápidamente las fuentes de ataque y bloquearlo.
La investigación es un proceso largo. Los casos más largos generalmente están asociados con grandes grupos criminales que participan en ataques dirigidos, robando dinero a través de la banca en línea o aplicaciones móviles de instituciones financieras. Prestan gran atención a cómo ocultar su identidad: usan varias cadenas de servidores para acceder a los recursos, usan cifrado y reescriben constantemente programas para ataques. Estas personas no se pueden encontrar en un incidente. Solo en unos pocos casos se reúne material para trabajar, pero aun así el proceso de búsqueda lleva mucho tiempo. Para comprender quién está detrás del delito, generalmente lleva unos seis meses (a veces más), y durante mucho tiempo (generalmente años), es necesario reunir pruebas para la detención y el registro.
La detención de miembros del grupo criminal hacker Cron es el resultado del trabajo conjunto del Ministerio del Interior y el Grupo IB.
La investigación más rápida duró un día. Nos informaron que los atacantes obtuvieron acceso a los servidores del banco. Fuimos al lugar, lo resolvimos durante varias horas hasta que nos dimos cuenta de que se realizó una prueba de penetración en el banco. Dichas pruebas se realizan para evaluar la protección de la infraestructura de una empresa. Por lo general, la gerencia los conoce y verifica cómo el equipo resolverá la situación. Además, no fue difícil entender que fue esta auditoría la que nos hizo contactarnos.
Cada investigación es única. Comenzando desde los momentos técnicos cuando estamos tratando de comprender los servicios utilizados, para identificar herramientas para evaluar el nivel técnico de un atacante, y terminando con pistas por direcciones IP, números de teléfono, correo, análisis de redes sociales, foros, anuncios en recursos públicos y ocultos de hackers en Darknet. No hay una plantilla para revelar un caso. Siempre es el análisis de una gran cantidad de fuentes de información. Por ejemplo, en incidentes relacionados con software malicioso, debe comprender cómo funciona, a dónde va, quién registró estos servidores, quién distribuyó los programas y cómo (dispositivos infectados).
Los enfoques básicos en nuestro trabajo no cambian, pero las herramientas y lo que exploramos cambian. Los mismos datos en los sistemas operativos varían de una versión a otra: estructura, formato, enfoques. Por ejemplo, si antes todos usaban ICQ, se podía acceder a la correspondencia en la que estaba almacenada y, durante el examen del disco, muchos mensajeros usan encriptación. Esto complica enormemente la recepción de la llamada "evidencia digital".
A veces en el trabajo nos topamos con una pared, pero, en mi experiencia, tiene una puerta. Hay solicitudes cuya solución no es obvia en vista de sus características técnicas. Tales casos no se dejan ir: usted llega a casa y en su tiempo libre está buscando una salida a la situación, piensa cómo resolver el asunto.
En mi experiencia, hubo un examen en el que fue necesario demostrar que el atacante estuvo realmente involucrado en el incidente, porque la mera presencia de malware en la computadora no es suficiente para iniciar un caso penal. La protección de los sospechosos se aprovecha de esto, construyendo una posición sobre el principio: el programa no funcionó en la computadora o el sospechoso no se conectó a ella durante el incidente. En este caso, los registros del programa que proporciona acceso remoto se cifraron durante algún tiempo en la computadora de la víctima, y luego se enviaron al servidor del atacante y se eliminaron.
Me llevó varios días descubrir cómo resolver el problema: restaurar los registros del programa desde el área libre del sistema de archivos antes del cifrado (fragmentos de RAM). Fue una suerte que el momento del incidente tampoco se reescribiera. Esto me permitió probar que durante el robo de dinero, el atacante se conectó a la computadora en paralelo con la víctima.
"Hacker" es una imagen colectiva. Hablando de delitos, este término se usa para simplificar, pero de hecho es el nombre de todos los especialistas que saben cómo eludir los sistemas de seguridad informática. Los delincuentes más graves en esta área se dividen en varias categorías:
Hackers con motivación financiera. Su objetivo es el dinero. Roban datos de acceso del banco de Internet, datos de tarjetas de pago o atacan a los servidores de organizaciones en las que se realizan transacciones de pago;
Hackers estatales. Estas personas realizan vigilancia en organizaciones industriales y financieras, a menudo pasan desapercibidas y roban documentos, correspondencia, secretos, tecnologías. Se cree que dichos grupos cuentan con el apoyo de los estados: Grupo Lazarus, Grupo de Ecuación, Energía Negra, Oso Fantasía. Hay casos en que dichos grupos realizan vigilancia en empresas de energía, intentando acceder a la gestión de equipos.
En 2010, el Grupo Ecuación infectó computadoras en Irán para evitar la producción de armas nucleares. Este fue el primer caso conocido de un ataque industrial cuando los atacantes obtuvieron acceso a equipos de Siemens, lo que afectó el proceso. Energetic Bear y Black Energy son otros dos grupos que trabajan en el campo de los ataques contra instalaciones industriales. Este último creó una herramienta Industroyer que le permite controlar los protocolos a través de los cuales el equipo se comunica y les envía comandos. Su "logro" de alto perfil es el apagón en Ucrania, cuando en algunas regiones del país apagaron la electricidad durante 75 minutos.
La mayor cantidad de robos en un banco ruso, en la investigación en la que participé como especialista técnico, ascendió a 700 millones de rublos. Primero, el dinero se destina a pagar todas las partes del grupo criminal, brindando servicios de apoyo e infraestructura. Los miembros clave del grupo gastan el resto en garantizar su seguridad y, a veces, artículos de lujo: automóviles, yates, apartamentos. El líder del grupo siempre es consciente de los riesgos de lo que está haciendo, sabe que pueden acudir a él con una búsqueda en cualquier momento, por lo tanto, creo que no tiene una sensación de seguridad total.
Las dificultades son interesantes. Hay intrusos que elaboran cuidadosamente la implementación técnica del robo. Toman en cuenta cómo serán buscados, cómo funciona el mecanismo de ataque, cambiando los métodos de penetración. Tales asuntos son muy interesantes para los especialistas.
Un caso ocurrió en un banco al que le robaron dinero. A primera vista, este suele ser el caso: obtener acceso al AWS del CBD (una estación de trabajo automatizada de un cliente del Banco de Rusia). Este esquema ha sido utilizado por varios grupos desde 2013. La peculiaridad de este caso fue que los atacantes tenían acceso a todas las computadoras dentro de la organización, incluso en las sucursales. Para hacer esto, en una sola computadora en la red, lanzaron un gusano informático que funcionaba exclusivamente en la RAM de la computadora. Lo que ahora está de moda llamar sin archivos (programa incorpóreo). En otras palabras, establecieron una botnet controlada dentro del banco. Mientras al menos una computadora infectada esté encendida, infectará las máquinas de la compañía una y otra vez.
Había una pregunta lógica: ¿cómo limpiar la red? Después de probar métodos técnicos, nos dimos cuenta de que la mejor solución en esta situación es apagar todas las computadoras a la vez en todas las sucursales del banco, lo que el banco acordó. Por lo tanto, logramos limpiar la RAM; no había gusanos en el inicio. Fue un evento único en escala. En una situación normal, nunca podríamos desconectar inmediatamente todos los servidores de la compañía.
Un fragmento de un gusano transmitido en el momento de la infección en el tráfico de la red.Todos los hackers están equivocados. Solo necesitas esperar este momento. El caso del grupo Cobalt, el grupo de hackers más agresivo y exitoso de los últimos años, considero uno de los más interesantes durante su trabajo. Comenzó a operar en Rusia en 2016, atacando bancos e instituciones financieras de todo el mundo y robando enormes cantidades de dinero. Según Europol, durante todo el tiempo que trabajó, logró retirar de las cuentas de sus víctimas alrededor de mil millones de euros. El cobalto es un ejemplo de ataques dirigidos. En su trabajo, utilizaron una herramienta de prueba de penetración Cobalt Strike completamente legal. Una característica interesante de la carga útil que los ciberdelincuentes instalaron al obtener acceso a una computadora en una organización fue la capacidad de administrar computadoras en la red, incluso aquellas que no estaban conectadas a Internet. No fue como las acciones de otros grupos criminales que encontramos. Cobalt cambió constantemente la ubicación de sus ataques, probó nuevas herramientas y durante casi 2 años fueron esquivos para los cibercriminales y las agencias de aplicación de la ley. El líder de cobalto fue arrestado esta primavera en la ciudad española de Alicante. Ahora está esperando juicio.
Código de carga útil de acceso VNC inyectadoEn las búsquedas y en la detención de un sospechoso, la sorpresa es importante. Los piratas informáticos a menudo son expertos en tecnología y, si no se toman por sorpresa, logran activar la protección de datos en los dispositivos (por ejemplo, el cifrado), lo que puede ser difícil de eludir o, por el contrario, tratar de destruir datos. Por lo general, la detención ocurre temprano, antes de que una persona aún no salga de casa: a las 6-7 de la mañana, o viceversa, cuando acaba de despertar y encender la computadora, depende de los detalles de su trabajo. Si la búsqueda se lleva a cabo en la empresa, el grupo de trabajo llega a la apertura de la oficina. Los métodos de detención dependen de los organismos encargados de hacer cumplir la ley: en los centros de negocios, los funcionarios encargados de hacer cumplir la ley a veces solo necesitan demostrar una identificación oficial para poder ingresar a una empresa en particular. La detención de un individuo es un procedimiento más complicado, porque el sospechoso debe ser forzado a abrir la puerta, por ejemplo, para presentarse como un mensajero. En algunos casos, para evitar la destrucción de datos, penetran en el apartamento de manera más radical: desde el techo con cables, rompiendo ventanas.
Solo el líder del grupo de hackers conoce todo el esquema del crimen inminente. En los grupos de hackers, los roles están claramente distribuidos y divididos, por lo que más de una persona gasta el delito cibernético de principio a fin. El líder del grupo emplea ejecutores de ciertas tareas: configurar el servidor, escribir y distribuir el programa y proteger el malware de los antivirus. Los niños comunes que están interesados en la tecnología de la información y, a veces, ni siquiera sospechan que están participando en un grupo criminal pueden llegar a ser esas personas.
Como regla general, una persona anónima se contacta con una persona y le ofrece dinero para un determinado trabajo con el principio: “¿Puede configurar un servidor? "Yo puedo". Lo más probable es que el organizador no le diga al contratista para qué sirve este servidor.
Otra cosa es cuando una persona desarrolla un programa que intercepta datos, y al mismo tiempo sabe que puede usarse con fines fraudulentos. A veces, dichos programas se compran a un tercero y no se informa al autor sobre cómo los utilizan los estafadores: para interceptar la contraseña de la cuenta VKontakte o la información de la tarjeta bancaria. La misma historia es con una persona que "encripta" un programa de antivirus; debe ser consciente de que dichos programas no se crean con fines legales. Una persona que difunde un programa malicioso ya puede sentirse atraída por el artículo 273 del Código Penal de la Federación de Rusia.
En Rusia, la legislación sobre el enjuiciamiento penal de las personas que han cometido delitos informáticos requiere un mayor desarrollo. Anteriormente, para tales delitos, con frecuencia dictaban sentencias condicionales, incluso si los piratas informáticos robaban cantidades significativas de dinero. Esto no asustó ni motivó a las personas a abandonar lo que están haciendo. Desde 2014, las cosas han mejorado después de que condenaron a miembros del grupo Carberp a largo plazo.
Una carrera en investigación de delitos informáticos o delitos informáticos es una carrera autodidacta. Para obtener un trabajo en informática forense, una persona debe tener una formación técnica. Me gradué del Instituto de Física de Ingeniería de Moscú, Facultad de Seguridad de la Información, cuando todavía no se enseñaba criminología en Rusia. Nos enseñaron los conceptos básicos de administración de sistemas, protección perimetral, herramientas de seguridad y sus principios de operación. También estudiamos lenguajes de programación, cómo funciona el malware, cómo superar los mecanismos de protección de los sistemas operativos.
Una persona con experiencia técnica que comprende cómo funcionan los sistemas operativos, cómo se construye una red, cómo se transmiten, roban y protegen los datos, tiene los conocimientos suficientes para conseguir un trabajo en el campo de la informática forense. Siempre que profundice en los detalles de la zona. Nuestra empresa tiene ejemplos cuando las personas venían sin educación técnica; era más difícil para ellos, porque al principio tenían que dominar los conocimientos básicos.
Para aquellos que estén interesados en el análisis forense, les recomiendo leer el Análisis forense del sistema de archivos (Brian Carrier), un libro básico sobre cómo funcionan los sistemas de archivos, que es importante para el área. Network Forensics (Sherri Davidoff) y The Art of Memory Forensics (Michael Hale Ligh) son dos libros más que todo científico forense que se precie necesita estudiar para participar en la investigación de los ciberdelitos contemporáneos. Para la investigación en dispositivos móviles, puedo aconsejar Practical Mobile Forensics (Oleg Skulkin).
Para comprender lo que está sucediendo en medicina forense, debe leer artículos temáticos y blogs sobre casos exitosos y experiencia personal. Pero no hay necesidad de esperar a que los piratas informáticos sean descubiertos compartiendo secretos en Internet: estos casos se clasifican como parte de casos criminales. Y cómo la gente analiza los datos puede leerse en recursos internacionales y rusos: el blog del Instituto SANS (también hay un curso sobre medicina forense, publicar libros y escribir artículos), ForensicFocus y Habr.Pero lo más interesante en mi trabajo es resolver el "enigma": inventar formas no estándar y pensar fuera de la caja para encontrar una brecha en los trucos de los intrusos.