Vesta Matveeva est une experte en sécurité de l'information du Groupe IB,
reconnue par Business Insider UK comme l'une des 7 organisations mondiales les plus influentes du secteur de la cybersécurité. Pendant 6 ans, elle a effectué des dizaines d'examens - analyse technique des incidents en tant que criminaliste, après quoi elle est passée au service d'enquête et a ouvert plusieurs dossiers.
Vesta est venu à Innopolis University à l'invitation des enseignants et des étudiants du programme de maîtrise.Conception de
systèmes et de réseaux sécurisés dans le cadre du cours CyberCrime and Forensics. L'invité a donné une conférence sur la mondialisation de la cybercriminalité, les tactiques et les outils utilisés pour attaquer les organisations financières et industrielles et les méthodes utilisées par les cybercriminels pour lutter contre les pirates.
Travail
Dans le groupe IB, vous ne pouvez pas travailler de 10 à 19 ans. Nous avons un objectif mondial: la lutte contre la criminalité. Nous aidons les entreprises, le gouvernement et les autres victimes de cyberattaques à trouver les auteurs du crime et à amener les intrus sur le quai. En travaillant quotidiennement sur de tels incidents, nous avons appris à comprendre comment les attaquants pensent, quelles méthodes, tactiques et outils de piratage sont utilisés. Cette expérience, couplée à des connaissances, détermine la qualité de la réponse aux incidents de sécurité de l'information et l'ampleur des conséquences de l'attaque. Par conséquent, mes collègues et moi passons beaucoup de temps au travail: nous étudions, lisons, étudions, recherchons.
Si nous comparons le laboratoire informatique judiciaire où j'ai travaillé auparavant et le service d'enquête où j'ai déménagé, la journée de travail en médecine légale est moins normalisée. Les experts y travaillent avec des incidents qui se produisent en temps réel: ils se rendent rapidement sur les lieux du crime, restaurent l'historique des attaques, recherchent les données compromises. Vous ne pouvez pas tout quitter et rentrer chez vous, car le temps de travail est terminé. Un schéma similaire fonctionne pendant les événements d'enquête, lorsque, par exemple, nous participons à une recherche, en examinant les informations des lecteurs, des images et des serveurs d'un point de vue technique. Ici, tout se termine: si vous avez besoin de travailler une journée, nous travaillons une journée, si quelques jours, cela signifie plusieurs jours. Mais le reste du temps, lorsque vous n'avez pas besoin de sauvegarder une banque conditionnelle, nous travaillons comme d'habitude, comme tout le monde.
Ayant travaillé en criminalistique pendant 6 ans, je voulais m'essayer dans le domaine de l'enquête. Ici, une autre spécificité du travail - les délits informatiques ne font pas l'objet d'une enquête rapide. Mais ici, bien sûr, nous sommes retardés lorsqu'il est nécessaire d'aider rapidement la partie lésée. Par exemple, les parents ou les forces de l'ordre nous contactent si l'enfant a quitté le domicile pour analyser son activité sur les réseaux sociaux et les forums, afin de comprendre à qui il a parlé, qui peut être au courant de l'évasion et de sa localisation présumée. Un autre exemple est les attaques DDoS puissantes contre les ressources du commerce électronique. Une heure d'indisponibilité pour un tel site peut coûter à une entreprise des centaines de milliers ou des millions de roubles. Par conséquent, nous devons établir rapidement les sources d'attaques et les bloquer.
Mais chaque enquête est unique. À partir des moments techniques où nous essayons de comprendre les services utilisés, d'identifier les outils pour évaluer le niveau technique d'un attaquant, et se terminant par des indices par adresses IP, numéros de téléphone et courrier, analyse des réseaux sociaux, forums et annonces sur les ressources publiques et cachées dans Darknet. Il n'y a pas de modèle pour révéler un cas. C'est toujours l'étude d'un grand nombre de sources. Par exemple, dans les incidents impliquant des logiciels malveillants, vous devez comprendre comment cela fonctionne, où il va, qui a enregistré ces serveurs, qui infecte les appareils et comment.
Cependant, les approches de base dans notre travail ne changent pas, mais les outils et ce que nous recherchons changent. Même les données des systèmes d'exploitation changent de version en version: structure, format, approches. Si auparavant tout le monde utilisait ICQ, la correspondance dans laquelle était stockée sous forme claire et lors de l'examen du disque, elle était accessible, maintenant de nombreux messagers utilisent le cryptage. Cela complique grandement la réception de soi-disant preuves numériques.
Crime
Hacker est une image collective. En parlant de crimes, ce terme est utilisé pour la simplicité du vocabulaire, mais en fait, c'est le nom de tous les spécialistes qui savent contourner les systèmes de sécurité informatique. Les criminels les plus graves dans ce domaine sont divisés en plusieurs catégories:
- Pirates à motivation financière. L'objectif est de l'argent. Ils volent les détails d'accès à la banque Internet, aux données des cartes de paiement ou attaquent les serveurs des organisations sur lesquelles les transactions de paiement sont effectuées;
- Pirates informatiques. Ces personnes assurent la surveillance dans les organisations industrielles et financières, elles passent souvent inaperçues et volent des documents, de la correspondance, des secrets, des technologies. On pense que ces groupes sont soutenus par les États: Lazarus Group, Equation Group, Black Energy, Fancy Bear. Il y a des cas où ces groupes ont effectué une surveillance dans des entreprises énergétiques, essayant de prendre le contrôle de l'équipement.
En 2010, le groupe Equation a infecté des ordinateurs en Iran pour empêcher la production d'armes nucléaires. Il s'agissait du premier cas connu d'attaque industrielle lorsque des attaquants ont eu accès aux équipements Siemens, affectant le processus. Energetic Bear et Black Energy sont deux autres groupes travaillant dans le domaine des attaques contre les installations industrielles. Ce dernier a créé un outil Industroyer qui vous permet de contrôler les protocoles sur lesquels l'équipement communique et de leur envoyer des commandes. Leur réussite est une panne d'électricité en Ukraine, alors que dans certaines régions du pays, l'électricité a été coupée pendant 75 minutes.
Le plus grand nombre de vols, à l'enquête à laquelle j'ai participé en tant que spécialiste technique, était de 700 millions de roubles. Premièrement, l'argent sert à payer toutes les parties du groupe criminel, fournissant des services et des infrastructures de soutien. Les autres membres clés du groupe dépensent pour l'organisation de leurs produits de sécurité et de luxe - voitures, yachts, appartements. Le chef du groupe est toujours conscient des risques de ce qu'il fait, sait qu'ils peuvent venir à lui à tout moment avec une fouille, donc, je pense, il n'a jamais un sentiment de sécurité totale.
Lors des perquisitions et de la détention d'un suspect, la surprise est importante. Les pirates sont techniquement compétents et s'ils ne sont pas pris par surprise, ils parviennent à activer la protection des données sur les appareils (par exemple, le cryptage), ce qui est difficile à contourner, voire à détruire les données.
En règle générale, la détention a lieu tôt, avant qu'une personne n'ait encore quitté la maison: à 6 ou 7 heures du matin, ou lorsque nous sommes sûrs qu'elle vient de se réveiller et d'allumer l'ordinateur, ce qui dépend des spécificités de son travail. Si la recherche a lieu dans l'entreprise, le groupe de travail vient à l'ouverture du bureau. Les méthodes de détention dépendent de l'imagination des forces de l'ordre: travailler dans des centres d'affaires est facile - il suffit de montrer que vous êtes avec la police et que vous devez vous rendre dans une certaine entreprise. La détention d'un individu est une procédure plus compliquée, car le suspect doit être encouragé à ouvrir la porte, par exemple, à se présenter comme courrier. Une fois dans ma pratique, les forces de l'ordre sont entrées dans l'appartement d'un attaquant depuis un toit sur des câbles, cassant des fenêtres.
Enquêtes
Il y a des intrus qui travaillent soigneusement à la mise en œuvre technique du vol. Ils tiennent compte de la façon dont ils seront recherchés, du fonctionnement du mécanisme d'attaque, du changement des méthodes de pénétration. Ces cas complexes sont d'un grand intérêt pour nous, spécialistes, et dans ma pratique, deux de ces cas se distinguent.
Le premier cas s'est produit dans une banque où de l'argent a été volé. À première vue, c'est une chose courante: avoir accès à un poste de travail d'un client de la Banque de Russie. Un tel système a été utilisé par plusieurs groupes depuis 2013. Mais, malgré la compréhension de l'ensemble du système de criminalité, il avait une différence. Sur l'un des ordinateurs du réseau, les pirates ont lancé un programme de ver fonctionnant exclusivement en RAM - il est maintenant à la mode d'appeler sans fichier (un programme incorporel). Ainsi, les attaquants ont eu accès à tous les ordinateurs de toutes les branches de l'organisation. En d'autres termes, ils ont mis en place un botnet contrôlé à l'intérieur de la banque. Par conséquent, alors qu'au moins un ordinateur infecté est allumé, il infectera les machines de l'entreprise encore et encore.
Un fragment d'un ver transmis au moment de l'infection dans le trafic réseau
Il y avait une question logique: comment nettoyer le réseau? Après avoir essayé des méthodes techniques, nous avons réalisé que la meilleure solution dans cette situation est d'éteindre tous les ordinateurs à la fois dans toutes les succursales de la banque, ce que la banque a accepté. Ainsi, nous avons réussi à nettoyer la RAM, il n'y avait pas de ver au démarrage. Ce fut un événement unique à l'échelle. Dans une situation normale, nous ne pourrions jamais désactiver immédiatement les performances de tous les serveurs de l'entreprise.
Le deuxième exemple, que je considère comme l'un des plus intéressants au cours de mon travail, est le travail du groupe Cobalt - le groupe de hackers le plus agressif et le plus performant de ces dernières années. Elle a commencé à travailler en Russie en 2016, attaquant les banques et les institutions financières du monde entier. Selon Europol, pendant tout son temps de travail, elle a réussi à retirer des comptes des victimes 1 milliard d'euros. Dans leur travail, ils ont utilisé un outil de test de pénétration Cobalt Strike complètement légal. En accédant à des ordinateurs, ils pourraient même contrôler des machines qui ne sont pas connectées à Internet. Ce n'était pas comme les actions d'autres groupes criminels que nous avons rencontrés. Les membres du groupe Cobalt ont constamment changé de lieu d'attaque, testé de nouveaux outils et, pendant près de 2 ans, sont restés insaisissables pour les cybercriminels et les forces de l'ordre. Le chef du groupe n'a été arrêté que ce printemps à Alicante espagnole. Maintenant, il attend son procès.
Code de charge utile d'accès VNC injecté
L'enquête est un long processus. Les cas les plus longs sont généralement associés à de grands groupes criminels qui se livrent à des attaques ciblées, volant de l'argent via les services bancaires en ligne ou les applications mobiles des institutions financières. Ils prêtent une grande attention à la façon de cacher leur identité - ils utilisent plusieurs chaînes de serveurs pour accéder aux ressources, utilisent le chiffrement, réécrivent constamment les programmes d'attaque pour contourner les antivirus et les systèmes de protection de périmètre. Ces personnes ne peuvent être retrouvées dans un seul incident. Ce n'est que dans quelques cas que l'on recueille du matériel avec lequel travailler, mais même dans ce cas, le processus de recherche prend beaucoup de temps. Pour comprendre qui est derrière le crime, vous avez besoin de six mois (et parfois plus), généralement plus d'un an est nécessaire pour rassembler des preuves de détention et de recherche.
Mais cela arrive et vice versa. L'enquête la plus rapide n'a duré qu'une journée. Nous avons été informés que les assaillants ont eu accès aux serveurs de la banque. Nous sommes arrivés à l'endroit et l'avons réglé pendant plusieurs heures jusqu'à ce que nous réalisions que l'un des départements avait commandé un test de pénétration, que les autres ne connaissaient pas. De tels tests sont effectués pour évaluer la protection de l'infrastructure d'une entreprise. Habituellement, la direction les connaît et vérifie comment l'équipe va résoudre la situation.
Parfois, au travail, nous nous heurtons à un mur, mais, selon mon expérience, il a une porte. De tels cas ne se lâchent pas: vous rentrez chez vous et pendant votre temps libre vous cherchez un moyen de sortir de la situation, vous pensez comment résoudre le problème.
D'après mon expérience, il y a eu un examen au cours duquel il a été nécessaire de prouver que l'agresseur était réellement impliqué dans l'incident, car la simple présence de logiciels malveillants sur l'ordinateur ne suffit pas pour engager une procédure pénale. La protection des suspects en profite, construisant une position sur le principe: le programme n'a pas fonctionné sur l'ordinateur ou le suspect ne s'y est pas connecté lors de l'incident. Dans ce cas, les journaux du programme qui fournit un accès à distance ont été chiffrés pendant un certain temps sur l'ordinateur de la victime, puis envoyés au serveur de l'attaquant et supprimés.
Il m'a fallu plusieurs jours pour comprendre comment résoudre le problème: restaurer les journaux du programme à partir de la zone libre du système de fichiers avant le chiffrement (fragments de RAM). Heureusement, le moment de l'incident n'a pas été réécrit non plus. Cela m'a permis de prouver que lors d'un vol d'argent, l'attaquant s'est connecté à l'ordinateur en parallèle avec la victime.
La punition
Dans les groupes de pirates, les rôles sont clairement répartis et divisés, de sorte que plus d'une personne passe du cybercrime du début à la fin. Seul le chef de groupe connaît tout le plan du crime. Il engage des assistants pour certaines tâches: configurer le serveur, écrire et distribuer le programme et protéger les logiciels malveillants contre les antivirus. Les garçons ordinaires qui s'intéressent aux technologies de l'information, ne soupçonnant parfois même pas qu'ils participent à un groupe criminel, peuvent se révéler être de telles personnes.
En règle générale, une personne anonyme contacte une personne et offre de l'argent pour un certain travail selon le principe: «Pouvez-vous configurer un serveur? "Je peux." Très probablement, l'organisateur ne dira pas à l'entrepreneur pourquoi ce serveur est nécessaire.
Une autre chose est quand une personne développe un programme qui intercepte des données. Il sait qu'il peut être utilisé à des fins frauduleuses. Parfois, ces programmes sont achetés auprès d'un tiers et l'auteur n'est pas informé de la façon dont les fraudeurs l'utilisent: pour intercepter le mot de passe du compte Vkontakte ou les informations de la carte bancaire. La même histoire est avec une personne qui «crypte» un programme d'antivirus - il doit être conscient que ces programmes ne sont pas créés à des fins légales. La personne qui diffuse le programme peut déjà être attirée en vertu de l'article 273 du Code pénal de la Fédération de Russie.
La législation russe sur la poursuite des personnes qui ont commis des délits de cybercriminalité doit encore être développée. Auparavant, pour de telles infractions, ils condamnaient le plus souvent des condamnations avec sursis, même si des pirates avaient volé des sommes importantes. Cela n'a pas effrayé ni motivé les gens à abandonner ce qu'ils font. Depuis 2014, les choses se sont améliorées après avoir condamné Carberp pour de très longs termes.
Carrière
Pour obtenir un emploi en criminalistique informatique, une personne doit avoir une formation technique. Je suis diplômé de l'Institut de génie physique de Moscou, Faculté de sécurité de l'information, alors que la criminologie n'était pas encore enseignée en Russie. On nous a enseigné les langages de programmation, les bases de l'administration système et la protection du périmètre. Nous avons étudié le fonctionnement des logiciels malveillants et comment surmonter les mécanismes de protection des systèmes d'exploitation.
Une personne ayant une expérience technique qui comprend comment fonctionnent les systèmes d'exploitation, comment un réseau est construit, comment les données sont transmises, volées et protégées, a suffisamment de connaissances pour obtenir un emploi dans le domaine de la criminalistique informatique. Pourvu qu'il se penche sur les spécificités de la région. Notre entreprise a des exemples où les gens sont venus sans formation technique - c'était plus difficile pour eux, car au début ils devaient maîtriser les connaissances de base.
Pour ceux qui sont intéressés par la criminalistique, je recommande de lire l'analyse du système de fichiers (Brian Carrier), un livre de base sur le fonctionnement des systèmes de fichiers, qui est important pour la région. Network Forensics (Sherri Davidoff) et The Art of Memory Forensics (Michael Hale Ligh) sont deux autres livres que chaque juriste qui se respecte devrait étudier. Pour la recherche sur les appareils mobiles, je recommande Practical Mobile Forensics (Oleg Skulkin).
Pour comprendre ce qui se passe en médecine légale, vous devez lire des articles et des blogs sur les cas réussis et l'expérience personnelle. Mais il n'est pas nécessaire d'attendre que des pirates informatiques soient surpris en train de partager des secrets sur Internet - les informations ne sont pas diffusées dans les affaires pénales. Et comment les gens analysent les données peuvent être lus sur les ressources internationales et russes: le blog de l'Institut SANS (il y a aussi un cours sur la médecine légale, publier des livres et écrire des articles), ForensicFocus et Habr.
Mais la chose la plus intéressante dans mon travail est de résoudre «l'énigme»: inventer des moyens non standard et sortir des sentiers battus afin de trouver une lacune dans les astuces des intrus.