Rencontre: Vesta Matveeva - Expert en sécurité de l'information du Groupe IB.
Spécialisation: enquête sur la cybercriminalité.
Ce qui est connu: Vesta participe régulièrement non seulement aux enquêtes, mais aussi aux détentions, aux interrogatoires et aux perquisitions de membres de groupes de hackers. Pendant 6 ans, elle a effectué des dizaines d'examens - analyse technique des incidents en tant que criminaliste, après quoi elle est passée au service d'enquête du Groupe IB, a ouvert avec succès plusieurs dossiers et continue de travailler dans ce sens.
Contexte de l'apparition de ce matériel: Vesta est venu à l'Université d'Innopolis à l'invitation d'enseignants et d'étudiants du programme de maîtrise
Conception de systèmes et réseaux sécurisés dans le cadre du cours Cybercriminalité et criminalistique (cybercriminalité et criminalistique informatique). Elle a donné une conférence sur la mondialisation de la cybercriminalité, les tactiques et les outils utilisés pour attaquer les organisations financières et industrielles et les méthodes utilisées par les cybercriminels pour rechercher des cybercriminels. Les gars du service des relations publiques d'Innopolis ont rencontré Vesta et posé beaucoup de questions. La chose la plus intéressante est que nous avons inclus des citations dans ce document.
Mon travail n'est pas seulement un choix en faveur de l'employeur, c'est plutôt un choix moral qui correspond à mes valeurs de vie, à mon style de vie. Nous avons un objectif mondial: nous luttons contre la cybercriminalité, aidons les entreprises et les utilisateurs individuels victimes d'une cyberattaque à trouver ceux qui se cachent derrière et à amener les attaquants sur le quai. Nous travaillons avec de tels incidents tous les jours, nous savons comment l'attaquant pense, quelles méthodes il utilise, quelles tactiques il choisit et quels outils il utilise pour pirater. L'ampleur des conséquences de l'attaque dépend de la qualité de notre travail. Mes collègues et moi passons beaucoup de temps au travail: nous recherchons, étudions, étudions, lisons, partageons notre expérience.
L'auto-éducation continue, l'amélioration des outils et la mise à jour des connaissances sont le seul moyen sûr de pouvoir confronter les criminels et enquêter sur les délits informatiques les plus complexes.
La médecine légale est un sprint et les enquêtes sont un marathon. Les experts du Laboratoire de criminalistique informatique du Groupe IB sont impliqués dans la réponse aux incidents de sécurité des informations en temps réel: ils doivent souvent se rendre rapidement sur les lieux du crime, restaurer l'historique des attaques et rechercher les données compromises. Souvent, la journée de travail n’est pas standardisée: lors d’un incident, vous ne pouvez pas tout quitter et rentrer chez vous, car le temps de travail est terminé. Les attaquants n'ont pas d'horaire de travail ni de week-end: les périodes d'inactivité de notre part peuvent être fatales pour l'entreprise concernée. Le schéma de travail dans le cadre des mesures de recherche opérationnelle est similaire, par exemple, lorsque nous participons à une recherche, en examinant les informations des lecteurs, des images, des serveurs d'un point de vue technique. Tout est terminé: si vous avez besoin de travailler un jour, nous travaillons un jour, si quelques jours, cela signifie quelques-uns. Mais le reste du temps, lorsque vous n'avez pas besoin de «sauvegarder» une banque conditionnelle, nous effectuons des recherches de données, effectuons des revues d'experts et travaillons comme d'habitude, comme le font toutes les personnes normales. Eh bien, ou presque la même chose.
Ayant travaillé au laboratoire informatique judiciaire du Groupe IB pendant 6 ans, je voulais m'essayer dans le domaine des investigations. Voici une autre spécificité du travail: plus d'analyses, des tâches plus importantes. L'enquête a pour but d'identifier le groupe criminel à l'origine de l'attaque, son infrastructure. En raison de la possibilité d'anonymisation sur Internet, les délits informatiques ne font pas l'objet d'enquêtes rapides. Il arrive que nous soyons en retard lorsqu'il est urgent de venir en aide à la partie lésée. Par exemple, un enfant a quitté la maison et les parents ou les forces de l'ordre nous demandent d'analyser son activité sur les réseaux sociaux, les forums, afin de comprendre à qui il parlait, qui peut être au courant de l'évasion, de l'endroit supposé où il peut se trouver en ce moment. Autre exemple: il existe une puissante attaque DDoS sur une ressource liée au e-commerce. Une heure d'indisponibilité d'un tel site peut coûter à une entreprise des centaines de milliers, et parfois des millions de roubles. Nous devons établir rapidement les sources d'attaques et les bloquer.
L'enquête est un long processus. Les cas les plus longs sont généralement associés à de grands groupes criminels qui se livrent à des attaques ciblées, volant de l'argent via les services bancaires en ligne ou les applications mobiles des institutions financières. Ils prêtent une grande attention à la façon de cacher leur identité - ils utilisent plusieurs chaînes de serveurs pour accéder aux ressources, utilisent le chiffrement et réécrivent constamment des programmes pour les attaques. Ces personnes ne peuvent être retrouvées dans un seul incident. Ce n'est que dans quelques cas que l'on recueille du matériel avec lequel travailler, mais même dans ce cas, le processus de recherche prend beaucoup de temps. Pour comprendre qui est à l'origine du crime, cela prend généralement environ six mois (parfois plus) et pendant une longue période (généralement des années), il est nécessaire de recueillir des preuves pour la détention et la recherche.
La détention des membres du groupe de pirates informatiques Cron est le résultat du travail conjoint du ministère de l'Intérieur et du groupe IB.
L'enquête la plus rapide a duré un jour. Nous avons été informés que les assaillants ont eu accès aux serveurs de la banque. Nous sommes allés sur place, l'avons trié pendant plusieurs heures jusqu'à ce que nous réalisions qu'un test de pénétration avait été effectué dans la banque. De tels tests sont effectués pour évaluer la protection de l'infrastructure d'une entreprise. Habituellement, la direction les connaît et vérifie comment l'équipe va résoudre la situation. De plus, il n'était pas difficile de comprendre que c'est cet audit qui nous a amenés à nous contacter.
Chaque enquête est unique. À partir des moments techniques où nous essayons de comprendre les services utilisés, d'identifier les outils pour évaluer le niveau technique d'un attaquant, et se terminant par des indices par adresses IP, numéros de téléphone, courrier, analyse des réseaux sociaux, forums, publicités sur les ressources de piratage publiques et cachées dans Darknet. Il n'y a pas de modèle pour révéler un cas. C'est toujours l'analyse d'un grand nombre de sources d'information. Par exemple, dans les incidents impliquant des logiciels malveillants, vous devez comprendre comment cela fonctionne, où il va, qui a enregistré ces serveurs, qui a distribué les programmes et comment (appareils infectés).
Les approches de base de notre travail ne changent pas, mais les outils et ce que nous explorons changent. Les mêmes données dans les systèmes d'exploitation varient d'une version à l'autre: structure, format, approches. Par exemple, si auparavant tout le monde utilisait ICQ, la correspondance dans laquelle était stockée en clair et, lors de l'examen du disque, elle était accessible, de nombreux messagers utilisent désormais le cryptage. Cela complique grandement la réception de ce que l'on appelle les «preuves numériques».
Parfois, au travail, nous nous heurtons à un mur, mais, selon mon expérience, il a une porte. Il existe des demandes dont la solution n'est pas évidente compte tenu de leurs caractéristiques techniques. De tels cas ne se lâchent pas: vous rentrez chez vous et pendant votre temps libre vous cherchez un moyen de sortir de la situation, vous pensez comment résoudre le problème.
D'après mon expérience, il y a eu un examen au cours duquel il a été nécessaire de prouver que l'agresseur était réellement impliqué dans l'incident, car la simple présence de logiciels malveillants sur l'ordinateur ne suffit pas pour engager une procédure pénale. La protection des suspects en profite, construisant une position sur le principe: le programme n'a pas fonctionné sur l'ordinateur ou le suspect ne s'y est pas connecté lors de l'incident. Dans ce cas, les journaux du programme qui fournit un accès à distance ont été chiffrés pendant un certain temps sur l'ordinateur de la victime, puis envoyés au serveur de l'attaquant et supprimés.
Il m'a fallu plusieurs jours pour comprendre comment résoudre le problème: restaurer les journaux du programme à partir de la zone libre du système de fichiers avant le chiffrement (fragments de RAM). Heureusement, le moment de l'incident n'a pas été réécrit non plus. Cela m'a permis de prouver que lors d'un vol d'argent, l'attaquant s'est connecté à l'ordinateur en parallèle avec la victime.
"Hacker" est une image collective. En parlant de crimes, ce terme est utilisé pour la simplicité, mais en fait c'est le nom de tous les spécialistes qui savent contourner les systèmes de sécurité informatique. Les criminels les plus graves dans ce domaine sont divisés en plusieurs catégories:
Pirates à motivation financière. Leur objectif est l'argent. Ils volent les détails d'accès à la banque Internet, aux données des cartes de paiement ou attaquent les serveurs des organisations sur lesquelles les transactions de paiement sont effectuées;
Pirates informatiques. Ces personnes assurent la surveillance dans les organisations industrielles et financières, elles passent souvent inaperçues et volent des documents, de la correspondance, des secrets, des technologies. On pense que ces groupes sont soutenus par les États: Lazarus Group, Equation Group, Black Energy, Fancy Bear. Il y a des cas où ces groupes ont effectué une surveillance dans des entreprises énergétiques, essayant d'avoir accès à la gestion des équipements.
En 2010, le groupe Equation a infecté des ordinateurs en Iran pour empêcher la production d'armes nucléaires. Il s'agissait du premier cas connu d'attaque industrielle lorsque des attaquants ont eu accès aux équipements Siemens, affectant le processus. Energetic Bear et Black Energy sont deux autres groupes travaillant dans le domaine des attaques contre les installations industrielles. Ce dernier a créé un outil Industroyer qui vous permet de contrôler les protocoles sur lesquels l'équipement communique et de leur envoyer des commandes. Leur «réussite» très médiatisée est une panne d'électricité en Ukraine, alors que dans certaines régions du pays, ils ont coupé l'électricité pendant 75 minutes.
Le plus grand nombre de vols dans une banque russe, à laquelle j'ai participé en tant que spécialiste technique, s'est élevé à 700 millions de roubles. Premièrement, l'argent sert à payer toutes les parties du groupe criminel, fournissant des services et des infrastructures de soutien. Les membres clés du groupe passent le reste à assurer leur sécurité et parfois des produits de luxe - voitures, yachts, appartements. Le chef du groupe est toujours conscient des risques de ce qu'il fait, sait qu'ils peuvent venir à lui à tout moment avec une fouille, donc je pense qu'il n'a pas un sentiment de sécurité totale.
Les difficultés sont intéressantes. Il y a des intrus qui élaborent soigneusement l'implémentation technique du vol. Ils tiennent compte de la façon dont ils seront recherchés, du fonctionnement du mécanisme d'attaque, du changement des méthodes de pénétration. Ces questions sont très intéressantes pour les spécialistes.
Un cas s'est produit dans une banque où de l'argent a été volé. À première vue, c'est généralement le cas: accéder à l'AWS du CBD (poste de travail automatisé d'un client de la Banque de Russie). Ce schéma a été utilisé par plusieurs groupes depuis 2013. La particularité de cette affaire était que les attaquants avaient accès à tous les ordinateurs de l'organisation, y compris dans les succursales. Pour ce faire, sur un seul ordinateur du réseau, ils ont lancé un ver informatique qui fonctionnait exclusivement dans la RAM de l'ordinateur. Ce qui est maintenant à la mode d'appeler sans fichier (programme incorporel). En d'autres termes, ils ont mis en place un botnet contrôlé à l'intérieur de la banque. Tant qu’au moins un ordinateur infecté est allumé, il infectera les machines de l’entreprise à plusieurs reprises.
Il y avait une question logique: comment nettoyer le réseau? Après avoir essayé des méthodes techniques, nous avons réalisé que la meilleure solution dans cette situation est d'éteindre tous les ordinateurs à la fois dans toutes les succursales de la banque, ce que la banque a accepté. Ainsi, nous avons réussi à nettoyer la RAM, il n'y avait pas de ver au démarrage. Ce fut un événement unique à l'échelle. Dans une situation normale, nous ne pourrions jamais déconnecter immédiatement tous les serveurs de l'entreprise.
Un fragment d'un ver transmis au moment de l'infection dans le trafic réseauTous les pirates ont tort. Vous avez juste besoin d'attendre ce moment. Le cas du groupe Cobalt - le groupe de hackers le plus agressif et le plus performant de ces dernières années - je considère l'un des plus intéressants lors de leur travail. Elle a commencé à opérer en Russie en 2016, attaquant des banques et des institutions financières du monde entier et volant d'énormes sommes d'argent. Selon Europol, pendant tout son temps de travail, elle a réussi à retirer des comptes de ses victimes environ 1 milliard d'euros. Le cobalt est un exemple d'attaques ciblées. Dans leur travail, ils ont utilisé un outil de test de pénétration Cobalt Strike complètement légal. Une caractéristique intéressante de la charge utile installée par les cybercriminels lors de l'accès à un ordinateur dans une organisation était la capacité de gérer les ordinateurs sur le réseau, même ceux qui ne sont pas connectés à Internet. Ce n'était pas comme les actions d'autres groupes criminels que nous avons rencontrés. Cobalt a constamment changé le lieu de leurs attaques, testé de nouveaux outils et pendant près de 2 ans, ils ont été insaisissables pour les cybercriminels et les forces de l'ordre. Le chef du cobalt a été arrêté ce printemps dans la ville espagnole d'Alicante. Maintenant, il attend son procès.
Code de charge utile d'accès VNC injectéLors des perquisitions et de la détention d'un suspect, la surprise est importante. Les pirates sont souvent techniquement avertis, et s'ils ne sont pas pris par surprise, ils parviennent à activer la protection des données sur les appareils (par exemple, le cryptage), ce qui peut être difficile à contourner, ou, à l'inverse, essayer de détruire les données. En règle générale, la détention a lieu tôt, avant qu'une personne n'ait encore quitté la maison: à 6 h 7 du matin, ou vice versa, quand il vient de se réveiller et d'allumer l'ordinateur - cela dépend des spécificités de son travail. Si la recherche a lieu dans l'entreprise, alors le groupe de travail vient à l'ouverture du bureau. Les méthodes de détention dépendent des autorités chargées de l'application des lois: dans les centres d'affaires, les responsables de l'application des lois doivent parfois simplement prouver une pièce d'identité officielle pour être admis dans une entreprise particulière. La détention d'un individu est une procédure plus compliquée, car le suspect doit être forcé d'ouvrir la porte, par exemple, pour se présenter comme courrier. Dans certains cas, afin d'éviter la destruction des données, ils pénètrent plus radicalement dans l'appartement: depuis le toit sur les câbles, brisant les fenêtres.
Seul le chef du groupe des hackers connaît tout le plan du crime imminent. Dans les groupes de pirates, les rôles sont clairement répartis et divisés, de sorte que plus d'une personne passe du cybercrime du début à la fin. Le leader du groupe emploie des exécuteurs de certaines tâches: configurer le serveur, écrire et distribuer le programme, et protéger les malwares contre les antivirus. Les garçons ordinaires qui s'intéressent aux technologies de l'information et ne soupçonnent parfois même pas qu'ils participent à un groupe criminel peuvent se révéler être de telles personnes.
En règle générale, une personne anonyme contacte une personne et offre de l'argent pour un certain travail selon le principe: «Pouvez-vous configurer un serveur? "Je peux." Très probablement, l'organisateur ne dira pas à l'entrepreneur à quoi sert ce serveur.
Une autre chose est quand une personne développe un programme qui intercepte des données et sait en même temps qu'il peut être utilisé à des fins frauduleuses. Parfois, ces programmes sont achetés auprès d'un tiers et l'auteur n'est pas informé de la façon dont les fraudeurs l'utilisent: pour intercepter le mot de passe du compte VKontakte ou les informations de la carte bancaire. La même histoire est avec une personne qui «crypte» un programme d'antivirus - il doit être conscient que ces programmes ne sont pas créés à des fins légales. Une personne qui diffuse un programme malveillant peut déjà être attirée par l'article 273 du Code pénal de la Fédération de Russie.
En Russie, la législation relative aux poursuites pénales des personnes ayant commis des délits de cybercriminalité doit encore être développée. Auparavant, pour de telles infractions, ils condamnaient le plus souvent des condamnations avec sursis, même si des pirates avaient volé des sommes importantes. Cela n'a pas effrayé ni motivé les gens à abandonner ce qu'ils font. Depuis 2014, les choses se sont améliorées après avoir condamné des membres du groupe Carberp pour de très longues peines.
Une carrière dans les enquêtes sur la cybercriminalité ou la criminalité informatique est une carrière autodidacte. Afin d'obtenir un emploi en informatique légale, une personne doit avoir une formation technique. Je suis diplômé de l'Institut de génie physique de Moscou, Faculté de sécurité de l'information, alors que la criminologie n'était pas encore enseignée en Russie. On nous a enseigné les bases de l'administration système, la protection du périmètre, les outils de sécurité et leurs principes de fonctionnement. Nous avons également étudié les langages de programmation, le fonctionnement des logiciels malveillants, comment surmonter les mécanismes de protection des systèmes d'exploitation.
Une personne ayant une expérience technique qui comprend comment fonctionnent les systèmes d'exploitation, comment un réseau est construit, comment les données sont transmises, volées et protégées, a suffisamment de connaissances pour obtenir un emploi dans le domaine de la criminalistique informatique. Pourvu qu'il se penche sur les spécificités de la région. Notre entreprise a des exemples où les gens sont venus sans formation technique - c'était plus difficile pour eux, car au début ils devaient maîtriser les connaissances de base.
Pour ceux qui sont intéressés par la criminalistique, je recommande de lire l'analyse du système de fichiers (Brian Carrier), un livre de base sur le fonctionnement des systèmes de fichiers, qui est important pour la région. Network Forensics (Sherri Davidoff) et The Art of Memory Forensics (Michael Hale Ligh) sont deux autres livres que chaque médecin légiste qui se respecte doit étudier pour participer à l'enquête sur les cybercrimes contemporains. Pour la recherche sur les appareils mobiles, je peux conseiller Practical Mobile Forensics (Oleg Skulkin).
Pour comprendre ce qui se passe en médecine légale, vous devez lire des articles thématiques et des blogs sur des cas réussis et des expériences personnelles. Mais il n'est pas nécessaire d'attendre que les pirates informatiques soient surpris en train de partager des secrets sur Internet - ces cas sont classés comme faisant partie des affaires pénales. Et comment les gens analysent les données peuvent être lus sur les ressources internationales et russes: le blog de l'Institut SANS (il y a aussi un cours sur la médecine légale, publier des livres et écrire des articles), ForensicFocus et Habr.Mais la chose la plus intéressante dans mon travail est de résoudre «l'énigme»: inventer des moyens non standard et sortir des sentiers battus afin de trouver une lacune dans les astuces des intrus.