Vesta Matveeva adalah pakar keamanan informasi di Group-IB, yang
diakui oleh Business Insider UK sebagai salah satu dari 7 organisasi global paling berpengaruh dalam industri keamanan siber. Selama 6 tahun, ia melakukan lusinan pemeriksaan - analisis teknis insiden sebagai penjahat, setelah itu ia pindah ke departemen investigasi dan membuka beberapa kasus.
Vesta datang ke Universitas Innopolis atas undangan para guru dan siswa dari program master.Merancang
sistem dan jaringan yang aman sebagai bagian dari kursus CyberCrime dan Forensik. Tamu tersebut memberikan ceramah tentang bagaimana cybercrime mengglobal, taktik dan alat apa yang digunakan untuk menyerang organisasi keuangan dan industri, dan metode apa yang digunakan oleh penjahat cyber untuk memerangi peretas.
Bekerja
Di Group-IB Anda tidak bisa hanya bekerja dari 10 hingga 19. Kami memiliki tujuan global - perang melawan kejahatan. Kami membantu bisnis, pemerintah, dan korban serangan cyber lainnya menemukan mereka yang berada di balik kejahatan dan membawa penyusup ke dermaga. Bekerja dengan insiden seperti itu setiap hari, kami telah belajar untuk memahami bagaimana penyerang berpikir, metode, taktik, dan alat peretas apa yang digunakan. Pengalaman ini, ditambah dengan pengetahuan, menentukan kualitas respons terhadap insiden keamanan informasi dan besarnya konsekuensi dari serangan itu. Karena itu, saya dan rekan kerja saya menghabiskan banyak waktu di tempat kerja: kami belajar, membaca, belajar, meneliti.
Jika kita membandingkan laboratorium forensik komputer tempat saya bekerja sebelumnya dan departemen investigasi tempat saya pindah, maka hari kerja forensik menjadi kurang normal. Para ahli di sana bekerja dengan insiden yang terjadi dalam waktu nyata: mereka dengan cepat pergi ke TKP, memulihkan sejarah serangan, mencari data yang dikompromikan. Anda tidak bisa meninggalkan semuanya dan pulang, karena waktu kerja sudah selesai. Skema serupa berfungsi selama peristiwa investigasi, ketika, misalnya, kami berpartisipasi dalam pencarian, memeriksa informasi drive, gambar, dan server dari sudut pandang teknis. Di sini semuanya berakhir: jika Anda perlu bekerja sehari, kami bekerja sehari, jika beberapa hari, itu berarti beberapa hari. Tetapi sisa waktu, ketika Anda tidak perlu menyimpan bank bersyarat, kami bekerja seperti biasa, seperti semua orang.
Setelah bekerja di forensik selama 6 tahun, saya ingin mencoba sendiri di bidang investigasi. Di sini, spesifik lain dari pekerjaan - kejahatan komputer tidak diselidiki dengan cepat. Tapi di sini, tentu saja, kita ditunda ketika perlu dengan cepat membantu pihak yang terluka. Misalnya, orang tua atau lembaga penegak hukum menghubungi kami jika anak telah meninggalkan rumah untuk menganalisis aktivitasnya di jejaring sosial dan forum, untuk memahami siapa yang ia ajak bicara, siapa yang dapat mengetahui tentang pelarian dan lokasinya yang diduga. Contoh lain adalah serangan DDoS yang kuat pada sumber daya e-commerce. Satu jam downtime untuk situs semacam itu dapat menelan biaya ratusan ribu atau jutaan rubel perusahaan. Karena itu, kita perlu dengan cepat menetapkan sumber serangan dan memblokirnya.
Tetapi setiap investigasi unik. Mulai dari momen teknis ketika kami mencoba memahami layanan yang digunakan, untuk mengidentifikasi alat untuk menilai tingkat teknis penyerang, dan berakhir dengan petunjuk berdasarkan alamat IP, telepon dan surat, analisis jejaring sosial, forum dan pengumuman tentang sumber daya publik dan tersembunyi di Darknet. Tidak ada template untuk mengungkap case. Ini selalu mempelajari sejumlah besar sumber. Misalnya, dalam insiden yang melibatkan malware, Anda perlu memahami cara kerjanya, ke mana ia pergi, siapa yang mendaftarkan server ini, siapa yang menginfeksi perangkat, dan bagaimana.
Namun, pendekatan dasar dalam pekerjaan kami tidak berubah, tetapi alat dan apa yang kami teliti berubah. Bahkan data dalam sistem operasi berubah dari versi ke versi: struktur, format, pendekatan. Jika sebelumnya semua orang menggunakan ICQ, korespondensi yang disimpan dalam bentuk yang jelas dan selama pemeriksaan disk itu dapat diakses, sekarang banyak pembawa pesan menggunakan enkripsi. Ini sangat mempersulit penerimaan apa yang disebut bukti digital.
Kejahatan
Peretas adalah citra kolektif. Berbicara tentang kejahatan, istilah ini digunakan untuk kesederhanaan kosa kata, tetapi pada kenyataannya, ini adalah nama dari semua spesialis yang tahu bagaimana cara menghindari sistem keamanan komputer. Penjahat paling serius di daerah ini dibagi menjadi beberapa kategori:
- Peretas yang termotivasi secara finansial. Tujuannya adalah uang tunai. Mereka mencuri detail akses dari bank Internet, data kartu pembayaran atau menyerang server organisasi tempat transaksi pembayaran dilakukan;
- Peretas negara. Orang-orang ini melakukan pengawasan dalam organisasi industri dan keuangan, mereka sering pergi tanpa disadari dan mencuri dokumen, korespondensi, rahasia, teknologi. Diyakini bahwa kelompok-kelompok tersebut didukung oleh negara-negara: Grup Lazarus, Kelompok Persamaan, Energi Hitam, Beruang Mewah. Ada kasus ketika kelompok tersebut melakukan pengawasan di perusahaan energi, berusaha untuk mendapatkan kendali atas peralatan.
Pada 2010, Grup Persamaan menginfeksi komputer di Iran untuk mencegah produksi senjata nuklir. Ini adalah kasus serangan industri pertama yang diketahui ketika penyerang memperoleh akses ke peralatan Siemens, yang memengaruhi proses. Energetic Bear dan Black Energy adalah dua kelompok lain yang bekerja di bidang serangan terhadap fasilitas industri. Yang terakhir menciptakan alat Industroyer yang memungkinkan Anda untuk mengontrol protokol yang berkomunikasi peralatan dan mengirim perintah kepada mereka. Prestasi mereka padam di Ukraina, ketika di beberapa wilayah negara itu, listrik terputus selama 75 menit.
Jumlah pencurian terbesar, dalam investigasi yang saya ikuti sebagai spesialis teknis, adalah 700 juta rubel. Pertama, uang digunakan untuk membayar semua bagian dari kelompok kriminal, menyediakan, mendukung layanan dan infrastruktur. Sisa dari anggota kunci grup menghabiskan pada organisasi barang-barang keamanan dan mewah mereka - mobil, kapal pesiar, apartemen. Pemimpin kelompok selalu menyadari risiko dari apa yang dia lakukan, tahu bahwa mereka dapat mendatanginya dengan pencarian kapan saja, oleh karena itu, saya pikir, dia tidak pernah memiliki perasaan aman sepenuhnya.
Dalam pencarian dan penahanan tersangka, kejutan itu penting. Peretas secara teknis berpengalaman, dan jika mereka tidak terkejut, mereka berhasil mengaktifkan perlindungan data pada perangkat (misalnya, enkripsi), yang sulit untuk dielakkan, atau bahkan menghancurkan data.
Biasanya, penahanan terjadi lebih awal, sebelum seseorang belum meninggalkan rumah: pukul 6-7 pagi, atau ketika kami yakin ia baru saja bangun dan menyalakan komputer, yang tergantung pada spesifikasi pekerjaannya. Jika pencarian dilakukan di perusahaan, maka gugus tugas datang ke pembukaan kantor. Metode penahanan tergantung pada imajinasi lembaga penegak hukum: bekerja di pusat bisnis itu mudah - cukup tunjukkan bahwa Anda bersama polisi dan Anda harus pergi ke perusahaan tertentu. Penahanan seseorang adalah prosedur yang lebih rumit, karena tersangka perlu didorong untuk membuka pintu, misalnya, untuk memperkenalkan dirinya sebagai kurir. Begitu dalam praktik saya, lembaga penegak hukum memasuki apartemen penyerang dari atap dengan kabel, memecahkan jendela.
Investigasi
Ada penyusup yang secara hati-hati mengerjakan implementasi teknis pencurian. Mereka mempertimbangkan bagaimana mereka akan dicari, bagaimana mekanisme serangan bekerja, mengubah metode penetrasi. Kasus rumit semacam itu sangat menarik bagi kami para spesialis, dan dalam praktik saya ada dua kasus serupa yang menonjol.
Kasus pertama terjadi di bank tempat uang dicuri. Pada pandangan pertama, ini adalah hal yang umum: mendapatkan akses ke workstation klien Bank of Russia. Skema semacam itu telah digunakan oleh beberapa kelompok sejak 2013. Namun, terlepas dari pemahaman keseluruhan skema kejahatan, ada satu perbedaan. Di salah satu komputer di jaringan, peretas meluncurkan program worm yang bekerja secara eksklusif di RAM - sekarang fashionable untuk memanggil fileless (program inkorporeal). Dengan demikian, penyerang memperoleh akses ke setiap komputer di semua cabang organisasi. Dengan kata lain, mereka mengatur botnet yang terkendali di dalam bank. Oleh karena itu, sementara setidaknya satu komputer yang terinfeksi dihidupkan, itu akan menginfeksi komputer perusahaan berulang kali.
Sepotong cacing yang ditransmisikan pada saat infeksi dalam lalu lintas jaringan
Ada pertanyaan logis: bagaimana cara membersihkan jaringan? Setelah mencoba metode teknis, kami menyadari bahwa solusi terbaik dalam situasi ini adalah mematikan semua komputer sekaligus di semua cabang bank, yang disetujui bank. Jadi, kami berhasil membersihkan RAM, tidak ada worm di startup. Itu adalah peristiwa unik dalam skala. Dalam situasi normal, kami tidak akan pernah dapat segera menonaktifkan kinerja semua server perusahaan.
Contoh kedua, yang saya anggap sebagai salah satu yang paling menarik selama pekerjaan saya, adalah karya kelompok Cobalt - kelompok peretas yang paling agresif dan paling sukses dalam beberapa tahun terakhir. Dia mulai bekerja di Rusia pada tahun 2016, menyerang bank dan lembaga keuangan di seluruh dunia. Menurut Europol, untuk semua waktu dia bekerja, dia berhasil menarik diri dari rekening korban 1 miliar euro. Dalam pekerjaan mereka, mereka menggunakan alat uji penetrasi Cobalt Strike yang sepenuhnya legal. Dengan mendapatkan akses ke komputer, mereka bahkan dapat mengontrol mesin yang tidak terhubung ke Internet. Itu tidak seperti tindakan kelompok kriminal lain yang kami temui. Anggota kelompok Cobalt terus-menerus mengubah lokasi serangan, menguji alat baru, dan selama hampir 2 tahun tetap sulit dipahami oleh penjahat cyber dan lembaga penegak hukum. Pemimpin kelompok itu ditangkap hanya musim semi ini di Spanyol Alicante. Sekarang dia sedang menunggu persidangan.
Kode Payload Akses VNC yang Diinjeksi
Investigasi adalah proses yang panjang. Kasus terpanjang biasanya dikaitkan dengan kelompok kriminal besar yang terlibat dalam serangan yang ditargetkan, mencuri uang melalui perbankan online atau aplikasi mobile dari lembaga keuangan. Mereka menaruh perhatian besar pada cara menyembunyikan identitas mereka - mereka menggunakan beberapa rantai server untuk mengakses sumber daya, menggunakan enkripsi, terus-menerus menulis ulang program serangan untuk mem-bypass antivirus dan sistem perlindungan perimeter. Orang seperti itu tidak dapat ditemukan dalam satu kejadian. Hanya dalam beberapa kasus materi dikumpulkan untuk bekerja, tetapi bahkan kemudian proses pencariannya memakan waktu lama. Untuk memahami siapa yang berada di balik kejahatan, Anda perlu enam bulan (dan terkadang lebih), biasanya lebih dari satu tahun diperlukan untuk mengumpulkan bukti untuk penahanan dan pencarian.
Tetapi itu terjadi dan sebaliknya. Investigasi tercepat hanya berlangsung satu hari. Kami diberi tahu bahwa para penyerang memperoleh akses ke server bank. Kami tiba di tempat itu dan memilah-milahnya selama beberapa jam sampai kami menyadari bahwa salah satu departemen memerintahkan tes penetrasi, yang lain tidak tahu. Pengujian semacam itu dilakukan untuk mengevaluasi perlindungan infrastruktur perusahaan. Biasanya manajemen tahu tentang mereka, memeriksa bagaimana tim akan mengatasi situasi.
Kadang-kadang dalam pekerjaan kita menabrak dinding, tetapi, dalam pengalaman saya, itu memiliki pintu. Kasus-kasus seperti itu jangan dilepaskan: Anda pulang ke rumah dan di waktu luang Anda mencari jalan keluar dari situasi ini, Anda berpikir bagaimana cara mengungkap masalah tersebut.
Dalam pengalaman saya, ada pemeriksaan di mana perlu untuk membuktikan bahwa penyerang benar-benar terlibat dalam insiden tersebut, karena keberadaan malware saja di komputer tidak cukup untuk memulai kasus pidana. Perlindungan tersangka mengambil keuntungan dari ini, membangun posisi berdasarkan prinsip: program tidak bekerja di komputer atau tersangka tidak terhubung selama insiden. Dalam hal ini, log program yang menyediakan akses jarak jauh dienkripsi untuk beberapa waktu di komputer korban, dan kemudian dikirim ke server penyerang dan dihapus.
Butuh beberapa hari bagi saya untuk mencari tahu bagaimana menyelesaikan masalah: untuk mengembalikan log program dari area bebas dari sistem file sebelum enkripsi (fragmen RAM). Beruntung saat kejadian tidak ditulis ulang. Ini memungkinkan saya untuk membuktikan bahwa selama pencurian uang, penyerang terhubung ke komputer secara paralel dengan korban.
Hukuman
Dalam kelompok peretas, peran didistribusikan dengan jelas dan dipisah, sehingga lebih dari satu orang menghabiskan kejahatan dunia maya dari awal hingga akhir. Hanya pemimpin kelompok yang tahu seluruh skema kejahatan. Dia mempekerjakan asisten untuk tugas-tugas tertentu: mengkonfigurasi server, menulis dan mendistribusikan program, dan melindungi malware dari antivirus. Anak laki-laki biasa yang tertarik pada teknologi informasi, kadang-kadang bahkan tidak curiga bahwa mereka berpartisipasi dalam kelompok kriminal, dapat berubah menjadi orang seperti itu.
Sebagai aturan, seseorang yang tidak dikenal menghubungi seseorang dan menawarkan uang untuk pekerjaan tertentu berdasarkan prinsip: βBisakah Anda mengatur server? "Aku bisa." Kemungkinan besar, penyelenggara tidak akan memberi tahu kontraktor mengapa server ini diperlukan.
Hal lain adalah ketika seseorang mengembangkan program yang memotong data. Dia tahu bahwa itu dapat digunakan untuk tujuan penipuan. Terkadang program seperti itu dibeli dari pihak ketiga dan penulis tidak diberitahu tentang bagaimana penipu menggunakannya: untuk mencegat kata sandi ke akun Vkontakte atau informasi kartu bank. Kisah yang sama adalah dengan seseorang yang "crypts" sebuah program dari antivirus - ia harus sadar bahwa program tersebut tidak dibuat untuk tujuan hukum. Orang yang mendistribusikan program sudah dapat ditarik berdasarkan pasal 273 KUHP Federasi Rusia.
Undang-undang Rusia tentang penuntutan orang-orang yang melakukan kejahatan dunia maya membutuhkan pengembangan lebih lanjut. Sebelumnya, untuk pelanggaran seperti itu mereka paling sering memberikan hukuman bersyarat, meskipun peretas mencuri sejumlah besar uang. Ini tidak membuat takut atau memotivasi orang untuk meninggalkan apa yang mereka lakukan. Sejak 2014, segalanya menjadi lebih baik setelah mereka mengutuk Carberp untuk waktu yang sangat lama.
Karier
Untuk mendapatkan pekerjaan di bidang forensik komputer, seseorang harus memiliki latar belakang teknis. Saya lulus dari Institut Fisika Teknik Moskow, Fakultas Keamanan Informasi, ketika kriminologi belum diajarkan di Rusia. Kami diajari bahasa pemrograman, dasar-dasar administrasi sistem dan perlindungan perimeter. Kami mempelajari cara kerja malware dan cara mengatasi mekanisme perlindungan sistem operasi.
Seseorang dengan pengalaman teknis yang memahami bagaimana sistem operasi bekerja, bagaimana jaringan dibangun, bagaimana data ditransmisikan, dicuri dan dilindungi, memiliki pengetahuan yang cukup untuk mendapatkan pekerjaan di bidang forensik komputer. Asalkan dia menggali ke dalam spesifik daerah. Perusahaan kami memiliki contoh ketika orang datang tanpa pendidikan teknis - itu lebih sulit bagi mereka, karena pada awalnya mereka harus menguasai pengetahuan dasar.
Bagi mereka yang tertarik dengan forensik, saya sarankan membaca File System Forensic Analysis (Brian Carrier), sebuah buku dasar tentang cara kerja sistem file, yang penting untuk area ini. Network Forensics (Sherri Davidoff) dan The Art of Memory Forensics (Michael Hale Ligh) adalah dua buku lagi yang harus dipelajari oleh setiap ilmuwan forensik harga diri. Untuk penelitian tentang perangkat seluler, saya sarankan Praktik Forensik Seluler (Oleg Skulkin).
Untuk memahami apa yang terjadi dalam forensik, Anda perlu membaca artikel dan blog tentang kasus sukses dan pengalaman pribadi. Tetapi tidak perlu menunggu peretas tertangkap berbagi rahasia di Internet - informasi tidak disebarluaskan dalam kasus kriminal. Dan bagaimana orang menganalisis data dapat dibaca pada sumber daya internasional dan Rusia: blog SANS Institute (ada juga kursus tentang forensik, menerbitkan buku dan menulis artikel), ForensicFocus and Habr.
Tetapi hal yang paling menarik dalam pekerjaan saya adalah untuk memecahkan "teka-teki": untuk menemukan cara-cara yang tidak standar dan berpikir di luar kotak untuk menemukan celah dalam trik para penyusup.