Bertemu: Vesta Matveeva - Pakar Keamanan Informasi Grup-IB.
Spesialisasi: investigasi kejahatan dunia maya.
Apa yang diketahui: Vesta secara teratur berpartisipasi tidak hanya dalam penyelidikan, tetapi juga dalam penahanan, interogasi, dan pencarian anggota kelompok peretas. Selama 6 tahun, ia melakukan puluhan pemeriksaan - analisis teknis atas insiden sebagai penjahat, setelah itu ia pindah ke departemen investigasi Grup-IB, berhasil membuka beberapa kasus dan terus bekerja ke arah ini.
Latar belakang kemunculan materi ini: Vesta datang ke Innopolis University atas undangan para guru dan siswa program magister.
Merancang sistem dan jaringan aman sebagai bagian dari kursus CyberCrime dan Forensik (Cybercrime dan komputer forensik). Dia memberi kuliah tentang bagaimana kejahatan dunia maya mengglobal, taktik dan alat apa yang digunakan untuk menyerang organisasi keuangan dan industri, dan metode apa yang digunakan oleh penjahat dunia maya untuk mencari penjahat dunia maya. Orang-orang dari departemen hubungan masyarakat Innopolis bertemu dengan Vesta dan mengajukan banyak pertanyaan. Yang paling menarik adalah kami telah menyertakan kutipan dalam materi ini.
Pekerjaan saya bukan hanya pilihan yang menguntungkan majikan, tapi juga pilihan moral yang sesuai dengan nilai-nilai kehidupan dan gaya hidup saya. Kami memiliki tujuan global - kami memerangi kejahatan dunia maya, membantu bisnis dan pengguna individu yang menjadi korban serangan dunia maya menemukan orang-orang di belakangnya dan membawa para penyerang ke dermaga. Kami bekerja dengan insiden seperti itu setiap hari, kami tahu bagaimana penyerang berpikir, metode apa yang ia gunakan, taktik apa yang ia pilih dan alat apa yang ia gunakan untuk meretas. Skala konsekuensi serangan tergantung pada kualitas pekerjaan kami. Rekan-rekan saya dan saya menghabiskan banyak waktu di tempat kerja: kami meneliti, belajar, belajar, membaca, berbagi pengalaman.
Pendidikan mandiri berkelanjutan, peningkatan alat, dan pemutakhiran pengetahuan adalah satu-satunya cara pasti untuk dapat menghadapi penjahat dan menginvestigasi bahkan kejahatan komputer yang paling kompleks.
Forensik adalah sprint, dan investigasi adalah maraton. Pakar Laboratorium Forensik Komputer Group-IB terlibat dalam merespons insiden keamanan informasi real-time: mereka sering harus dengan cepat pergi ke TKP, memulihkan sejarah serangan, dan mencari data yang disusupi. Seringkali hari kerja tidak terstandarisasi: selama suatu insiden, Anda tidak dapat meninggalkan semuanya dan pulang, karena waktu kerja sudah berakhir. Penyerang tidak memiliki jadwal kerja atau akhir pekan: waktu idle di pihak kami bisa berakibat fatal bagi perusahaan yang terkena dampak. Skema kerja dalam kerangka langkah-langkah pencarian operasional serupa, misalnya, ketika kita berpartisipasi dalam pencarian, memeriksa informasi drive, gambar, server dari sudut pandang teknis. Semuanya berakhir: jika Anda perlu bekerja sehari, kami bekerja sehari, jika beberapa hari, itu berarti beberapa. Tetapi sisa waktu, ketika Anda tidak perlu "menyimpan" bank bersyarat, kami melakukan penelitian data, melakukan tinjauan ahli dan bekerja seperti biasa, seperti semua orang normal. Ya, atau hampir sama.
Setelah bekerja di laboratorium komputer-forensik Grup-IB selama 6 tahun, saya ingin mencoba sendiri di bidang investigasi. Berikut ini adalah kekhasan pekerjaan: lebih banyak analitik, tugas yang lebih besar. Tujuan investigasi adalah untuk mengidentifikasi kelompok kriminal yang berada di belakang serangan, infrastrukturnya. Karena kemungkinan anonimisasi di Internet, kejahatan komputer tidak diselidiki dengan cepat. Kebetulan kami ditunda ketika sangat dibutuhkan untuk membantu pihak yang terluka. Misalnya, seorang anak meninggalkan rumah dan kami diminta oleh orang tua atau lembaga penegak hukum untuk menganalisis aktivitasnya di jejaring sosial, forum, untuk memahami dengan siapa ia berbicara, siapa yang dapat mengetahui tentang pelarian, tentang tempat yang seharusnya ia kunjungi saat ini. Contoh lain: ada serangan DDoS yang kuat pada sumber daya yang terkait dengan e-commerce. Satu jam downtime dari situs semacam itu dapat menelan biaya ratusan ribu perusahaan, dan terkadang jutaan rubel. Kita diharuskan untuk segera membangun sumber serangan dan memblokirnya.
Investigasi adalah proses yang panjang. Kasus terpanjang biasanya dikaitkan dengan kelompok kriminal besar yang terlibat dalam serangan yang ditargetkan, mencuri uang melalui perbankan online atau aplikasi mobile dari lembaga keuangan. Mereka menaruh perhatian besar pada cara menyembunyikan identitas mereka - mereka menggunakan beberapa rantai server untuk mengakses sumber daya, menggunakan enkripsi, dan terus-menerus menulis ulang program untuk serangan. Orang seperti itu tidak dapat ditemukan dalam satu kejadian. Hanya dalam beberapa kasus materi dikumpulkan untuk bekerja, tetapi bahkan kemudian proses pencariannya memakan waktu lama. Untuk memahami siapa yang berada di balik kejahatan, biasanya membutuhkan waktu sekitar enam bulan (kadang-kadang lebih lama), dan untuk waktu yang lama (biasanya bertahun-tahun), perlu untuk mengumpulkan bukti untuk penahanan dan pencarian.
Penahanan anggota kelompok penjahat peretas Cron adalah hasil kerja sama Kementerian Dalam Negeri dan Grup-IB.
Investigasi tercepat berlangsung satu hari. Kami diberi tahu bahwa para penyerang memperoleh akses ke server bank. Kami pergi ke tempat itu, menyelesaikannya selama beberapa jam sampai kami menyadari bahwa tes penetrasi dilakukan di bank. Pengujian semacam itu dilakukan untuk mengevaluasi perlindungan infrastruktur perusahaan. Biasanya manajemen tahu tentang mereka, memeriksa bagaimana tim akan mengatasi situasi. Lebih jauh, tidak sulit untuk memahami bahwa audit inilah yang menyebabkan kami menghubungi kami.
Setiap investigasi unik. Mulai dari momen teknis ketika kami mencoba memahami layanan yang digunakan, untuk mengidentifikasi alat untuk menilai tingkat teknis penyerang, dan berakhir dengan petunjuk berdasarkan alamat IP, nomor telepon, surat, analisis jejaring sosial, forum, iklan pada sumber daya peretas publik dan tersembunyi di Darknet. Tidak ada template untuk mengungkap case. Itu selalu merupakan analitik dari sejumlah besar sumber informasi. Misalnya, dalam insiden yang melibatkan perangkat lunak berbahaya, Anda harus memahami cara kerjanya, ke mana, siapa yang mendaftarkan server ini, siapa yang mendistribusikan program dan bagaimana (perangkat yang terinfeksi).
Pendekatan dasar dalam pekerjaan kami tidak berubah, tetapi alat dan apa yang kami jelajahi berubah. Data yang sama dalam sistem operasi bervariasi dari versi ke versi: struktur, format, pendekatan. Sebagai contoh, jika sebelum semua orang menggunakan ICQ, korespondensi yang disimpan dalam bersih dan, selama pemeriksaan disk, itu dapat diakses, sekarang banyak pembawa pesan menggunakan enkripsi. Ini sangat mempersulit penerimaan apa yang disebut “bukti digital”.
Kadang-kadang dalam pekerjaan kita menabrak dinding, tetapi, dalam pengalaman saya, itu memiliki pintu. Ada permintaan yang solusinya tidak jelas mengingat fitur teknisnya. Kasus-kasus seperti itu jangan dilepaskan: Anda pulang ke rumah dan di waktu luang Anda mencari jalan keluar dari situasi ini, Anda berpikir bagaimana cara mengungkap masalah tersebut.
Dalam pengalaman saya, ada pemeriksaan di mana perlu untuk membuktikan bahwa penyerang benar-benar terlibat dalam insiden tersebut, karena keberadaan malware saja di komputer tidak cukup untuk memulai kasus pidana. Perlindungan tersangka mengambil keuntungan dari ini, membangun posisi berdasarkan prinsip: program tidak bekerja di komputer atau tersangka tidak terhubung selama insiden. Dalam hal ini, log program yang menyediakan akses jarak jauh dienkripsi untuk beberapa waktu di komputer korban, dan kemudian dikirim ke server penyerang dan dihapus.
Butuh beberapa hari bagi saya untuk mencari tahu bagaimana menyelesaikan masalah: untuk mengembalikan log program dari area bebas dari sistem file sebelum enkripsi (fragmen RAM). Beruntung saat kejadian tidak ditulis ulang. Ini memungkinkan saya untuk membuktikan bahwa selama pencurian uang, penyerang terhubung ke komputer secara paralel dengan korban.
"Peretas" adalah gambar kolektif. Berbicara tentang kejahatan, istilah ini digunakan untuk kesederhanaan, tetapi sebenarnya itu adalah nama semua spesialis yang tahu bagaimana cara menghindari sistem keamanan komputer. Penjahat paling serius di daerah ini dibagi menjadi beberapa kategori:
Peretas yang termotivasi secara finansial. Tujuan mereka adalah uang. Mereka mencuri detail akses dari bank Internet, data kartu pembayaran atau menyerang server organisasi tempat transaksi pembayaran dilakukan;
Peretas negara. Orang-orang ini melakukan pengawasan dalam organisasi industri dan keuangan, mereka sering pergi tanpa disadari dan mencuri dokumen, korespondensi, rahasia, teknologi. Diyakini bahwa kelompok-kelompok tersebut didukung oleh negara-negara: Grup Lazarus, Kelompok Persamaan, Energi Hitam, Beruang Mewah. Ada kasus ketika kelompok tersebut melakukan pengawasan di perusahaan energi, mencoba untuk mendapatkan akses ke manajemen peralatan.
Pada 2010, Grup Persamaan menginfeksi komputer di Iran untuk mencegah produksi senjata nuklir. Ini adalah kasus serangan industri pertama yang diketahui ketika penyerang memperoleh akses ke peralatan Siemens, yang memengaruhi proses. Energetic Bear dan Black Energy adalah dua kelompok lain yang bekerja di bidang serangan terhadap fasilitas industri. Yang terakhir menciptakan alat Industroyer yang memungkinkan Anda untuk mengontrol protokol yang berkomunikasi peralatan dan mengirim perintah kepada mereka. "Prestasi" profil tinggi mereka adalah pemadaman listrik di Ukraina, ketika di beberapa daerah negara mereka mematikan listrik selama 75 menit.
Jumlah pencurian terbesar di bank Rusia, dalam penyelidikan yang saya ikuti sebagai spesialis teknis, berjumlah 700 juta rubel. Pertama, uang digunakan untuk membayar semua bagian dari kelompok kriminal, menyediakan, mendukung layanan dan infrastruktur. Anggota kunci kelompok menghabiskan sisanya untuk memastikan keselamatan mereka dan kadang-kadang barang mewah - mobil, kapal pesiar, apartemen. Pemimpin kelompok selalu menyadari risiko apa yang dia lakukan, tahu bahwa mereka dapat mendatanginya dengan pencarian kapan saja, oleh karena itu, saya pikir, dia tidak memiliki perasaan aman sepenuhnya.
Kesulitannya menarik. Ada penyusup yang dengan hati-hati mengerjakan implementasi teknis pencurian. Mereka mempertimbangkan bagaimana mereka akan dicari, bagaimana mekanisme serangan bekerja, mengubah metode penetrasi. Hal-hal seperti itu sangat menarik bagi para spesialis.
Satu kasus terjadi di bank tempat uang dicuri. Pada pandangan pertama, ini biasanya terjadi: mendapatkan akses ke AWS dari CBD (stasiun kerja otomatis dari klien Bank Rusia). Skema ini telah digunakan oleh beberapa kelompok sejak 2013. Keunikan dari kasus ini adalah bahwa penyerang memiliki akses ke setiap komputer di dalam organisasi, termasuk di cabang-cabang. Untuk melakukan ini, pada satu komputer di jaringan, mereka meluncurkan worm komputer yang bekerja secara eksklusif di RAM komputer. Apa yang sekarang modis untuk disebut fileless (program inkorporeal). Dengan kata lain, mereka mengatur botnet yang terkendali di dalam bank. Selama setidaknya satu komputer yang terinfeksi dihidupkan, ia akan menginfeksi komputer perusahaan berulang kali.
Ada pertanyaan logis: bagaimana cara membersihkan jaringan? Setelah mencoba metode teknis, kami menyadari bahwa solusi terbaik dalam situasi ini adalah mematikan semua komputer sekaligus di semua cabang bank, yang disetujui bank. Jadi, kami berhasil membersihkan RAM, tidak ada worm di startup. Itu adalah peristiwa unik dalam skala. Dalam situasi normal, kami tidak akan pernah dapat segera memutuskan semua server perusahaan.
Sepotong cacing yang ditransmisikan pada saat infeksi dalam lalu lintas jaringanSemua peretas salah. Anda hanya perlu menunggu saat ini. Kasus kelompok Cobalt - kelompok peretas paling agresif dan paling sukses dalam beberapa tahun terakhir - saya anggap salah satu yang paling menarik selama bekerja. Dia mulai beroperasi di Rusia pada 2016, menyerang bank dan lembaga keuangan di seluruh dunia dan mencuri sejumlah besar uang. Menurut Europol, untuk semua waktu dia bekerja, dia berhasil menarik diri dari rekening korbannya sekitar 1 miliar euro. Cobalt adalah contoh serangan yang ditargetkan. Dalam pekerjaan mereka, mereka menggunakan alat uji penetrasi Cobalt Strike yang sepenuhnya legal. Fitur menarik dari payload yang dipasang oleh penjahat cyber ketika mendapatkan akses ke komputer di suatu organisasi adalah kemampuan untuk mengelola komputer di jaringan, bahkan yang tidak terhubung ke Internet. Itu tidak seperti tindakan kelompok kriminal lain yang kami temui. Cobalt terus-menerus mengubah lokasi serangan mereka, menguji alat-alat baru dan selama hampir 2 tahun mereka sulit ditangkap oleh penjahat cyber dan lembaga penegak hukum. Pemimpin Cobalt ditangkap musim semi ini di kota Alicante Spanyol. Sekarang dia sedang menunggu persidangan.
Kode Payload Akses VNC yang DiinjeksiDalam pencarian dan penahanan tersangka, kejutan itu penting. Peretas seringkali cerdas secara teknis, dan jika mereka tidak terkejut, mereka berhasil mengaktifkan perlindungan data pada perangkat (misalnya, enkripsi), yang bisa sulit untuk dihindarkan, atau, sebaliknya, mencoba menghancurkan data. Biasanya, penahanan terjadi lebih awal, sebelum seseorang belum meninggalkan rumah: pukul 6-7 pagi, atau sebaliknya, ketika ia baru saja bangun dan menyalakan komputer - tergantung pada spesifikasi pekerjaannya. Jika pencarian dilakukan di perusahaan, maka gugus tugas datang ke pembukaan kantor. Metode penahanan tergantung pada lembaga penegakan hukum: di pusat-pusat bisnis, petugas penegak hukum kadang-kadang hanya perlu menunjukkan ID resmi untuk diizinkan masuk ke perusahaan tertentu. Penahanan seseorang adalah prosedur yang lebih rumit, karena tersangka harus dipaksa untuk membuka pintu, misalnya, untuk memperkenalkan dirinya sebagai kurir. Dalam beberapa kasus, untuk menghindari kerusakan data, mereka menembus apartemen secara lebih radikal: dari atap kabel, memecahkan jendela.
Hanya pemimpin kelompok peretas yang mengetahui seluruh skema kejahatan yang akan terjadi. Dalam kelompok peretas, peran didistribusikan dengan jelas dan dipisah, sehingga lebih dari satu orang menghabiskan kejahatan dunia maya dari awal hingga akhir. Pemimpin grup mempekerjakan pelaksana tugas-tugas tertentu: mengkonfigurasi server, menulis dan mendistribusikan program, dan melindungi malware dari antivirus. Anak laki-laki biasa yang tertarik pada teknologi informasi dan kadang-kadang bahkan tidak curiga bahwa mereka berpartisipasi dalam kelompok kriminal dapat berubah menjadi orang seperti itu.
Sebagai aturan, seseorang yang tidak dikenal menghubungi seseorang dan menawarkan uang untuk pekerjaan tertentu berdasarkan prinsip: “Bisakah Anda mengatur server? "Aku bisa." Kemungkinan besar, penyelenggara tidak akan memberi tahu kontraktor untuk apa server ini.
Hal lain adalah ketika seseorang mengembangkan program yang memotong data, dan pada saat yang sama tahu bahwa itu dapat digunakan untuk tujuan penipuan. Terkadang program seperti itu dibeli dari pihak ketiga dan penulis tidak diberitahu tentang bagaimana penipu menggunakannya: untuk mencegat kata sandi untuk akun VKontakte atau informasi kartu bank. Kisah yang sama adalah dengan seseorang yang "crypts" sebuah program dari antivirus - ia harus sadar bahwa program tersebut tidak dibuat untuk tujuan hukum. Seseorang yang menyebarkan program jahat sudah dapat ditarik berdasarkan pasal 273 KUHP Federasi Rusia.
Di Rusia, undang-undang tentang penuntutan pidana terhadap orang yang melakukan kejahatan dunia maya membutuhkan pengembangan lebih lanjut. Sebelumnya, untuk pelanggaran seperti itu mereka paling sering memberikan hukuman bersyarat, meskipun peretas mencuri sejumlah besar uang. Ini tidak membuat takut atau memotivasi orang untuk meninggalkan apa yang mereka lakukan. Sejak 2014, segalanya menjadi lebih baik setelah mereka menghukum anggota kelompok Carberp untuk waktu yang sangat lama.
Karier dalam penyelidikan kejahatan dunia maya atau komputer adalah karier otodidak. Untuk mendapatkan pekerjaan di bidang forensik komputer, seseorang harus memiliki latar belakang teknis. Saya lulus dari Institut Fisika Teknik Moskow, Fakultas Keamanan Informasi, ketika kriminologi belum diajarkan di Rusia. Kami diajari dasar-dasar administrasi sistem, perlindungan perimeter, alat keamanan, dan prinsip operasi mereka. Kami juga mempelajari bahasa pemrograman, cara kerja malware, cara mengatasi mekanisme perlindungan sistem operasi.
Seseorang dengan pengalaman teknis yang memahami bagaimana sistem operasi bekerja, bagaimana jaringan dibangun, bagaimana data ditransmisikan, dicuri dan dilindungi, memiliki pengetahuan yang cukup untuk mendapatkan pekerjaan di bidang forensik komputer. Asalkan dia menggali ke dalam spesifik daerah. Perusahaan kami memiliki contoh ketika orang datang tanpa pendidikan teknis - itu lebih sulit bagi mereka, karena pada awalnya mereka harus menguasai pengetahuan dasar.
Bagi mereka yang tertarik dengan forensik, saya sarankan membaca File System Forensic Analysis (Brian Carrier), sebuah buku dasar tentang cara kerja sistem file, yang penting untuk area ini. Network Forensics (Sherri Davidoff) dan The Art of Memory Forensics (Michael Hale Ligh) adalah dua buku lagi yang perlu dipelajari oleh setiap ilmuwan forensik yang menghargai diri sendiri untuk berpartisipasi dalam menyelidiki kejahatan dunia maya kontemporer. Untuk penelitian tentang perangkat seluler, saya dapat menyarankan Praktik Forensik Seluler (Oleg Skulkin).
Untuk memahami apa yang terjadi dalam forensik, Anda perlu membaca artikel dan blog tematik tentang kasus yang berhasil dan pengalaman pribadi. Tetapi tidak perlu menunggu para peretas tertangkap basah membagikan rahasia di Internet - kasus-kasus ini diklasifikasikan sebagai bagian dari kasus kriminal. Dan bagaimana orang menganalisis data dapat dibaca pada sumber daya internasional dan Rusia: blog SANS Institute (ada juga kursus tentang forensik, menerbitkan buku dan menulis artikel), ForensicFocus, dan Habr.Tetapi hal yang paling menarik dalam pekerjaan saya adalah untuk memecahkan "teka-teki": untuk menemukan cara-cara yang tidak standar dan berpikir di luar kotak untuk menemukan celah dalam trik para penyusup.