Vesta Matveeva é especialista em segurança da informação do Group-IB,
reconhecida pela Business Insider UK como uma das 7 organizações globais mais influentes do setor de segurança cibernética. Durante 6 anos, ela conduziu dezenas de exames - análise técnica de incidentes como criminalista, após o que se mudou para o departamento de investigação e abriu vários casos.
Vesta chegou à Universidade de Innopolis a convite de professores e alunos do programa de mestrado,
projetando sistemas e redes seguros como parte do curso CyberCrime e Forense. O convidado fez uma palestra sobre como o cibercrime está se globalizando, quais táticas e ferramentas são usadas para atacar organizações financeiras e industriais e quais métodos são usados pelos cibercriminosos para combater hackers.
Trabalho
No grupo IB, você não pode simplesmente trabalhar dos 10 aos 19. Temos um objetivo global - a luta contra o crime. Ajudamos empresas, governo e outras vítimas de ataques cibernéticos a encontrar quem está por trás do crime e a trazer intrusos ao banco dos réus. Trabalhando com esses incidentes todos os dias, aprendemos a entender como os atacantes pensam, quais métodos, táticas e ferramentas de hackers são usados. Essa experiência, juntamente com o conhecimento, determina a qualidade da resposta a incidentes de segurança da informação e a magnitude das consequências do ataque. Portanto, meus colegas e eu passamos muito tempo no trabalho: estudamos, lemos, estudamos, pesquisamos.
Se compararmos o laboratório forense de computadores onde trabalhei antes e o departamento de investigação para onde me mudei, o dia de trabalho forense será menos normalizado. Os especialistas trabalham com incidentes que ocorrem em tempo real: eles vão rapidamente para a cena do crime, restauram o histórico de ataques, procuram dados comprometidos. Você não pode deixar tudo e ir para casa, porque o tempo de trabalho acabou. Um esquema semelhante funciona durante eventos de investigação, quando, por exemplo, participamos de uma pesquisa, examinando as informações de unidades, imagens e servidores do ponto de vista técnico. Aqui tudo termina: se você precisa trabalhar por dia, trabalhamos por dia, se alguns dias, isso significa vários dias. Mas o resto do tempo, quando você não precisa salvar um banco condicional, trabalhamos como de costume, como todas as pessoas.
Tendo trabalhado em forense por 6 anos, eu queria me testar no campo da investigação. Aqui, outras especificidades do trabalho - crimes de computador não são investigados rapidamente. Mas aqui, é claro, nos atrasamos quando é necessário ajudar rapidamente a parte lesada. Por exemplo, pais ou órgãos policiais entram em contato conosco se a criança saiu de casa para analisar sua atividade em redes sociais e fóruns, a fim de entender com quem ele conversou, quem pode saber sobre a fuga e sua suposta localização. Outro exemplo são os poderosos ataques DDoS aos recursos de comércio eletrônico. Uma hora de inatividade para esse site pode custar a uma empresa centenas de milhares ou milhões de rublos. Portanto, precisamos estabelecer rapidamente as fontes de ataque e bloqueá-lo.
Mas cada investigação é única. A partir dos momentos técnicos em que estamos tentando entender os serviços utilizados, identificar ferramentas para avaliar o nível técnico de um invasor e terminar com dicas de endereços IP, números de telefone e correio, análise de redes sociais, fóruns e anúncios sobre recursos públicos e ocultos na Darknet. Não há modelo para revelar um caso. Este é sempre o estudo de um grande número de fontes. Por exemplo, em incidentes envolvendo malware, você precisa entender como ele funciona, para onde vai, quem registrou esses servidores, quem infecta dispositivos e como.
No entanto, as abordagens básicas em nosso trabalho não mudam, mas as ferramentas e o que estamos pesquisando mudam. Até os dados nos sistemas operacionais mudam de versão para versão: estrutura, formato, abordagens. Se antes todo mundo usava o ICQ, cuja correspondência era armazenada de forma clara e durante o exame do disco podia ser acessado, agora muitos mensageiros usam criptografia. Isso complica muito o recebimento das chamadas evidências digitais.
Crime
Hacker é uma imagem coletiva. Por falar em crimes, esse termo é usado para simplificar o vocabulário, mas, na verdade, esse é o nome de todos os especialistas que sabem como burlar os sistemas de segurança de computadores. Os criminosos mais graves nessa área estão divididos em várias categorias:
- Hackers motivados financeiramente. O objetivo é dinheiro. Eles roubam detalhes de acesso do banco da Internet, dados de cartões de pagamento ou atacam os servidores de organizações nas quais as transações de pagamento são realizadas;
- Hackers estaduais. Essas pessoas realizam vigilância em organizações industriais e financeiras, geralmente passam despercebidas e roubam documentos, correspondência, segredos, tecnologias. Acredita-se que esses grupos sejam apoiados pelos estados: Grupo Lázaro, Grupo Equação, Energia Negra, Urso Fantasia. Há casos em que esses grupos realizam vigilância em empresas de energia, tentando obter o controle dos equipamentos.
Em 2010, o Equation Group infectou computadores no Irã para impedir a produção de armas nucleares. Este foi o primeiro caso conhecido de ataque industrial quando os atacantes obtiveram acesso aos equipamentos da Siemens, afetando o processo. Urso Energético e Energia Negra são outros dois grupos que trabalham no campo de ataques a instalações industriais. Este último criou uma ferramenta Industroyer que permite controlar os protocolos sobre os quais o equipamento se comunica e enviar comandos a eles. Sua conquista é um apagão na Ucrânia, quando em algumas regiões do país a eletricidade foi cortada por 75 minutos.
A maior quantidade de roubo, na investigação da qual participei como especialista técnico, foi de 700 milhões de rublos. Primeiro, o dinheiro é pago por todas as partes do grupo criminoso, fornecendo, fornecendo serviços e infraestrutura. O restante dos membros-chave do grupo gasta na organização de seus bens de segurança e luxo - carros, iates, apartamentos. O líder do grupo está sempre ciente dos riscos do que está fazendo, sabe que eles podem procurá-lo a qualquer momento e, portanto, acho que ele nunca tem um sentimento de total segurança.
Nas buscas e na detenção de um suspeito, a surpresa é importante. Os hackers são versados tecnicamente e, se não forem pegos de surpresa, conseguem ativar a proteção de dados em dispositivos (por exemplo, criptografia), o que é difícil de burlar ou até mesmo destruir dados.
Normalmente, a detenção ocorre mais cedo, antes que uma pessoa ainda precise sair de casa: às 6-7 da manhã, ou quando temos certeza de que acabou de acordar e ligar o computador, o que depende das especificidades de seu trabalho. Se a busca ocorrer na empresa, a força-tarefa chegará à abertura do escritório. Os métodos de detenção dependem da imaginação das agências policiais: trabalhar em centros comerciais é fácil - basta mostrar que você está com a polícia e precisa ir a uma determinada empresa. A detenção de um indivíduo é um procedimento mais complicado, porque o suspeito precisa ser encorajado a abrir a porta, por exemplo, para se apresentar como mensageiro. Uma vez na minha prática, as agências policiais entraram no apartamento de um atacante de um telhado sobre cabos, quebrando janelas.
Investigações
Existem invasores que estão trabalhando com cuidado na implementação técnica do roubo. Eles levam em consideração como serão pesquisados, como o mecanismo de ataque funciona, alterando os métodos de penetração. Casos tão complexos são de grande interesse para nós especialistas e, na minha prática, dois desses casos se destacam.
O primeiro caso ocorreu em um banco do qual dinheiro foi roubado. À primeira vista, isso é algo comum: obter acesso a uma estação de trabalho de um cliente do Banco da Rússia. Esse esquema tem sido usado por vários grupos desde 2013. Mas, apesar da compreensão de todo o esquema criminal, ele tinha uma diferença. Em um dos computadores da rede, os hackers lançaram um programa de worms que trabalhava exclusivamente em RAM - agora está na moda chamar de sem arquivo (um programa incorpóreo). Assim, os invasores obtiveram acesso a todos os computadores em todos os ramos da organização. Em outras palavras, eles criaram uma botnet controlada dentro do banco. Portanto, enquanto pelo menos um computador infectado estiver ligado, ele infectará as máquinas da empresa repetidamente.
Um fragmento de um worm transmitido no momento da infecção no tráfego de rede
Havia uma pergunta lógica: como limpar a rede? Tendo tentado métodos técnicos, percebemos que a melhor solução nessa situação é desligar todos os computadores de uma só vez em todas as agências do banco, com as quais o banco concordou. Assim, conseguimos limpar a RAM; não havia worm na inicialização. Foi um evento único em escala. Em uma situação normal, nunca conseguiríamos desativar imediatamente o desempenho de todos os servidores da empresa.
O segundo exemplo, que considero um dos mais interessantes durante o meu trabalho, é o trabalho do grupo Cobalt - o grupo de hackers mais agressivo e bem-sucedido dos últimos anos. Ela começou a trabalhar na Rússia em 2016, atacando bancos e instituições financeiras em todo o mundo. Segundo a Europol, durante todo o tempo em que trabalhou, ela conseguiu retirar das contas das vítimas 1 bilhão de euros. Em seu trabalho, eles usaram uma ferramenta de teste de penetração do Cobalt Strike completamente legal. Ao obter acesso aos computadores, eles poderiam controlar máquinas que não estão conectadas à Internet. Não foi como as ações de outros grupos criminosos que encontramos. Os membros do grupo Cobalt mudavam constantemente os locais de ataque, testavam novas ferramentas e, por quase dois anos, permaneceram ilusórios para cibercriminosos e agências policiais. O líder do grupo foi preso apenas nesta primavera em Alicante espanhola. Agora ele está aguardando julgamento.
Código de carga útil de acesso VNC injetado
A investigação é um processo demorado. Os casos mais longos geralmente são associados a grandes grupos criminosos que se envolvem em ataques direcionados, roubando dinheiro por meio de serviços bancários on-line ou aplicativos móveis de instituições financeiras. Eles prestam muita atenção em como ocultar suas identidades - eles usam várias cadeias de servidores para acessar recursos, usar criptografia, reescrever constantemente programas de ataque para ignorar antivírus e sistemas de proteção de perímetro. Essas pessoas não podem ser encontradas em um incidente. Somente em alguns casos o material está sendo coletado com o qual trabalhar, mas mesmo assim o processo de pesquisa leva muito tempo. Para entender quem está por trás do crime, você precisa de seis meses (e às vezes mais), geralmente são necessários mais de um ano para reunir evidências para detenção e busca.
Mas isso acontece e vice-versa. A investigação mais rápida durou apenas um dia. Fomos informados de que os atacantes obtiveram acesso aos servidores do banco. Chegamos ao local e resolvemos o problema por várias horas até percebermos que um dos departamentos solicitou um teste de penetração, que os outros desconheciam. Esses testes são feitos para avaliar a proteção da infraestrutura de uma empresa. Geralmente, a gerência sabe sobre eles, verificando como a equipe resolverá a situação.
Às vezes, no trabalho, colidimos com uma parede, mas, na minha experiência, ela tem uma porta. Esses casos não se soltam: você chega em casa e, no seu tempo livre, procura uma saída da situação, pensa em desvendar o assunto.
Na minha experiência, houve um exame no qual foi necessário provar que o atacante estava realmente envolvido no incidente, porque a mera presença de malware no computador não é suficiente para iniciar um processo criminal. A proteção dos suspeitos tira vantagem disso, construindo uma posição sobre o princípio: o programa não funcionou no computador ou o suspeito não se conectou a ele durante o incidente. Nesse caso, os logs do programa que fornece acesso remoto foram criptografados por algum tempo no computador da vítima e enviados ao servidor do invasor e excluídos.
Levei vários dias para descobrir como resolver o problema: restaurar os logs do programa a partir da área livre do sistema de arquivos antes da criptografia (fragmentos de RAM). Foi uma sorte que o momento do incidente também não tenha sido reescrito. Isso me permitiu provar que, durante o roubo de dinheiro, o atacante se conectou ao computador em paralelo com a vítima.
Punição
Nos grupos de hackers, as funções são claramente distribuídas e divididas, para que mais de uma pessoa gaste crimes cibernéticos do início ao fim. Somente o líder do grupo conhece todo o esquema do crime. Ele contrata assistentes para determinadas tarefas: configurar o servidor, escrever e distribuir o programa e proteger malware contra antivírus. Garotos comuns que estão interessados em tecnologia da informação, às vezes nem suspeitam que estão participando de um grupo criminoso, podem se tornar essas pessoas.
Como regra, uma pessoa anônima entra em contato com uma pessoa e oferece dinheiro para um determinado trabalho com base no princípio: “Você pode configurar um servidor? "Eu posso." Provavelmente, o organizador não dirá ao contratado por que esse servidor é necessário.
Outra coisa é quando uma pessoa desenvolve um programa que intercepta dados. Ele sabe que pode ser usado para fins fraudulentos. Às vezes, esses programas são comprados de terceiros e o autor não é informado sobre como os fraudadores o usam: para interceptar a senha da conta Vkontakte ou das informações do cartão bancário. A mesma história ocorre com uma pessoa que "criptografa" um programa de antivírus - ele deve estar ciente de que esses programas não são criados para fins legais. A pessoa que distribui o programa já pode ser atraída pelo artigo 273 do Código Penal da Federação Russa.
A legislação russa sobre a acusação de pessoas que cometeram crimes cibernéticos exige um maior desenvolvimento. Anteriormente, por tais ofensas, eles geralmente davam sentenças condicionais, mesmo que os hackers roubassem quantias significativas de dinheiro. Isso não assustou ou motivou as pessoas a abandonarem o que estão fazendo. Desde 2014, as coisas melhoraram depois que condenaram Carberp por longos períodos.
Carreira profissional
Para conseguir um emprego em computação forense, uma pessoa deve ter formação técnica. Eu me formei no Instituto de Física de Engenharia de Moscou, Faculdade de Segurança da Informação, quando a criminologia ainda não era ensinada na Rússia. Aprendemos linguagens de programação, noções básicas de administração de sistemas e proteção de perímetro. Estudamos como o malware funciona e como superar os mecanismos de proteção dos sistemas operacionais.
Uma pessoa com experiência técnica que entende como os sistemas operacionais funcionam, como uma rede é construída, como os dados são transmitidos, roubados e protegidos, tem conhecimento suficiente para conseguir um emprego no campo da computação forense. Desde que ele investiga as especificidades da área. Nossa empresa tem exemplos de quando as pessoas vieram sem educação técnica - era mais difícil para elas, porque no início elas precisavam dominar o conhecimento básico.
Para aqueles interessados em análise forense, recomendo a leitura de Análise Forense de Sistemas de Arquivos (Brian Carrier), um livro básico sobre como os sistemas de arquivos funcionam, o que é importante para a área. Network Forensics (Sherri Davidoff) e The Art of Memory Forensics (Michael Hale Ligh) são mais dois livros que todo cientista forense que se preze deve estudar. Para pesquisas em dispositivos móveis, recomendo o Practical Mobile Forensics (Oleg Skulkin).
Para entender o que acontece na investigação forense, você precisa ler artigos e blogs sobre casos de sucesso e experiência pessoal. Mas não há necessidade de esperar que os hackers sejam pegos compartilhando segredos na Internet - as informações não são disseminadas em casos criminais. E como as pessoas analisam dados podem ser lidas sobre recursos internacionais e russos: o blog do SANS Institute (também há um curso sobre forense, publicação de livros e redação de artigos), ForensicFocus e Habr.
Mas a coisa mais interessante no meu trabalho é resolver o “enigma”: inventar maneiras fora do padrão e pensar fora da caixa para encontrar uma lacuna nos truques dos intrusos.