Conheça: Vesta Matveeva - Especialista em Segurança da Informação do Grupo-IB.
Especialização: investigação de crimes cibernéticos.
O que é conhecido: Vesta participa regularmente não apenas em investigações, mas também em detenções, interrogatórios e pesquisas de membros de grupos de hackers. Durante 6 anos, ela conduziu dezenas de exames - análise técnica de incidentes como criminalista, após o que se mudou para o departamento de investigação do Grupo-IB, abriu com sucesso vários casos e continua trabalhando nessa direção.
Antecedentes da aparência deste material: Vesta veio à Universidade de Innopolis a convite de professores e alunos do programa de mestrado.
Projeto de sistemas e redes seguros como parte do curso de CyberCrime e Forense (
Cybercrime e computação forense). Ela deu uma palestra sobre como o cibercrime está se globalizando, quais táticas e ferramentas são usadas para atacar organizações financeiras e industriais e quais métodos são usados pelos cibercriminosos para procurar por cibercriminosos. Os caras do departamento de relações públicas de Innopolis se encontraram com Vesta e fizeram muitas perguntas. O mais interessante é que incluímos citações neste material.
Meu trabalho não é apenas uma escolha a favor do empregador, é uma escolha moral que corresponde aos valores da minha vida, estilo de vida. Temos um objetivo global - estamos combatendo o cibercrime, ajudando empresas e usuários individuais que são vítimas de um ataque cibernético a encontrar aqueles por trás dele e levar os atacantes ao banco dos réus. Trabalhamos com esses incidentes todos os dias, sabemos como o atacante pensa, quais métodos ele usa, quais táticas ele escolhe e quais ferramentas ele usa para invadir. A escala das consequências do ataque depende da qualidade do nosso trabalho. Meus colegas e eu passamos muito tempo no trabalho: pesquisamos, estudamos, estudamos, lemos, compartilhamos experiências.
A auto-educação contínua, o aprimoramento de ferramentas e a atualização do conhecimento é a única maneira de enfrentar os criminosos e investigar até os mais complexos crimes de informática.
Forense é um sprint, e as investigações são uma maratona. Os especialistas do Laboratório de Computação Forense do Grupo IB estão envolvidos na resposta a incidentes de segurança da informação em tempo real: geralmente precisam ir rapidamente à cena do crime, restaurar o histórico de ataques e procurar dados comprometidos. Geralmente, o dia de trabalho não é padronizado: durante um incidente, você não pode deixar tudo e voltar para casa, porque o tempo de trabalho acabou. Os invasores não têm horário de trabalho ou fim de semana: o tempo ocioso da nossa parte pode ser fatal para a empresa afetada. O esquema de trabalho no âmbito das medidas de busca operacional é semelhante, por exemplo, quando participamos de uma busca, examinando as informações de unidades, imagens e servidores do ponto de vista técnico. Tudo termina: se você precisa trabalhar por dia, nós trabalhamos por dia, se alguns dias, isso significa alguns. Porém, o resto do tempo, quando você não precisa "salvar" um banco condicional, realizamos pesquisas de dados, fazemos análises de especialistas e trabalhamos como de costume, como todas as pessoas normais. Bem, ou quase o mesmo.
Tendo trabalhado no laboratório de computação forense do Grupo-IB por 6 anos, eu queria me testar no campo das investigações. Aqui está outra especificidade do trabalho: mais análises, tarefas maiores. O objetivo da investigação é identificar o grupo criminoso que está por trás do ataque, sua infraestrutura. Devido à possibilidade de anonimato na Internet, crimes de computador não são investigados rapidamente. Acontece que nos atrasamos quando é urgentemente necessário ajudar a pessoa ferida. Por exemplo, uma criança saiu de casa e somos solicitados pelos pais ou pelas agências policiais para analisar sua atividade em redes sociais, fóruns, a fim de entender com quem ele estava conversando, quem pode saber sobre a fuga, sobre o suposto local onde ele pode estar no momento. Outro exemplo: há um poderoso ataque DDoS a um recurso relacionado ao comércio eletrônico. Uma hora de inatividade de um site como esse pode custar a uma empresa centenas de milhares e, às vezes, milhões de rublos. Somos obrigados a estabelecer rapidamente as fontes de ataque e bloqueá-lo.
A investigação é um processo demorado. Os casos mais longos geralmente são associados a grandes grupos criminosos que se envolvem em ataques direcionados, roubando dinheiro por meio de serviços bancários on-line ou aplicativos móveis de instituições financeiras. Eles prestam muita atenção em como ocultar sua identidade - eles usam várias cadeias de servidores para acessar recursos, usar criptografia e reescrever constantemente programas para ataques. Essas pessoas não podem ser encontradas em um incidente. Somente em alguns casos o material está sendo coletado com o qual trabalhar, mas mesmo assim o processo de pesquisa leva muito tempo. Para entender quem está por trás do crime, geralmente leva cerca de seis meses (às vezes mais) e, durante muito tempo (geralmente anos), é necessário coletar evidências para a detenção e busca.
A detenção dos membros do grupo criminoso hacker Cron é o resultado do trabalho conjunto do Ministério da Administração Interna e do Grupo-IB.
A investigação mais rápida durou um dia. Fomos informados de que os atacantes obtiveram acesso aos servidores do banco. Fomos ao local, resolvemos o problema por várias horas até percebermos que era realizado um teste de penetração no banco. Esses testes são feitos para avaliar a proteção da infraestrutura de uma empresa. Geralmente, a gerência sabe sobre eles, verificando como a equipe resolverá a situação. Além disso, não foi difícil entender que foi essa auditoria que nos levou a entrar em contato.
Cada investigação é única. A partir dos momentos técnicos em que estamos tentando entender os serviços utilizados, identificamos ferramentas para avaliar o nível técnico de um invasor e terminamos com dicas de endereços IP, números de telefone, correio, análise de redes sociais, fóruns, anúncios em recursos de hackers públicos e ocultos na Darknet. Não há modelo para revelar um caso. É sempre a análise de um grande número de fontes de informação. Por exemplo, em incidentes envolvendo software malicioso, você precisa entender como ele funciona, para onde vai, quem registrou esses servidores, quem distribuiu os programas e como (dispositivos infectados).
As abordagens básicas em nosso trabalho não mudam, mas as ferramentas e o que exploramos mudam. Os mesmos dados nos sistemas operacionais variam de versão para versão: estrutura, formato, abordagens. Por exemplo, se antes que todos usassem o ICQ, a correspondência na qual estava armazenada de forma clara e, durante o exame do disco, pudesse ser acessada, agora muitos mensageiros usam criptografia. Isso complica muito o recebimento da chamada "evidência digital".
Às vezes, no trabalho, colidimos com uma parede, mas, na minha experiência, ela tem uma porta. Existem solicitações cuja solução não é óbvia em vista de seus recursos técnicos. Esses casos não se soltam: você chega em casa e, no seu tempo livre, procura uma saída da situação, pensa em desvendar o assunto.
Na minha experiência, houve um exame no qual foi necessário provar que o atacante estava realmente envolvido no incidente, porque a mera presença de malware no computador não é suficiente para iniciar um processo criminal. A proteção dos suspeitos tira vantagem disso, construindo uma posição sobre o princípio: o programa não funcionou no computador ou o suspeito não se conectou a ele durante o incidente. Nesse caso, os logs do programa que fornece acesso remoto foram criptografados por algum tempo no computador da vítima e enviados ao servidor do invasor e excluídos.
Levei vários dias para descobrir como resolver o problema: restaurar os logs do programa a partir da área livre do sistema de arquivos antes da criptografia (fragmentos de RAM). Foi uma sorte que o momento do incidente também não tenha sido reescrito. Isso me permitiu provar que, durante o roubo de dinheiro, o atacante se conectou ao computador em paralelo com a vítima.
"Hacker" é uma imagem coletiva. Por falar em crimes, esse termo é usado para simplificar, mas, na verdade, é o nome de todos os especialistas que sabem como burlar os sistemas de segurança de computadores. Os criminosos mais graves nessa área estão divididos em várias categorias:
Hackers motivados financeiramente. O objetivo deles é dinheiro. Eles roubam detalhes de acesso do banco da Internet, dados de cartões de pagamento ou atacam os servidores de organizações nas quais as transações de pagamento são realizadas;
Hackers estaduais. Essas pessoas realizam vigilância em organizações industriais e financeiras, geralmente passam despercebidas e roubam documentos, correspondência, segredos, tecnologias. Acredita-se que esses grupos sejam apoiados pelos estados: Grupo Lázaro, Grupo Equação, Energia Negra, Urso Fantasia. Há casos em que esses grupos realizam vigilância em empresas de energia, tentando obter acesso ao gerenciamento de equipamentos.
Em 2010, o Equation Group infectou computadores no Irã para impedir a produção de armas nucleares. Este foi o primeiro caso conhecido de ataque industrial quando os atacantes obtiveram acesso aos equipamentos da Siemens, afetando o processo. Urso Energético e Energia Negra são outros dois grupos que trabalham no campo de ataques a instalações industriais. Este último criou uma ferramenta Industroyer que permite controlar os protocolos sobre os quais o equipamento se comunica e enviar comandos a eles. Sua "conquista" de alto perfil é apagada na Ucrânia, quando em algumas regiões do país eles desligaram a eletricidade por 75 minutos.
A maior quantidade de roubo em um banco russo, na investigação da qual participei como especialista técnico, totalizou 700 milhões de rublos. Primeiro, o dinheiro é pago por todas as partes do grupo criminoso, fornecendo, fornecendo serviços e infraestrutura. Os principais membros do grupo gastam o resto para garantir sua segurança e, às vezes, artigos de luxo - carros, iates, apartamentos. O líder do grupo está sempre ciente dos riscos do que está fazendo, sabe que eles podem procurá-lo a qualquer momento, portanto, acho que ele não tem um sentimento de segurança total.
As dificuldades são interessantes. Há intrusos que trabalham com cuidado na implementação técnica do roubo. Eles levam em consideração como serão pesquisados, como o mecanismo de ataque funciona, alterando os métodos de penetração. Tais assuntos são muito interessantes para especialistas.
Um caso ocorreu em um banco do qual dinheiro foi roubado. À primeira vista, esse é geralmente o caso: obter acesso à AWS do CBD (uma estação de trabalho automatizada de um cliente do Banco da Rússia). Esse esquema é usado por vários grupos desde 2013. A particularidade desse caso era que os invasores tinham acesso a todos os computadores dentro da organização, inclusive nas filiais. Para fazer isso, em um único computador na rede, eles lançaram um worm de computador que trabalhava exclusivamente na RAM do computador. O que agora está na moda para chamar de sem arquivo (programa incorpóreo). Em outras palavras, eles criaram uma botnet controlada dentro do banco. Enquanto pelo menos um computador infectado estiver ligado, ele infectará as máquinas da empresa repetidamente.
Havia uma pergunta lógica: como limpar a rede? Tendo tentado métodos técnicos, percebemos que a melhor solução nessa situação é desligar todos os computadores de uma só vez em todas as agências do banco, com as quais o banco concordou. Assim, conseguimos limpar a RAM; não havia worm na inicialização. Foi um evento único em escala. Em uma situação normal, nunca poderíamos desconectar imediatamente todos os servidores da empresa.
Um fragmento de um worm transmitido no momento da infecção no tráfego de redeTodos os hackers estão errados. Você só precisa esperar por esse momento. O caso do grupo Cobalt - o grupo de hackers mais agressivo e bem-sucedido dos últimos anos - considero um dos mais interessantes durante o trabalho. Ela começou a operar na Rússia em 2016, atacando bancos e instituições financeiras em todo o mundo e roubando grandes quantias de dinheiro. Segundo a Europol, durante todo o tempo em que trabalhou, ela conseguiu retirar das contas de suas vítimas cerca de 1 bilhão de euros. O cobalto é um exemplo de ataques direcionados. Em seu trabalho, eles usaram uma ferramenta de teste de penetração do Cobalt Strike completamente legal. Um recurso interessante da carga útil que foi instalada pelos cibercriminosos ao obter acesso a um computador em uma organização foi a capacidade de gerenciar computadores na rede, mesmo aqueles que não estavam conectados à Internet. Não foi como as ações de outros grupos criminosos que encontramos. O cobalto mudou constantemente a localização de seus ataques, testou novas ferramentas e, por quase 2 anos, foi ilusório para criminosos cibernéticos e agências policiais. O líder do cobalto foi preso nesta primavera na cidade espanhola de Alicante. Agora ele está aguardando julgamento.
Código de carga útil de acesso VNC injetadoNas buscas e na detenção de um suspeito, a surpresa é importante. Os hackers costumam ser tecnicamente esclarecidos e, se não forem pegos de surpresa, conseguem ativar a proteção de dados em dispositivos (por exemplo, criptografia), que podem ser difíceis de contornar, ou, inversamente, tentar destruir dados. Normalmente, a detenção ocorre mais cedo, antes que uma pessoa ainda precise sair de casa: às 6-7 da manhã, ou vice-versa, quando acabou de acordar e ligar o computador - depende das especificidades de seu trabalho. Se a busca ocorrer na empresa, a força-tarefa chegará à abertura do escritório. Os métodos de detenção dependem das agências policiais: nos centros comerciais, as autoridades policiais às vezes precisam apenas demonstrar um documento de identidade oficial para ser permitido em uma empresa específica. A detenção de um indivíduo é um procedimento mais complicado, porque o suspeito deve ser forçado a abrir a porta, por exemplo, para se apresentar como mensageiro. Em alguns casos, para evitar a destruição de dados, eles penetram mais radicalmente no apartamento: do telhado aos cabos, quebrando janelas.
Somente o líder do grupo de hackers conhece todo o esquema do crime iminente. Nos grupos de hackers, as funções são claramente distribuídas e divididas, para que mais de uma pessoa gaste crimes cibernéticos do início ao fim. O líder do grupo emprega executores de determinadas tarefas: configurar o servidor, escrever e distribuir o programa e proteger malware de antivírus. Garotos comuns que estão interessados em tecnologia da informação e, às vezes, nem suspeitam que estão participando de um grupo criminoso, podem se tornar essas pessoas.
Como regra, uma pessoa anônima entra em contato com uma pessoa e oferece dinheiro para um determinado trabalho com base no princípio: “Você pode configurar um servidor? "Eu posso." Provavelmente, o organizador não informará ao contratante para que serve esse servidor.
Outra coisa é quando uma pessoa desenvolve um programa que intercepta dados e, ao mesmo tempo, sabe que pode ser usado para fins fraudulentos. Às vezes, esses programas são comprados de terceiros e o autor não é informado sobre como os fraudadores o usam: para interceptar a senha da conta do VKontakte ou do cartão do banco. A mesma história ocorre com uma pessoa que "criptografa" um programa de antivírus - ele deve estar ciente de que esses programas não são criados para fins legais. Uma pessoa que espalha um programa malicioso já pode ser atraída pelo artigo 273 do Código Penal da Federação Russa.
Na Rússia, a legislação sobre processos criminais de pessoas que cometeram crimes cibernéticos requer um maior desenvolvimento. Anteriormente, por tais ofensas, eles geralmente davam sentenças condicionais, mesmo que os hackers roubassem quantias significativas de dinheiro. Isso não assustou ou motivou as pessoas a abandonarem o que estão fazendo. Desde 2014, as coisas melhoraram depois que condenaram os membros do grupo Carberp por longos períodos reais.
Uma carreira em investigações de crimes cibernéticos ou crimes de computador é uma carreira autodidata. Para conseguir um emprego em computação forense, uma pessoa deve ter uma formação técnica. Eu me formei no Instituto de Física de Engenharia de Moscou, Faculdade de Segurança da Informação, quando a criminologia ainda não era ensinada na Rússia. Aprendemos o básico sobre administração de sistemas, proteção de perímetro, ferramentas de segurança e seus princípios de operação. Também estudamos linguagens de programação, como o malware funciona, como superar os mecanismos de proteção dos sistemas operacionais.
Uma pessoa com experiência técnica que entende como os sistemas operacionais funcionam, como uma rede é construída, como os dados são transmitidos, roubados e protegidos, tem conhecimento suficiente para conseguir um emprego no campo da computação forense. Desde que ele investiga as especificidades da área. Nossa empresa tem exemplos de quando as pessoas vieram sem educação técnica - era mais difícil para elas, porque no início elas precisavam dominar o conhecimento básico.
Para aqueles interessados em análise forense, recomendo a leitura de Análise Forense de Sistemas de Arquivos (Brian Carrier), um livro básico sobre como os sistemas de arquivos funcionam, o que é importante para a área. Network Forensics (Sherri Davidoff) e The Art of Memory Forensics (Michael Hale Ligh) são mais dois livros que todo cientista forense que se preze precisa estudar para participar na investigação de crimes cibernéticos contemporâneos. Para pesquisas em dispositivos móveis, posso aconselhar a Prens for Mobile Mobile (Oleg Skulkin).
Para entender o que está acontecendo na investigação forense, você precisa ler artigos e blogs temáticos sobre casos de sucesso e experiência pessoal. Mas não há necessidade de esperar que os hackers sejam pegos compartilhando segredos na Internet - esses casos são classificados como parte de processos criminais. E como as pessoas analisam dados podem ser lidas em recursos internacionais e russos: o blog do SANS Institute (também existe um curso sobre forense, publica livros e escreve artigos), ForensicFocus e Habr.Mas a coisa mais interessante no meu trabalho é resolver o “enigma”: inventar maneiras não padronizadas e pensar fora da caixa para encontrar uma lacuna nos truques dos intrusos.