Кибердетективы и то как они работают

НОВОСТИ
2018-05-28 14:48:48
5
3.1K

Пару лет назад один из крупнейших международных сервисов онлайн-знакомств AnastasiaDate столкнулся с серьезной проблемой, которая заключалась в направленной атаке DDoS. Атака была довольно мощная, ресурс был недоступен по 4-6 часов в день, в связи с чем сервис ежедневно терпел убытки. Через некоторое время с администрацией ресурса связались организаторы DDoS с требованием выкупа в размере 10 тысяч долларов. Сотрудники ресурса обратились к специалистам Group-IB за помощью в поиске вымогателей.

Данный случай является первым в истории Украины международным делом о DDoS-вымогательстве, доведенным до суда.

Сотрудники Group-IB (имена не уточняются) поделились информацией о том, как именно они раскрывают киберпреступления и ведут поиск киберпреступников.

- Расследование начинается с исходных данных. Чем их больше, тем лучше. На их основе мы предполагаем цели атаки. Задача в начале пути найти векторы расследования, зацепки.

На этом этапе мы ищем артефакты: лучше всего работают самые неочевидные способы добычи информации. Это отчасти похоже на написание диплома, когда начинаешь искать способы развития темы. Или сборку сложного механизма без инструкции. Когда сначала нужно посмотреть на детали и понять, как они могут подойти друг к другу".

Поимка киерпреступника это многолетняя кропотливая работа. Для этого необходимо собрать цифровые доказательства, проанализировать, провести многочисленные исследования, агентурную работу. Group-IB одна из первых компаний, специализирующаяся на компьютерной криминалистике и расследовании компьютерных преступлений.

Вот, что необходимо для того, чтобы стать кибердетективом:

1. Пройти курсы по компьютерной криминалистике и этичному хакингу.

2. Знать языки программирования.

3. Уметь работать с облачными технологиями и средствами виртуализации.

4. Изучать тренды взломов и способов защиты от них.

5. Владеть абдукцией — уметь выдвигать гипотезы и подтверждать или опровергать их.

6. Не быть киберпреступником в прошлом.

- Одно из самых крупных дел, о которых мы можем рассказать, это история хакерской группы Cron. В ноябре 2016 года в шести регионах России полиция провела масштабную спецоперацию: практически за один день были задержаны 15 участников группы, в течение нескольких лет похищавшей деньги с банковских счетов пользователей с помощью вредоносной программы — трояна, которым они смогли «заразить» почти миллион смартфонов.

В ходе спецоперации один из её лидеров пытался сбежать: уехал из города, бросил свой внедорожник на заправке и вызвал такси. Его «сдал» смартфон — он фиксировал все его перемещения и, в конечном итоге, мы его нашли".

- Первые наши расследования были довольно легкие:взломы аккаунтов в почте, ЖЖ, ICQ, шантаж, вымогательства, иногда DDoS-атаки. Однако со временем дела стали более серьезными: атаки на банки и финансовые учреждения, хищения со счетов компаний, угрозы, выкупы.

Основное чем мы руководствуемся, это то, что все наши действия должны быть в рамках закона. Таким образом некоторые расследования могут длиться годами, особенно международные дела.

Важно четко понимать, что мы не являемся киберполицией. Мы не задерживаем и не арестовываем киберпреступников.

Наша задача - изучение инцидента, сбор цифровых доказательств и постройка цепочки логических связей, которые могут помочь правоохранительным органам отправить преступника за решетку.

- В самый разгар прокатившейся по всей стране истории «Синих китов» в отдел расследований Group-IB за помощью обратились правоохранительные органы. Мы анализировали профили и контакты подростков в соцсетях, их знакомства, действия для того, чтобы найти тех, кто стоит за организацией суицидальных групп.

Нашим коллегам приходилось вступать в переписку с потенциальными участниками этой игры, проверять различные версии, указывающие на отношение к ней тех или иных людей, так называемых «кураторов».

На дворе 21 век и подавляющая часть преступности переместилась в интернет. Кражи, вымогательства, шантажи и конечно же мошенничество - все это осуществляется удаленно и анонимно. "Поймать за руку" нереально, а запутать цифровые следы куда проще. У киберпреступников нет территориальных границ.

- Однажды мы вышли на человека, который до совершения киберпреступления задавал вопросы на хакерских форумах в даркнете о том, как сделать то или иное действие.

Мы отметили это, а потом сопоставили его ник с более ранним эпизодом, где некто под таким же ником выяснял на обычных общедоступных сайтах, как разводить осетров. Здесь он засветил себя во всей красе, вплоть до фото. Это называется «оставил много цифровых следов». Его легко вычислили.

Выявив одного подозреваемого, далее можно выяснить с кем он общается, работает, какова его роль в группе. Нередко мы вступаем в переписку с людьми на хакерских форумах.

Иногда полицейские уверены, что подозреваемый и есть преступник, однако на сбор доказательств уходит не один год.

Доказательства должны быть весомыми. Только тогда суд выдаст санкцию на обыск. Идеальный момент для обыска, это застать преступника врасплох, к примеру раннее утро. Таким образом у него меньше шансов спрятать устройство или уничтожить его.

Понятно, что при обыске злоумышленники не стремятся добровольно сдаться и признать свою вину. Они скрывают флешки с ключами для расшифровки данных, пароли, адреса используемых ими ресурсов и сервисов. Для флешек и дисков нередко используются тайники и найти их сходу обычно нельзя.

Матерые киберпреступные группировки заранее детально продумывают пути отхода. Ярким примером является задержание братьев Попелышей, которых арестовывали в 2012 и 2015 годах за хищение средств с банковских карт.

- Ко второму аресту в 2015 году братья подготовили специальную установку для повреждения данных на жестких дисках и подробный план действий по уничтожению других улик: денег, мобильных телефонов и банковских карт во время того, как оперативные сотрудники полиции будут взламывать их металлическую дверь.

- Только начинающие киберпреступники — те, которых ещё ни разу не задерживали — не пытаются продумать план действий заранее. Все остальные очень изобретательны. Мы встречали ситуации, когда в финансовых организациях, которые ведут грязный бизнес, на компьютеры устанавливались специальные устройства. Они активируются удалённо и способны размагнитить диски внутри системного блока.

Но практика показывает, что рано или поздно такое устройство может не сработать, а даже самые опытные и осторожные преступники всегда совершают ошибки.

Чтобы быть в курсе всех свежих новостей нашего сайта, подписывайтесь на наш телеграм канал https://t.me/ruonionblog

5
3.1K
Написать комментарий

Добавить комментарий

Комментарии 5
avatar
2018-05-28 19:42:04
Интересное устройство( активируются удалённо и способны размагнитить диски внутри системного блока), подскажите где такое можно достать?)
Ответить
avatar
2018-05-28 20:23:53
В даркнете посмотри
Ответить
avatar
2018-05-29 16:03:41
тоже интересно как такое купить и как отправить команду на размагничивание
Ответить
avatar
2018-05-28 20:41:13
да ну их на х.. этих активистов
Ответить
avatar
2018-05-30 18:35:02
Как вы парни относитесь к таким активистам? как к сука... или положительно?
Ответить