За более чем 20-летнюю историю компании специалисты F6 помогли полиции задержать и отправить за решётку свыше тысячи киберпреступников – вымогателей, кардеров, вирусописателей, скамеров. Наши эксперты приложили руку к исследованию или ликвидации таких преступных групп, как Carberp, Anunak, Cobalt, Cron и других. Но в паблик попадают единицы успешных кейсов. О большинстве расследований не узнают ни журналисты, ни безопасники из ИБ-сообщества. Такая скрытность объясняется, как правило, оперативным интересом и тем, что кибердетективы связаны по рукам и ногам NDA – соглашением о неразглашении.
Стоило большого труда уговорить Вадима Алексеева, руководителя департамента расследований высокотехнологичных преступлений компании F6, немного подсветить внутреннюю кухню кибердетективов и секреты их ремесла, но оно того стоило. Мы узнали, как расследователю помогает интуиция, какие инструменты помогают выстраивать логику событий и какой смертный грех губит хакеров чаще всего.
…
Киберпреступный рынок трансформируется. В том числе – за счёт повышения доступности технологий, которые позволяют совершать преступления, и незаконно получаемых данных. Только за прошлый год наши коллеги из департамента киберразведки F6 Threat Intelligence обнаружили 455 новых случаев публичных утечек данных. В свободном для преступников доступе сейчас так много информации, как они раньше и мечтать не могли: персональные и банковские данные, история заказов и покупок.
Цепочку логических связей нам помогают построить специальные инструменты. Мы используем интеллект-карты (Mind Map), которые помогают соединить в единое целое историю событий, сообщения, аккаунты с инфраструктурой злоумышленников. Конечно, используем Graph Intelligence, который позволяет построить облако связей инфраструктуры злоумышленников между доменами, серверами, сертификатами, адресами и всем прочим. В общем, используем самые разные средства автоматизации, и российские, и иностранные, которые в OSINT-сообществе хорошо известны. Такие инструменты важны и для анализа больших баз данных, и для поиска информации, проверки конкретных пользователей.
Интуиция особенно помогла при расследовании волны масштабных DDoS-атак. Они начались летом 2021-го. Атаки характеризовались большим объёмом запросов с известных прокси-сервисов, атаки на приложение, причём сначала выполнялось действие на ресурсе, перехватывался сложный (тяжелый) запрос и дальше этим запросом велась атака. Пострадали тогда самые разные компании, мы получили массу обращений. Пробовали технически анализировать эти атаки, но постоянно натыкались на использование злоумышленниками различных анонимных сервисов, а объём данных для анализа был так велик, что приводил к прожиганию ресурсов.
Выбрали нестандартное решение: стали исследовать рынок DDoS-услуг. В процессе нашли множество Telegram-чатов, большое количество злоумышленников, которые перекупали друг у друга инструменты, методы атак. А ещё неожиданно оказалось, что участники этих чатов – достаточно молодые люди, конкуренция высокая, поэтому в тематических ресурсах они активно рекламировали свои каналы и выдавали полезные данные друг о друге. Анализ каналов и чатов, принадлежавших разным злоумышленникам, помог связать атаки с исполнителями и сдеанонить их: они даже выкладывали скриншоты недоступности сервисов. Переписки с исполнителями помогли исследовать используемые инструменты. В процессе деанона мы выяснили личность одного из предполагаемых злоумышленников и регион, в котором он вырос, но не были уверены в результате. Для проверки ему написали приветствие на национальном языке этого региона. Попали в точку: злоумышленник успешно прошёл проверку.
Полная версия интервью, всё самое интересное – в блоге на сайте F6.
Автор: EditorF6
