Кто ловит хакеров
Перейти к содержимому

Кто ловит хакеров

  • автор:

В Академии ФСО придумали, как ловить хакеров

В Академии ФСО придумали, как ловить хакеров

В Академии Федеральной службы охраны России (ФСО) в Орле разработали новую методику раскрытия личностей кибернарушителей. Речь идёт о способе деанонимизации пользователей сети Интернет: в основе идеи лежит улавливание электромагнитного излучения от радиокомпонентов смартфонов и персональных компьютеров хакеров, будь то Bluetooth, Wi-Fi или FM-частота радиоприёмника. Сигнал позволяет силовикам установить сначала устройство, а затем местоположение и персональные данные злоумышленника.

Анонимность – одна из главных особенностей преступлений во Всемирной паутине. Наиболее часто кибервзломщики используют для этого сторонние прокси-серверы, VPN-туннели, сети «луковой маршрутизации», сеть I2P, неперсонализированные аккаунты социальных сетей и различные сочетания этих инструментов.

Среди авторов системы поиска анонимов – сотрудники Академии ФСО, а также Юрий Стародубцев – руководитель Высшей научной школы защиты информационных ресурсов систем управления войсками от иностранных технических разведок Военной академии связи, профессор, полковник в отставке. По плану разработчиков, интернет-злоумышленник должен получить и проиграть на своём ПК или смартфоне медиафайл от силовиков. Тот на устройстве создаёт «паразитные» электромагнитные излучения, которые сотрудники ловят антенной.

Так на сервере ФСО окажутся данные по меньшей мере об одном гаджете, принадлежащем сетевому нарушителю.

Затем, чтобы установить личность хакера, специалисты сопоставляют полученную информацию с материалами о владельце смартфона – пользователе сети. Например, для покупки сим-карты необходимо представить оператору связи паспорт. В свою очередь телекоммуникационные компании хранят сведения, достаточные для установления имени юзера по данным об устройстве, включая текстовые сообщения, направления вызовов, информацию о местоположении.

«Доступность и повсеместное использование сети Интернет привели к появлению такого понятия, как киберпреступление, и количество подобных преступлений постоянно растёт. Использование цифровых технологий позволяет злоумышленникам – как одиночкам, так и группировкам – совершать экономические преступления, выполнять продажи нелегальных запрещённых товаров и сведений, осуществлять призывы к терроризму, вести экстремистскую деятельность», – указывают в документе создатели инновации из Академии ФСО.

По мнению специалиста по IT-безопасности Александра Печёнкина, аналогичные исследования побочных электромагнитных излучений, исходящих от радиокомпонентов компьютеров (Bluetooth или Wi-Fi) и работающих процессоров, для деанонимизации пользователей ведутся достаточно давно. Но получить такое устройство пока не удалось.

Александр Печёнкин | специалист по IT-безопасности

«Теоретическая возможность создать такое устройство существует, но есть много сложностей. Первая заключается в том, что электромагнитные излучения не гарантируют точности информации. Представить её в суде, например, трудно».

Александр Печёнкин
специалист по IT-безопасности

– Второй минус связан с тем, что для реализации предложенной ФСО системы нужен тотальный контроль за интернет-пользователями. Хакеру со своего компьютера необходимо открыть файл с определённого сервера, и это должно обеспечить воспроизведение электромагнитных излучений. Это предполагает наличие ПК с нужными аппаратными ресурсами – включённым Bluetooth и Wi-Fi. А рядом обязан находиться смартфон сетевых анонимов. Но они не хранят гаджеты в той же комнате, где работают, или выключают их, опасаясь, что устройство могут прослушивать, – рассказал «Октагону» Печёнкин.

Кроме того, чтобы план Академии ФСО увенчался успехом, на гаджете злоумышленника должно стоять программное обеспечение для снятия этих электромагнитных излучений. Это значит, что силовикам придётся предустанавливать свой софт на мобильный телефон. И если говорить о масштабном проекте по слежке за хакерами, потребуется госпрограмма, в ходе которой в гаджеты россиян внедрят необходимое оборудование. Но даже в таком случае сетевые экстремисты обойдут эти меры – смартфон приобретут в другой стране, а сим-карту – на чужое имя.

– Если у государства есть желание обеспечить тотальный интернет-контроль, то гораздо дешевле и надёжнее применить другие технологии, – заключил Печёнкин.

Кто ловит хакеров

  • ВСУ обстреляли здание детского сада в Горловке

    17 Декабря 06:38

    Ад в Авдеевке. Украинские боевики рассказали о страшных боях с русской армией

    Россия 28 Октября 20:32

    На земле и под землей. Израиль начал новую фазу противостояния с ХАМАС

    Мир 28 Октября 19:21

    Порошенко: Закон «О реинтеграции Донбасса» не противоречит «Минску»

    20 Февраля 16:54

    Наступление ВСУ на южном направлении может привести к главной битве – Рогов

    Россия 27 Февраля 10:08

    СБУ задержала боевика ВСУ за торговлю оружием и взрывчаткой во Львовской области

    04 Июля 05:06

    О Навальном, гей-пропаганде Красовского и крахе Зеленского: Александр Бородай прокомментировал политические темы недели

    05 Февраля 14:54

    Билл Гейтс опроверг своё намерение чипировать человечество

    05 Июня 15:00

    Гражданская война все ближе. Маск предостерег Европу от приема мигрантов

    Мир 28 Октября 19:41

    ВСУ обстреляли ЛНР из тяжелой артиллерии и минометов

    16 Декабря 05:59

    «Жить хотим»: украинские боевики сдаются в плен на Купянском направлении

    Россия 28 Октября 20:56

    Покушение на Герасимова, перегруппировка под Херсоном, прорыв «зэтовцев» под Авдеевкой: что осталось за сводками СВО

    Россия 24 Октября 06:48

    Информационное агентство Большой России

    Сетевое издание «Информационное агентство «Новороссия» зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций 20 ноября 2019 г.

    Свидетельство о регистрации Эл № ФС77-77187.

    Учредитель — НАО «Царьград медиа».

    Главный редактор — Антонова А.В.

    Телефон: +7 (495) 374-77-73

    115093, г. Москва, Партийный пер., д. 1, к. 57, стр. 3

    Настоящий ресурс может содержать материалы 18+.

    Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на сайт агентства.

    Охотник на хакеров и враг Трампа: как миллионер из США ловит киберпреступников из России, Китая и Ирана

    Фото Michael Short / Bloomberg via Getty Image

    Сооснователь разработчика систем кибербезопасности CrowdStrike Джордж Куртц защищает от хакеров тысячи компаний масштаба Amazon и Credit Suisse. Выручка его бизнеса за последний год приблизилась к $800 млн, а сам предприниматель даже ненадолго обрел статус долларового миллиардера. Как ему удалось вырастить одного из ведущих игроков рынка систем киберзащиты и почему Дональд Трамп ненавидит CrowdStrike?

    Еще год назад мир почти ничего не знал о CrowdStrike, и это вполне устраивало Джорджа Куртца — сооснователя и гендиректора калифорнийской компании-разработчика программных систем кибербезопасности. Все изменилось в сентябре, когда была обнародована отредактированная стенограмма разговора президента США Дональда Трампа с президентом Украины Владимиром Зеленским. Согласно записи, главы государств обсуждали CrowdStrike, которую Национальный комитет Демократической партии (DNC) нанял для расследования вмешательства России в выборы 2016 года: Трамп убеждал Зеленского провести расследование в отношении компании, утверждая, что та спрятала сервер DNC на Украине.

    «Когда мы начинали строить компанию, я даже подумать не мог, что нас упомянут в разговоре два президента, — вздыхает 49-летний Куртц, который настаивает на том, что компания не сделала ничего плохого и никогда не устанавливала сервер на Украине. — Лучшее, что мы можем сделать, — не отвлекаться и сосредоточиться на борьбе с утечками. Все остальное — пустой шум».

    Когда такие клиенты, как DNC, нанимают CrowdStrike, компания применяет для поиска хакеров облачный софт под названием Falcon, задача которого — обнаруживать следы киберпреступников. Такая деятельность способна приносить хорошую прибыль. Хотя CrowdStrike нанимают и для разовых расследований на заказ — как в случае с DNC, — у компании есть список клиентов из 4000 компаний масштаба Amazon и Credit Suisse, которые ежемесячно платят $8,99 за каждый компьютер, «оснащенный» Falcon. Выручка CrowdStrike за последний отчетный год, завершившийся 31 января, должна была составить $465 млн — примерно на 86% больше, чем годом ранее. «Их база данных становится умнее, поскольку они расширяют базу клиентов», — говорит Эндрю Новински, аналитик D.A. Davidson & Co. — У CrowdStrike лучший в своем классе инструмент».

    CyberCop: как работает российская система охоты на киберпреступников

    Илья Сачков, генеральный директор компании Group-IB

    В преддверии запуска одного из ключевых модулей глобальной системы CyberCop генеральный директор компании Group-IB Илья Сачков рассказал РИА Новости о том, как интеллектуальный поиск, анализ корреляции между различными данными и технологии мониторинга бот-сетей помогают ловить киберпреступников и снижать объемы мошенничества.

    МОСКВА, 26 фев — РИА Новости, Иван Шадрин. В конце минувшего года резидент инноцентра «Сколково» компания Group-IB выиграла грант в размере 30 миллионов рублей на разработку CyberCop — глобальной системы противодействия киберпреступности с элементами искусственного интеллекта. На текущей неделе компания официально представит один из ее ключевых модулей. В преддверии запуска генеральный директор компании Илья Сачков рассказал РИА Новости о том, как интеллектуальный поиск, анализ корреляции между различными данными и технологии мониторинга бот-сетей помогают ловить киберпреступников и снижать объемы мошенничества.

    На стене в кабинете Сачкова висит плакат с героями культового кинофильма Квентина Тарантино «Криминальное чтиво». Черно-белые Винсент Вега и Джулс Винфилд смотрят на Сачкова сурово и, пожалуй, с укором. Ясное дело, ведь они — криминальные элементы, а Сачков — тот, кто с криминальными элементами помогает бороться.

    О том, насколько эффективна эта борьба, можно судить по косвенным признакам: на форумах киберпреступников Сачков и компания Group-IB нынче называются чуть ли не главными врагами хакеров: за время своего существования компания сделала многое в области расследования и реагирования на компьютерные инциденты и нажила немало недругов.

    В течение более чем десяти лет, помогая правоохранительным органам ловить хакеров и зарабатывая на расследовании инцидентов в сфере информационной безопасности, параллельно Group-IB разрабатывала CyberCop — глобальную информационную систему, в реальном времени агрегирующую информацию о киберпреступлениях различного характера.

    Уникальный для российского рынка комплекс состоит из трех основных функциональных элементов: системы мониторинга Bot-Trek, которая отслеживает появление новых бот-сетей и извлекает из них данные о скомпрометированных клиентах финансовых организаций; Antipiracy, отслеживающей все, что связано с нарушением интеллектуальной собственности и незаконным использованием бренда, а также отдельной базы данных о киберпреступниках и связных с ними оперативных данных, именуемой Cybercrime Monitor.

    Разветвленный комплекс начинался с простой поисковой системы.

    Насущная необходимость поиска

    Примерно в 2003 году, когда сотрудники аналитического подразделения компании столкнулись с необходимостью обрабатывать огромное количество информации из разных источников, существенно превышающее человеческие возможности для восприятия, возникла необходимость в автоматизации обработки данных. Сначала сотрудники компании пытались пользоваться встроенными в Windows средствами, создавая общие папки, в которые выкладывались данные от разных участников расследования. Однако это было неудобно.

    «Простой пример: у нас есть дело, которое нужно расследовать. И в рамках дела у нас есть, например, номер ICQ, или IP-адрес. Нам нужно посмотреть, фигурировала ли эта информация в других материалах. Тогда-то мы поняли, что нужно как-то автоматизировать подобные процедуры», — поясняет гендиректор Group-IB.

    Сотрудники компании написали поисковый движок, который позволял загружать файл в базу данных, осуществлять поиск по этому файлу и находить пересечения с информацией в других, ранее загруженных в базу, файлах. Изначально система умела только сигнализировать об обнаружении пересечений, не детализируя их характер. Позже Group-IB усовершенствовала алгоритм — система научилась вычленять из текста заголовок письма, распознавать адреса электронной почты и классифицировать их как адреса отправителя и получателя, IP-адреса, адреса веб-страниц, время отправки и получения письма, номера телефонов и прочие данные, которые могли бы помочь в расследовании.

    «Примерно в 2004 году, мы сделали визуализацию событий. Например, если речь идет о переписке между двумя объектами, то система наглядно показывает связь между ними. Позже, когда широкое распространение получили социальные сети, мы научили ее подтягивать данные оттуда: если участники переписки являются еще и друзьями в социальных сетях, система показывает это», — говорит Сачков.

    Борьба с DDoS-атаками

    Примерно с 2006 года стали набирать популярность DDoS-атаки на сайты интернет-магазинов и компаний. В связи с этим в системе появился функционал для анализа специфической информации, связанной с такими атаками — логов и сигнатуры трафика, массивов IP-адресов и прочих данных, которые могли предоставить провайдеры, регистрировавшие атаку, и ее жертвы.

    Кроме того, к тому времени у Group-IB была собственная сеть компьютеров, симулирующих наличие уязвимости для приманки киберпреступников («honeynet»). Преступники заражали такие компьютеры вредоносными программами, а сотрудники Group-IB, имея доступ к компьютерам-приманкам, могли видеть, какие команды приходят на зараженную машину, и с какого IP-адреса эти команды были отданы. По отдельности все эти данные могли сказать об атаке и ее организаторах немного, но после сравнительного анализа картина становилась яснее.

    «Чтобы четко видеть, какая бот-сеть какой сайт атакует, нужно в идеале иметь доступ к ее панели управления, получить который удается не всегда. Однако благодаря анализу характера атаки из разных источников, нам удавалось определить источник атаки и ее масштаб даже без доступа к панели управления», — поясняет Сачков.

    Параллельно на рынке стали появляться различные криминалистические комплексы, которые позволяли из образа компьютера или жесткого диска доставать важную для криминалиста информацию, анализ которой помогает понять, как происходил инцидент. Group-IB обучили систему проводить анализ такой информации. С этого момента CyberCop стала обретать нынешние очертания разветвленной системы для расследования киберпреступлений.

    Анализ хакерского андерграунда

    С каждым новым инцидентом в сфере кибербезопасности в Group-IB понимали важность аналитической работы. За любой атакой стоят реальные люди, которые перед осуществлением задуманного обсуждают детали на различных площадках — в основном, форумах открытых и закрытых.

    «Тогда мы решили создать модуль, который собирал бы информацию об объявлениях, появлявшихся на хакерских форумах, псевдонимах их участников и прочих данных, которые там появлялись», — рассказывает Сачков.

    Однако просто запустив поискового «паука» на форум, можно собрать лишь ту информацию, что на нем публикуется. Часто критически важные для расследования инцидентов данные доступны только владельцам таких ресурсов — например, данные, которые участник форума (и потенциальный киберпреступник) вводит при регистрации на нем, или содержание переписки из встроенной в форум системы обмена личными сообщениями. Поэтому в Group-IB, помимо модуля для сбора информации с настоящих хакерских форумов, создали несколько «ненастоящих» интернет-ресурсов, в том числе закрытых и платных.

    «В борьбе с киберпреступностью это нормальная практика — несколько лет назад ФБР в открытую заявило о том, что в течение нескольких лет содержало несколько подобных форумов. Если всерьез хочешь заниматься расследованиями киберпреступлений, без таких инструментов не обойтись», — говорит Сачков.

    Обычно на «живых» хакерских форумах, особенно закрытых, на которых ведется обсуждение и планирование реальных киберпреступлений, активную деятельность ведет всего несколько десятков пользователей. Эта особенность позволила провести довольно точный анализ и классификацию деятельности конкретных пользователей таких форумов.

    «Поначалу на форумах система просто сканирует темы и собирает информацию о том, что на них происходит. После сбора система анализирует объявления и сообщения каждого участника, сопоставляет их с сетевыми псевдонимами, и в итоге выдает своеобразное «досье» на каждого предполагаемого киберпреступника: на каком виде хакерской деятельности он специализируется, как часто публикует объявления, что пишет в комментариях и так далее. Если на каком-либо форуме проскакивает информация о том, кто именно скрывается за тем или иным псевдонимом, система «складывает» эти данные в «досье» пользователя и помечает их как требующие дополнительной проверки», — рассказывает Сачков.

    Со временем система научилась распознавать, под какими сетевыми псевдонимами на разных форумах скрывается один и тот же человек, анализируя совпадения в данных, которые он указывает при регистрации на форумах, а также проводить другие параллели между участниками разных форумов. Тем не менее, для еще более масштабного анализа не хватало одной функции.

    Корреляция

    Хотя собранная на форумах информация давала криминалистам множество данных о том, кто, где, когда и по каким ценам предлагает различные нелегальные услуги, ценность этих данных в отрыве от информации, собранной другими модулями, была относительно низкой. Поэтому в 2007 году разработчики стали «учить» свой поисковик соотносить сведения, добытые на хакерских форумах с информацией, полученной в ходе прошлых расследований, а также с помощью модуля, созданного для анализа бот-сетей и DDoS-атак.

    «Это очень помогло в расследованиях, потому что мы стали видеть связь между конкретными инцидентами, сведения о которых поступили от наших клиентов и партнеров, и событиями, происходившими на форумах, которые мы сканируем. Стало примерно ясно, какие есть группировки, и в каких делах они были замешаны», — рассказывает Илья Сачков.

    Даже с учетом того, что большинство сведений, загруженных в базы данных системы, лежат в открытом доступе, их анализ позволяет выявить неочевидные связи между фигурантами дел, связанных с киберпреступлениями.

    «Система дает своего рода подсказки правоохранительным органам о том, кого еще можно допросить по тому или иному инциденту, какую информацию у какого оператора запросить и так далее. Она не раскрывает преступление, но создает его примерную карту со всеми основными фигурантами», — поясняет эксперт.

    Банковские атаки

    Появление в CyberCop возможности сопоставлять данные из различных модулей оказалось своевременным — примерно с 2009 года распространение получили атаки на системы дистанционного банковского обслуживания. На черном рынке появились вредоносные программы, созданные специально для атак на российские системы интернет-банкинга и дистанционного банковского обслуживания. Десятки миллионов рублей потекли со счетов крупных и малых компаний на счета киберпреступников. RDPDoor, Carberb, Shiz и другие названия банковских троянских программ стали все чаще мелькать в СМИ и отчетах антивирусных компаний. В целом хакеры перестали восприниматься как талантливые хулиганы. Их действия стали расцениваться как реальные преступления и возможность выявлять, кто скрывается за тем или иным ником, которую предоставляет CyberCop, пригодилась правоохранителям.

    «В связи с появлением специализированных вредоносных программ, мы создали еще один модуль — Malware Data Base, в который загружаются все сведения о новых версиях таких программ, а также о том, как они были получены, откуда и какие есть корреляции с данными из других наших баз данных», — рассказывает Сачков.

    Новый модуль добавлял в «карту» преступлений важную деталь — информацию об инструментах, которые преступники использовали для совершения преступлений. Эти данные помогают при расследовании инцидентов квалифицировать деятельность киберпреступников как уголовное преступление в сфере IT и заводить дела по соответствующим статьям уголовного кодекса.

    Одновременно появилась необходимость фиксировать случаи хищений: сколько денег украдено, у какой компании, в какой банк переведено и где обналичено — сбор, систематизация и анализ всей этой информации стали необходимостью.

    Часть информации по таким инцидентам Group-IB удавалось получить с помощью уже существующих модулей системы. В частности, очень пригодился модуль для анализа бот-сетей, использующихся в DDoS-атаках, поскольку киберпреступные группы, промышляющие банковскими хищениями, используют для распространения вредоносного ПО и управления зараженными компьютерами такие же бот-сети, как и для атак на отказ в обслуживании. Другую часть информации удавалось получить от жертв хищений, которые обращались в Group-IB за помощью. Однако львиная доля данных, необходимых для составления картины подобных преступлений, находится на серверах банков, через которые проходили похищенные деньги.

    Для получения такой информации в компании создали дополнительный модуль FraudMonitor.

    По словам Сачкова, сейчас с Group-IB сотрудничает около 60 российских банков, часть из которых согласилась отдавать информацию о хищениях в FraudMonitor. В результате в базе данных появился постоянно обновляемый черный список «дропперов» — счетов, на которые киберпреступники выводят похищенные деньги для их последующей обналички.

    «Черный список уже приносит реальную пользу — если банк, имеющий к нему доступ, видит попытку вывести деньги на скомпрометированный счет, он может предотвратить хищение, заморозив операцию», — приводит пример Сачков.

    По словам гендиректора Group-IB, с помощью этой системы уже удалось предотвратить тысячи хищений, и удастся еще больше по мере того, как количество банков, пополняющих базу FraudMonitor, будет увеличиваться.

    Система в идеале

    CyberCop почти готов к полномасштабному применению. На деньги, полученные от «Сколково», в Group-IB рассчитывают завершить разработку системы уже в следующем году.

    И хотя разработка еще не завершена, она уже помогла в поиске и поимке двух крупных киберпреступных групп, похитивших с помощью вредоносных программ более 60 миллионов рублей. Громкие аресты членов этих банд, произведенные весной прошлого года, стали итогом оперативно-розыскных мероприятий, в которых активно использовалась информация, добытая системой Group-IB.

    По словам Сачкова, в идеале система должна стать полнофункциональным инструментом для расследования и предотвращения киберпреступлений для любого специалиста, работающего в данной сфере.

    «В идеале должен получиться инструмент для работы сотрудников МВД, служб безопасности банков и других организаций, столкнувшихся с киберпреступлениями», — говорит Сачков.

    Запускать систему компания планирует частями. Так, на этой неделе Group-IB представит систему мониторинга бот-сетей Bot-Trek на крупнейшей конференции по безопасности в США — RSA Conference 2013. Также в ближайшее время компания официально представит еще одну часть CyberCop — сервис ThreatCenter, который позволит в реальном времени отслеживать DDoS-атаки, видеть списки зараженных сайтов и другую информацию, собранную с помощью поисково-аналитической системы компании. Впоследствии один за другим в «онлайн» будут выведены и другие компоненты CyberCop.

  • Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *