Маски-шоу для хакера

Валерий Баулин, глава Лаборатории компьютерной криминалистики, Group-IB
Сергей Никитин, заместитель главы Лаборатории компьютерной криминалистики, Group-IB  

В июне этого года Савеловский суд Москвы вынес обвинительный приговор двум российским хакерам – братьям Евгению и Дмитрию Попелышам. Им дали по 8 лет лишения свободы за кражу 12,5 млн рублей у клиентов ведущих российских банков. Братья зарабатывали до 1,5 млн руб в месяц и жили на широкую ногу – покупали квартиры, автомобили Porsche Cayenne и BMW X5, и даже яхты. Это дело интересно не только размером хакерского кошелька. Попелышей смогли посадить только со второго раза. Шесть лет назад Чертановский районный суд Москвы приговорил их за аналогичные преступления к шести годам условно (!) с испытательным сроком 5 лет. Преступление фактически осталось без наказания. Оказавшись на свободе, братья с размахом взялись за старое: они стали использовать новые вредоносные программы, автоматизировали процесс хищения и постоянно модернизировали сами вирусы, чтобы максимально осложнить их поиск и поимку. Стали работать еще масштабнее и осторожнее.

 

Дело Попелышей – яркий пример того, что киберпреступность надо наказывать максимально жестко. Долгое время хакеры чувствовали себя практически в безопасности: они получали совершенно незначительные сроки за гигантские кражи. Например, члены группы Carberp, не дождавшись приговора, покинули Россию и продолжили свою преступную деятельность уже на Украине и в Европе. Компьютерная преступность уже давно стала масштабнее и опаснее традиционной оргпреступности. Поэтому слишком мягкие сроки за компьютерные преступления, ореол «робин-гудов» у хакеров и отсутствие понимания опасности киберугроз приводят лишь к дальнейшей криминализации сферы высоких технологий.

 

Кто такие хакеры и чего они добиваются?

Долгие годы образ хакера – этакого благородного взломщика-гика – был сильно романтизирован. Но времена хакеров-одиночек, взламывающих сети Пентагона, чтобы найти секретные материалы об НЛО, давно прошли. В реальности большинство «черных шляп» – это преступники, ворующие деньги или данные, которые они затем продают. Наш опыт показывает, что большая часть хакеров следует за деньгами. Рост числа атак и сумм хищений является ярким индикатором финансовой активности киберпреступников, изменения их тактики и целей.

 

Если в 2014 г. было известно о двух хакерских группах, проводивших целевые атаки на российские банки, то в 2015 г. их стало три, в 2016 г. – четыре, а в 2017 г. – шесть. Одна из них, Cobalt, долгое время оставалась самой активной и агрессивной: весь 2017 год 2–3 раза в месяц стабильно атаковала финансовые организации в России и за рубежом, а в конце 2017 г. впервые в истории российской финансовой сферы провела успешную целевую атаку на российский банк с использованием SWIFT. Затем на хакерской сцене появилась группа MoneyTaker. На декабрь прошлого года, по нашим подсчетам, группа совершила более 20 атак на банки и организации других сфер в России, США и Великобритании. В США средний ущерб от одной атаки MoneyTaker составляет 500 тыс. долл. США. В России средний объем извлеченных группой денежных средств вследствие компрометации АРМ КБР – 72 млн рублей.

 

По нашим оценкам, ущерб от кибератак на российскую финансовую сферу за период с второго полугодия 2015 по первое полугодие 2017 г. составил $117 375 000. Располагая такими бюджетами, киберпреступники могут позволить себе инвестировать в технологии больше, чем некоторые крупные технологические компании. Взломщики используют «теневой» Интернет и информационные технологии, для того чтобы воровать деньги, делать это удаленно и максимально безопасно.

 

Роли в хакерских группах четко разделены. Одни пишут вредоносные программы. Другие – взламывают сайты, чтобы эти вредоносы распространять. Третьи – администрируют саму зомби-сеть, серверы управления. Четвертые «держат» хостинг, защищенный от претензий со стороны правоохранительных органов. Есть «специалисты», которые изучают, как работают банки, как проводятся платежи, как выводить деньги, полученные через систему международных переводов SWIFT. В разных странах есть отдельные группы, привлекаемые «на аутсорсе» (мулы), которые обналичивают деньги и передают их организаторам кибератаки.

 

Долгое время банки и их состоятельные клиенты были главной целью киберпреступников. Теперь у них появились новые цели в виде ICO и блокчейн-стартапов – все, что связано с криптовалютами, привлекает внимание хакеров. По данным Chainalysis, хакерам удалось украсть 10% всех средств, инвестированных в ICO-проекты в 2017 г. в Ethereum. Общий ущерб составил почти $225 млн, 30 000 инвесторов лишились в среднем по $7500.

 

Если раньше финансовые учреждения опасались взломщиков-грабителей, то теперь новой и более серьезной для них угрозой могут стать хакеры, финансируемые различными государствами. Их целью будет слежка за финансовыми потоками, сбор компромата на интересующих их клиентов банков, а также нарушение работоспособности внутренней инфраструктуры. Опасность еще и в том, что хакерские инструменты из утечек АНБ и ЦРУ стали активно использоваться для проведения целенаправленных атак. Они уже включены в основные инструменты для проведения тестов на проникновения финансово мотивированных и некоторых прогосударственных хакеров.

 

Компьютерные криминалисты

Однажды в семь утра у хакера «отвалится» дверь, в квартиру зайдут очень серьезные люди в форме, предъявят «Постановление суда о производстве обыска в жилище» и предложат выдать добровольно все доказательства совершенного компьютерного преступления. В этом постановлении будет написано, что оперативникам можно забрать любые предметы, материалы, документы, цифровые носители и так далее, имеющие отношение к совершенному преступлению или содержащие какие-то его следы. Соответственно, абсолютно все носители информации – телефоны, планшеты, приставки, умные телевизоры – все, где может находится цифровой след, все будет изъято.

 

Разумеется, прежде чем сделать обыск, оперативники проводят огромную подготовительную работу в рамках ОРД (оперативно-розыскной деятельности): устанавливают людей – чаще всего их несколько, подозреваемых в совершении компьютерных преступлений. За ними ведется наблюдение, их телефоны «слушают», проверяют все, что они делают, получают соответствующее постановление от суда и в какой-то момент производят обыск.

 

В чем заключается работа компьютерных криминалистов? Нас привлекают, чтобы мы помогли правоохранительным органам корректно изъять цифровую информацию и правильно ее оформить. Ошибки в этой процедуре могут впоследствии развалить уголовное дело, поскольку, если доказательства изъяты неправильно, они могут быть признаны судом недопустимыми. Тем более что сами хакеры стараются максимально скрыть или запутать следы. Они общаются между собой в «темном Интернете», через защищенные мессенджеры типа Jabber с шифрованием. Опытные преступники в случае штурма их жилища, к чему они, как правило, готовятся, уничтожают свои ноутбуки и другие носители по заранее придуманному плану. В нашей практике был прецедент, когда при задержании хакеры запустили электромагнитную пушку для размагничивания жестких дисков.

 

В арсенале компьютерных криминалистов есть целый ряд специальных инструментов и приспособлений, позволяющих анализировать устройства и софт. Среди них так называемый криминалистический чемодан, с помощью которого можно считать информацию с любых цифровых носителей: с телефона, с ноутбука, с устройств типа iPad – даже если они будут выключены, заблокированы, разбиты или выведены из строя. Если преступникам удается разбить устройство, какие-то фрагменты информации, как правило, почти всегда удается восстановить.

 

Следующий этап – осмотр изъятого. Обычно его проводит следователь, один специалист, двое понятых. Процедура может занимать от нескольких часов до недели. Специалист разбирается, что изъято, и отсеивает ненужное. Например, есть съемный флеш-накопитель 32 Гбайта, на котором содержатся 32 Гбайта музыки. Она не имеет отношения к делу. Но нередко хакеры пытаются маскировать ценную информацию, и для того чтобы ее извлечь, криминалисты применяют специализированные программы, которые позволяют по энтропии информации понять наличие шифрования, скрытых файлов.

 

Затем назначается криминалистическая экспертиза либо исследование. Следователь ставит определенный список вопросов, на которые специалист или эксперт должны дать четкие ответы. Например, есть ли на этом жестком диске программа, которая позволяет воровать деньги в интернет-банкинге? Или найдены ли ключи электронной подписи, которые были у потерпевших, следы мошеннических платежных поручений, следы разработки вируса, следы администрирования управляющих серверов? Если да, то все это указывает непосредственно на преступную деятельность задержанных. И все эти моменты будут отражены в заключении эксперта, которое получит следователь.

 

Когда дело передано в суд, начинается судебный процесс. Компьютерных криминалистов нередко вызывают для проведения допроса уже в суде, чтобы они могли объяснить и адвокатам, и обвинителю, и судье, что, собственно, написано в экспертизе, если это требуется.

 

Разумеется, компьютерные криминалисты не работают в изоляции. В частности, они нередко опираются на данные киберразведки – системы Threat Intelligence, которая агрегирует информацию о самых новых трендах, о том, как похищают деньги, какие есть угрозы: нет ли вашего номера телефона в утекших базах или вашего IMEI среди зараженных телефонов. Такая система доступна по подписке клиентам подобных сервисов, благодаря чему они могут принять превентивные меры, для того чтобы их бизнес не пострадал от новой угрозы.

 

Заключение

Клиентами компьютерных криминалистов в основном являются коммерческие компании, банки, предприятия, госучреждения. Не в каждом кейсе нужно искать хакеров: если в компании произошла внутренняя утечка (инсайт), мошенничество или кто-то по ошибке удалил важные данные, специалисты смогут найти источник проблем. Бывает, что компьютерные криминалисты могут привлекаться к расследованию реального преступления. Из наиболее тяжких преступлений – убийство, в деле по которому фигурирует некий объект в виде мобильного телефона, ноутбука убитого. Информация с таких устройств может пролить свет на произошедшее преступление и помочь в поиске преступника.

 

 

ВРЕЗКА (Совместные кейсы с правоохранительными органами)

 

 

Carberp

Чем известна: Самая большая в России организованная преступная группа, похитившая более $250 млн со счетов клиентов российских банков. Заразила своим вредоносным ПО более 1,5 млн машин.

Статус: ликвидирована. Первый в российской правоохранительной практике случай задержания всех фигурантов группы. Организаторы группы осуждены на сроки 5 и 7 лет.

 

Hodprot

Чем известна: Одна из старейших российских киберпреступных групп, ответственная за хищение около 125 млн рублей со счетов клиентов российских банков. Для конспирации злоумышленники использовали управляющие серверы, расположенные в Голландии, Германии, Франции и США.

Статус: Задержаны все участники преступной группы. Возбуждено уголовное дело.

 

Germes

Чем известна: Крупнейшая в России зомби-сеть, объединившая 4,5 млн зараженных компьютеров. Объем хищений, организованных с помощью зомби-сети, оценивается более чем в 150 млн рублей.

Статус: Организатор преступной группы, действовавшей на территории нескольких стран, арестован.

 

Paunch

Чем известен: Автор платформ для незаметного распространения вредоносных программ. С использованием его продуктов в сети Интернет проходило до 40% заражений по всему миру.

Статус: Организатор преступной группы задержан, возбуждено уголовное дело по ст. 210 (ч. 1 и 2) УК РФ. 12 апреля 2016 г. был приговорен к 7 годам лишения свободы в колонии общего режима.

 

Cron

Чем известна: Похищали деньги с банковских счетов пользователей. Ежедневно заражали 3500 телефонов с ОС Android и меньше чем за год установили вредоносные программы почти на 1 млн устройств. Общий ущерб от действий Cron оценивается как минимум в 50 млн рублей. В 2016 г. Cron взял в аренду банковский мобильный троян «Tiny.z» – более универсальную вредоносную программу под Android, нацеленную на клиентов не только российских, но иностранных банков.

Статус: Ликвидирована. В ноябре 2016 г. в шести регионах России задержаны 16 участников Cron. Последний активный участник группы был задержан в начале апреля в Санкт-Петербурге.

Поделиться:
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее
Спецпроект

Специальный проект "Групповой спутниковый канал для территориально-распределенной сети связи"

Подробнее

Подпишитесь
на нашу рассылку