безопасность
Каждый раз, когда вы читаете о том, что осужден или арестован киберпреступник, вы можете быть уверены, что специалистами по безопасности и исследователями вредоносных приложений из разных стран мира была проделана огромная работа по расследованию этого преступления.
Будь то отключение спам-ботнета, вывод из игры банды Koobface или арест преступников, использовавших банковский троян ZeuS, во всех случаях правоохранительные органы многих стран мира активно пользовались помощью и навыками сообщества экспертов – особенно работающих в компаниях, борющихся с вредоносным софтом, – чтобы проводить расследование и делать экспертизу, на основании которой в дальнейшем можно осудить киберпреступников.
Джефф Вильямс кое-что знает о тяжелой работе, которую требуется провести для идентификации вредоносных атак и исследования в преддверии криминального расследования. Работая ранее начальником группы в Microsoft Malware Protection Center (MMPC, центр защиты от вредоносных приложений), до перехода в Dell SecureWorks, Вильямс участвовал в нескольких важных отключениях ботнетов, включая Waledac, ZeuS и Kelihos.
В своем интервью Вильямс объяснил, что существует несколько видов расследований, которые почти всегда начинаются с антивирусной лаборатории в той или иной части света. «Иногда это начинается с расследования правоохранительных органов. Иногда – с нового вредоносного образца, который мы исследуем. Но даже в первом случае полиция и спецслужбы приходят к нам, чтобы лучше разобраться во вредоносном приложении, которое служит орудием преступления. В Microsoft нашей приоритетной задачей была защита клиентов, поэтому сразу требовалось оценить масштаб проблемы, ее воздействие на пользователей Windows и что нам надо сделать для их защиты», – рассказал Вильямс.
Эта работа многогранна. «Ребята в лаборатории делают черновую работу. Они удостоверяют, что вредонос действительно существует, потом идет трудоемкий сбор образцов и их исследование (реверс-инжиниринг)», – сказал Вильямс. В рамках полицейской экспертизы также требуется разобрать сложные алгоритмы шифрования, проанализировать протокол «общения» элементов ботнета с командным центром. «Мы хотим знать, как исполнимые бинарные файлы контролируются инфраструктурой управления ботнета, где ее узлы, какие команды могут быть отданы. Все это делается в антивирусной лаборатории. Это очень важная работа», – сообщил Вильямс.
Как только лаборатория полностью разобралась с вредоносным приложением, принимаются технические контрмеры: выпускается обновление антивирусных баз или улучшаются защитные технологии – все это до того, как правоохранительные органы приступают к своей работе. «Иногда требуется получить разрешение суда, чтобы захватить контроль над ботнетом, поэтому нужно тесно сотрудничать с правоохранительными органами, чтобы действовать успешно», – объяснил Вильямс.
Костин Райю, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского», соглашается, что расследования киберпреступлений могут быть крайне сложны. Команда Костина тесно сотрудничала с Microsoft, CrowdStrike, OpenDNS и другими игроками индустрии безопасности, чтобы отключить несколько крупных ботнетов, и он описывает эту работу как многогранную и трудоемкую. «Экспертиза исследователей порой критически важна, и от нее зависит, осудят преступника или он избежит ответственности», – сказал Райю.
Кроме реверс-инжиниринга, который помогает полностью понять алгоритмы работы ботнета, и передачи данных в правоохранительные органы команды экспертов обычно сотрудничают с Computer Emergency Response Teams (CERT, глобальные группы реагирования на компьютерные происшествия), чтобы захватить взломанные серверы или переадресовать запросы, идущие на них, на фальшивый сервер, поскольку это помогает собрать доказательства для судебного разбирательства.
«Киберпреступления – крайне сложная и комплексная сфера, поэтому исследователи вредоносных приложений часто должны выступать экспертами в разбирательствах высокотехнологичных преступлений», – объясняет Райю.
Экспертиза в антивирусной лаборатории часто включает исследование открытых источников (OSINT). Это очень утомительная часть расследования, поскольку она требует прочесывания сети мелким гребнем в поисках любых намеков на атакующего или саму атаку.
«Во время расследования многие индикаторы могут пролить свет на личность киберпреступника. Некоторые части вредоносного кода могут включать псевдоним злодея или быть запрограммированы в «фирменном стиле». Это может стать отправной точкой в поиске плохого парня», – говорит Вильямс.
Исследователи используют псевдонимы, или другие намеки из вируса, или почтовый адрес, ассоциированный с одним из доменов, участвующих в атаке, а затем прочесывают сообщества вроде Facebook, Twitter, YouTube, вики, блоги и прочие источники пользовательского контента в надежде на то, что плохой парень где-то использовал те же псевдоним или почту.
В уже упомянутом примере Koobface команда безопасности Facebook провела подобное исследование и опубликовала имена, фото и прочие данные людей, которые подозревались в совершении атаки. Эти имена были выданы прессе в рамках операции Name-and-shame («Назвать и опозорить»).
Основная часть технической работы проводится для того, чтобы защитить потребителей, но потом полученная информация передается в правоохранительные органы, чтобы помочь арестам. Когда дело доходит до арестов и судов, можно делать ставки на то, что значимая часть работы была выполнена в исследовательской лаборатории.
«Установление личности хакеров и аресты не обязательно являются частью изначальной операции. Но когда лаборатория действует для защиты экосистемы и обнаруживает что-то важное, результаты работы могут быть переданы правоохранительным органам, чтобы принять правовые меры», – добавил Вильямс. Также он повторил, что работа должна быть проведена на высоком уровне, поскольку она будет показана в суде и обязана вызывать у юристов доверие.
Исследователи часто сетуют на низкую скорость полицейских расследований, особенно когда речь идет о более опасных атаках наподобие банковских троянцев. Именно черепашьи темпы вынудили Facebook перейти к публичным действиям в случае Koobface, но Вильямс отметил, что дела постепенно становятся лучше.
«Определенно требуется гармонизировать законы в разных странах. Преступники знают, где законы по их части более мягкие и что делать, чтобы не попасть на заметку и избежать ареста. Но правоохранительные органы все лучше понимают, как вести такие расследования. Мы видели успешные дела, в которых были успешно использованы существующие законы, не направленные конкретно против киберпреступлений», – добавил он, упомянув дело Zotob, в котором преступников посадили за отмывание денег, мошенничество и уход от налогов.
«Это естественная эволюция защиты, чтобы приспособиться к изменениям и начать пресекать деятельность ботнетов, находить их организаторов. Без отключения ботнетов преступники зарабатывают деньги и могут их вложить в организацию будущих атак. Без изменения законов игра получается в одни ворота. Но сейчас мы, кажется, подходим к точке, где у защитников мира есть опыт сотрудничества, установленные связи и технологии, кооперация с правоохранительными органами, чтобы перевести игру на другую половину поля», – заключает Вильямс.
Советы