USDКурс снизился 1.9746
EURКурс вырос 2.1262
| 26 февраля 2013

Как работает российская система охоты на киберпреступников?

В преддверии запуска одного из ключевых модулей глобальной системы CyberCop генеральный директор компании Group-IB Илья Сачков рассказал РИА Новости о том, как интеллектуальный поиск, анализ корреляции между различными данными и технологии мониторинга бот-сетей помогают ловить киберпреступников и снижать объемы мошенничества.

В конце минувшего года резидент инноцентра «Сколково» компания Group-IB выиграла грант в размере 30 миллионов рублей на разработку CyberCop — глобальной системы противодействия киберпреступности с элементами искусственного интеллекта. На текущей неделе компания официально представит один из ее ключевых модулей. В преддверии запуска генеральный директор компании Илья Сачков рассказал РИА Новости о том, как интеллектуальный поиск, анализ корреляции между различными данными и технологии мониторинга бот-сетей помогают ловить киберпреступников и снижать объемы мошенничества.

На стене в кабинете Сачкова висит плакат с героями культового кинофильма Квентина Тарантино «Криминальное чтиво». Черно-белые Винсент Вега и Джулс Винфилд смотрят на Сачкова сурово и, пожалуй, с укором. Ясное дело, ведь они — криминальные элементы, а Сачков — тот, кто с криминальными элементами помогает бороться.

О том, насколько эффективна эта борьба, можно судить по косвенным признакам: на форумах киберпреступников Сачков и компания Group-IB нынче называются чуть ли не главными врагами хакеров: за время своего существования компания сделала многое в области расследования и реагирования на компьютерные инциденты и нажила немало недругов.

В течение более чем десяти лет, помогая правоохранительным органам ловить хакеров и зарабатывая на расследовании инцидентов в сфере информационной безопасности, параллельно Group-IB разрабатывала CyberCop — глобальную информационную систему, в реальном времени агрегирующую информацию о киберпреступлениях различного характера.

Уникальный для российского рынка комплекс состоит из трех основных функциональных элементов: системы мониторинга Bot-Trek, которая отслеживает появление новых бот-сетей и извлекает из них данные о скомпрометированных клиентах финансовых организаций; Antipiracy, отслеживающей все, что связано с нарушением интеллектуальной собственности и незаконным использованием бренда, а также отдельной базы данных о киберпреступниках и связных с ними оперативных данных, именуемой Cybercrime Monitor.

Разветвленный комплекс начинался с простой поисковой системы.

Насущная необходимость поиска

Примерно в 2003 году, когда сотрудники аналитического подразделения компании столкнулись с необходимостью обрабатывать огромное количество информации из разных источников, существенно превышающее человеческие возможности для восприятия, возникла необходимость в автоматизации обработки данных. Сначала сотрудники компании пытались пользоваться встроенными в Windows средствами, создавая общие папки, в которые выкладывались данные от разных участников расследования. Однако это было неудобно.

«Простой пример: у нас есть дело, которое нужно расследовать. И в рамках дела у нас есть, например, номер ICQ, или IP-адрес. Нам нужно посмотреть, фигурировала ли эта информация в других материалах. Тогда-то мы поняли, что нужно как-то автоматизировать подобные процедуры», — поясняет гендиректор Group-IB.

Сотрудники компании написали поисковый движок, который позволял загружать файл в базу данных, осуществлять поиск по этому файлу и находить пересечения с информацией в других, ранее загруженных в базу, файлах. Изначально система умела только сигнализировать об обнаружении пересечений, не детализируя их характер. Позже Group-IB усовершенствовала алгоритм — система научилась вычленять из текста заголовок письма, распознавать адреса электронной почты и классифицировать их как адреса отправителя и получателя, IP-адреса, адреса веб-страниц, время отправки и получения письма, номера телефонов и прочие данные, которые могли бы помочь в расследовании.

«Примерно в 2004 году, мы сделали визуализацию событий. Например, если речь идет о переписке между двумя объектами, то система наглядно показывает связь между ними. Позже, когда широкое распространение получили социальные сети, мы научили ее подтягивать данные оттуда: если участники переписки являются еще и друзьями в социальных сетях, система показывает это», — говорит Сачков.

Борьба с DDoS-атаками

Примерно с 2006 года стали набирать популярность DDoS-атаки на сайты интернет-магазинов и компаний. В связи с этим в системе появился функционал для анализа специфической информации, связанной с такими атаками — логов и сигнатуры трафика, массивов IP-адресов и прочих данных, которые могли предоставить провайдеры, регистрировавшие атаку, и ее жертвы.

Кроме того, к тому времени у Group-IB была собственная сеть компьютеров, симулирующих наличие уязвимости для приманки киберпреступников («honeynet»). Преступники заражали такие компьютеры вредоносными программами, а сотрудники Group-IB, имея доступ к компьютерам-приманкам, могли видеть, какие команды приходят на зараженную машину, и с какого IP-адреса эти команды были отданы. По отдельности все эти данные могли сказать об атаке и ее организаторах немного, но после сравнительного анализа картина становилась яснее.

«Чтобы четко видеть, какая бот-сеть какой сайт атакует, нужно в идеале иметь доступ к ее панели управления, получить который удается не всегда. Однако благодаря анализу характера атаки из разных источников, нам удавалось определить источник атаки и ее масштаб даже без доступа к панели управления», — поясняет Сачков.

Параллельно на рынке стали появляться различные криминалистические комплексы, которые позволяли из образа компьютера или жесткого диска доставать важную для криминалиста информацию, анализ которой помогает понять, как происходил инцидент. Group-IB обучили систему проводить анализ такой информации. С этого момента CyberCop стала обретать нынешние очертания разветвленной системы для расследования киберпреступлений.

Анализ хакерского андерграунда

С каждым новым инцидентом в сфере кибербезопасности в Group-IB понимали важность аналитической работы. За любой атакой стоят реальные люди, которые перед осуществлением задуманного обсуждают детали на различных площадках — в основном, форумах открытых и закрытых.

«Тогда мы решили создать модуль, который собирал бы информацию об объявлениях, появлявшихся на хакерских форумах, псевдонимах их участников и прочих данных, которые там появлялись», — рассказывает Сачков.

Однако просто запустив поискового «паука» на форум, можно собрать лишь ту информацию, что на нем публикуется. Часто критически важные для расследования инцидентов данные доступны только владельцам таких ресурсов — например, данные, которые участник форума (и потенциальный киберпреступник) вводит при регистрации на нем, или содержание переписки из встроенной в форум системы обмена личными сообщениями. Поэтому в Group-IB, помимо модуля для сбора информации с настоящих хакерских форумов, создали несколько «ненастоящих» интернет-ресурсов, в том числе закрытых и платных.

«В борьбе с киберпреступностью это нормальная практика — несколько лет назад ФБР в открытую заявило о том, что в течение нескольких лет содержало несколько подобных форумов. Если всерьез хочешь заниматься расследованиями киберпреступлений, без таких инструментов не обойтись», — говорит Сачков.

Обычно на «живых» хакерских форумах, особенно закрытых, на которых ведется обсуждение и планирование реальных киберпреступлений, активную деятельность ведет всего несколько десятков пользователей. Эта особенность позволила провести довольно точный анализ и классификацию деятельности конкретных пользователей таких форумов.

«Поначалу на форумах система просто сканирует темы и собирает информацию о том, что на них происходит. После сбора система анализирует объявления и сообщения каждого участника, сопоставляет их с сетевыми псевдонимами, и в итоге выдает своеобразное «досье» на каждого предполагаемого киберпреступника: на каком виде хакерской деятельности он специализируется, как часто публикует объявления, что пишет в комментариях и так далее. Если на каком-либо форуме проскакивает информация о том, кто именно скрывается за тем или иным псевдонимом, система «складывает» эти данные в «досье» пользователя и помечает их как требующие дополнительной проверки», — рассказывает Сачков.

Со временем система научилась распознавать, под какими сетевыми псевдонимами на разных форумах скрывается один и тот же человек, анализируя совпадения в данных, которые он указывает при регистрации на форумах, а также проводить другие параллели между участниками разных форумов. Тем не менее, для еще более масштабного анализа не хватало одной функции.

Корреляция

Хотя собранная на форумах информация давала криминалистам множество данных о том, кто, где, когда и по каким ценам предлагает различные нелегальные услуги, ценность этих данных в отрыве от информации, собранной другими модулями, была относительно низкой. Поэтому в 2007 году разработчики стали «учить» свой поисковик соотносить сведения, добытые на хакерских форумах с информацией, полученной в ходе прошлых расследований, а также с помощью модуля, созданного для анализа бот-сетей и DDoS-атак.

«Это очень помогло в расследованиях, потому что мы стали видеть связь между конкретными инцидентами, сведения о которых поступили от наших клиентов и партнеров, и событиями, происходившими на форумах, которые мы сканируем. Стало примерно ясно, какие есть группировки, и в каких делах они были замешаны», — рассказывает Илья Сачков.

Даже с учетом того, что большинство сведений, загруженных в базы данных системы, лежат в открытом доступе, их анализ позволяет выявить неочевидные связи между фигурантами дел, связанных с киберпреступлениями.

«Система дает своего рода подсказки правоохранительным органам о том, кого еще можно допросить по тому или иному инциденту, какую информацию у какого оператора запросить и так далее. Она не раскрывает преступление, но создает его примерную карту со всеми основными фигурантами», — поясняет эксперт.

Банковские атаки

Появление в CyberCop возможности сопоставлять данные из различных модулей оказалось своевременным — примерно с 2009 года распространение получили атаки на системы дистанционного банковского обслуживания. На черном рынке появились вредоносные программы, созданные специально для атак на российские системы интернет-банкинга и дистанционного банковского обслуживания. Десятки миллионов рублей потекли со счетов крупных и малых компаний на счета киберпреступников. RDPDoor, Carberb, Shiz и другие названия банковских троянских программ стали все чаще мелькать в СМИ и отчетах антивирусных компаний. В целом хакеры перестали восприниматься как талантливые хулиганы. Их действия стали расцениваться как реальные преступления и возможность выявлять, кто скрывается за тем или иным ником, которую предоставляет CyberCop, пригодилась правоохранителям.

«В связи с появлением специализированных вредоносных программ, мы создали еще один модуль — Malware Data Base, в который загружаются все сведения о новых версиях таких программ, а также о том, как они были получены, откуда и какие есть корреляции с данными из других наших баз данных», — рассказывает Сачков.

Новый модуль добавлял в «карту» преступлений важную деталь — информацию об инструментах, которые преступники использовали для совершения преступлений. Эти данные помогают при расследовании инцидентов квалифицировать деятельность киберпреступников как уголовное преступление в сфере IT и заводить дела по соответствующим статьям уголовного кодекса.

Одновременно появилась необходимость фиксировать случаи хищений: сколько денег украдено, у какой компании, в какой банк переведено и где обналичено — сбор, систематизация и анализ всей этой информации стали необходимостью.

Часть информации по таким инцидентам Group-IB удавалось получить с помощью уже существующих модулей системы. В частности, очень пригодился модуль для анализа бот-сетей, использующихся в DDoS-атаках, поскольку киберпреступные группы, промышляющие банковскими хищениями, используют для распространения вредоносного ПО и управления зараженными компьютерами такие же бот-сети, как и для атак на отказ в обслуживании. Другую часть информации удавалось получить от жертв хищений, которые обращались в Group-IB за помощью. Однако львиная доля данных, необходимых для составления картины подобных преступлений, находится на серверах банков, через которые проходили похищенные деньги.

Для получения такой информации в компании создали дополнительный модуль FraudMonitor.

По словам Сачкова, сейчас с Group-IB сотрудничает около 60 российских банков, часть из которых согласилась отдавать информацию о хищениях в FraudMonitor. В результате в базе данных появился постоянно обновляемый черный список «дропперов» — счетов, на которые киберпреступники выводят похищенные деньги для их последующей обналички.

«Черный список уже приносит реальную пользу — если банк, имеющий к нему доступ, видит попытку вывести деньги на скомпрометированный счет, он может предотвратить хищение, заморозив операцию», — приводит пример Сачков.

По словам гендиректора Group-IB, с помощью этой системы уже удалось предотвратить тысячи хищений, и удастся еще больше по мере того, как количество банков, пополняющих базу FraudMonitor, будет увеличиваться.

Система в идеале

CyberCop почти готов к полномасштабному применению. На деньги, полученные от «Сколково», в Group-IB рассчитывают завершить разработку системы уже в следующем году.

И хотя разработка еще не завершена, она уже помогла в поиске и поимке двух крупных киберпреступных групп, похитивших с помощью вредоносных программ более 60 миллионов рублей. Громкие аресты членов этих банд, произведенные весной прошлого года, стали итогом оперативно-розыскных мероприятий, в которых активно использовалась информация, добытая системой Group-IB.

По словам Сачкова, в идеале система должна стать полнофункциональным инструментом для расследования и предотвращения киберпреступлений для любого специалиста, работающего в данной сфере.

«В идеале должен получиться инструмент для работы сотрудников МВД, служб безопасности банков и других организаций, столкнувшихся с киберпреступлениями», — говорит Сачков.

Запускать систему компания планирует частями. Так, на этой неделе Group-IB представит систему мониторинга бот-сетей Bot-Trek на крупнейшей конференции по безопасности в США — RSA Conference 2013. Также в ближайшее время компания официально представит еще одну часть CyberCop — сервис ThreatCenter, который позволит в реальном времени отслеживать DDoS-атаки, видеть списки зараженных сайтов и другую информацию, собранную с помощью поисково-аналитической системы компании. Впоследствии один за другим в «онлайн» будут выведены и другие компоненты CyberCop.



Теги: IT, правонарушения, Россия
Будь в курсе событий
Подпишитесь на наш пятничный дайджест, чтобы не пропустить интересные материалы за неделю