Елена Шамшина, F.A.C.C.T.: Работа под прикрытием в даркнете любит тишину

Елена Шамшина, руководитель департамента киберразведки компании F.A.C.C.T., рассказала порталу Cyber Media о специфике проектов, связанных с внедрением специалистов по информационной безопасности в киберпреступные сообщества.

Cyber Media: Насколько у хакерских групп развита собственная безопасность при приеме новых членов?

Елена Шамшина: Конечно, определенные правила безопасности, «гигиены», техники сокрытия следов есть у всех хакерских групп. Но всё достаточно индивидуально. Если у атакующих есть запрос на прием новых членов в свое сообщество, то они скорее будут рады активности и вниманию извне, и здесь их интересуют скорее технические навыки и прошлый «андеграундный» опыт кандидата.

Сообщение о поиске партнеров у одной из преступных групп вымогателей

Если же они не заинтересованы в новых участниках, то скорее всего будут максимально скрывать информацию о себе и проигнорируют предложение присоединиться к ним, или в целом откажутся выходить на контакт.

Хакерские группы внутри могут иметь самую разную структуру. От нескольких участников, до сложной организации. Так, например, через утечку стало известно, что группа вымогателей Conti была настоящей криминальной IT-компанией со своими отделами HR, R&D, OSINT, тимлидами, регулярной выплатой зарплаты, системами мотивации и отпусками. Скорее всего, у них было что-то вроде службы безопасности, которая в том числе проверяла кандидатов – относятся ли они к каким-либо ИБ-компаниям, правоохранительным органам или к конкурентам.

Cyber Media: В какие киберпреступные сообщества чаще всего внедряются специалисты по кибербезопасности и почему?

Елена Шамшина: Чаще всего специалисты по киберразведке внедряются в группировки вымогателей и различные партнерские программы. Это легко объяснить. Как мы отметили в нашем ежегодном отчете, программы-вымогатели в 2023-2024 году сохраняют за собой первое место в списке главных киберугроз для бизнеса.

Количество атак шифровальщиков с целью получения выкупа в прошлом году в России выросло на 160%, а средняя сумма первоначального выкупа составила 53 млн рублей. Жертвами чаще всего становились ритейлеры, производственные, строительные, туристические и страховые компании.

Учитывая всё это, их высокую активность и «прибыльность» такого бизнеса, со стороны игроков сферы ИБ существует большой интерес к внутренней структуре этих групп и данным атакующих.

Различные партнерские программы позволяют кибепреступникам масштабировать бизнес, увеличивать прибыль и привлекать больше жертв. А для увеличения доходов действующие по этой схеме злоумышленники, как правило, находятся в поиске новых участников, партнеров, что специалисты в сфере киберразведки успешно используют для внедрения.

Cyber Media: Если говорить о громких публичных кейсах, связанных с приостановкой деятельности хакерских групп – в чем залог успеха? Это получение доступа через технические уязвимости или как раз внедрение, инсайдерская деятельность.

Елена Шамшина: Не только счастье, но и работа под прикрытием в хакерских сообществах любит тишину. Из-за публичных кейсов, когда исследователи рассказывали, публиковали данные о внедрении, киберпреступники, что объяснимо, начинают вести себя настороженно, подозревать всех в шпионаже. Поэтому я не буду раскрывать профессиональных секретов, чтобы не сыграть на руку киберпреступникам.

Что касается кейсов, которые привели к приостановке деятельности, задержаниям членов киберпреступных групп, то доля их успеха во многом связана с участием представителей правоохранительных органов. Они имеют полномочия обратиться к хостингам и получить доступ к серверам, перепискам, данным злоумышленников, могут долгое время изучать полученную информацию и видеть текущую деятельность преступной группы, которая не будет даже подозревать об этом. Разумеется, правоохранительные органы перед этим проводят подготовительные исследования, и в этом им помогают в том числе данные, добытые ИБ-компаниями.

Каждый громкий успешных кейс уникален: где-то помогли обнаруженные технические уязвимости, а где-то внедрение и инсайдерская деятельность, а может быть, роковая ошибка члена группировки.

Cyber Media: Как долго длится проект по внедрению специалиста в киберпреступное сообщество, из каких общих этапов он чаще всего состоит?

Елена Шамшина: Продолжительность работы под прикрытием в каждом случае своя, зависит от поставленных задач и успешного их выполнения. В целом алгоритм выглядит следующим образом.

Сначала поиск контактов, по которым будем связываться с представителем преступного сообщества. Иногда уже это бывает нетривиальной задачей.

Потом нужно установить контакт. Здесь специалист по киберразведке применяет свои знания в выбранной области киберпреступной активности, показывает, что разбирается в этом. Использует социальную инженерию, чтобы убедить злоумышленника, что тоже «один из них».

Часто злоумышленники спрашивают о прошлом опыте «потенциального нового партнера» или даже устраивают техническое собеседование. Благодаря глубоким знаниям и сообразительности, а иногда и с коллективной помощью со стороны коллег аналитики на них отвечают. Злоумышленник может даже дать «тестовое задание».

Финал этапа «внедрения» наступает, когда аналитик принят в группу: «менеджер» из кибепреступной группы уже ждет от него информации о новых успешных атаках. Конечно, «внедренный» сотрудник никого не будет атаковать. В этом случае главное как можно дольше тянуть время и в процессе выяснять как можно больше деталей о работе преступной группы.

Внедренному специалисту по кибербезопасности организаторы из группировок могут предложить «добыть» доступ к какой-либо компании, закрепиться в ней, чтобы создать плацдарм для успешного заражения вредоносной программой. Собственно говоря, так и выглядят задачи рядовых участников группировок.

Cyber Media: Как изнутри выглядит деятельность хакерской группы? Можете ли Вы поделиться примерами, с какими кейсами может сталкиваться внедренный специалист по кибербезопасности?

Елена Шамшина: Как мы уже говорили, одни из наиболее распространенных кейсов в практике аналитиков — это внедрения в группировки операторов программ-вымогателей. Как правило, в этих группировках есть человек, который осуществляет внешние контакты, кто-то вроде администратора группы. Это может быть как основатель и «топ-менеджер», так и нанятый человек. Он осуществляет первичный контакт и проводит собеседования. Внутри группы, как правило, есть разработчики, которые создают и обновляют программы-шифровальщики, кроме группировок, предпочитающих покупать, брать чужой исходный код. У группировок есть IT-администраторы, которые занимаются поддержкой серверов с данными клиентов и сайты. Есть пентестеры — они ищут слабые места и совершают атаки на жертв. И переговорщики, целью которых является общение с жертвой, запугивание ее, чтобы получить как можно больший выкуп.

Что-то пойти не так может на любом этапе. В нашей практике имел место случай, когда аналитик успешно внедрился в чат киберпреступной группировки в мессенджере TOX. Администраторы дали ему задание добыть доступы одной организации, а также сказали, что добавят еще в чат в Telegram. Исследователь, конечно, никакие доступы не доставал и тянул время. В TOX участники группировки не обсуждали ничего важного, а потом вовсе пропали. Возможно, что-то заподозрили и переехали в Telegram уже без аналитика под прикрытием.