Обыкновенное киберпреступление: шорт-лист по поиску хакеров

В ноябре 2020 Group-IB и Interpol раскрыли подробности спецоперации Falcon по пресечению деятельности киберпреступников из Нигерии, занимающихся взломом корпоративных почтовых аккаунтов и фишингом с целью кражи аутентификационных данных пользователей.

С 2017 года преступная группа, получившая название TMT, скомпрометировала данные не менее 500 тысяч государственных и частных компаний в более чем 150 странах мира. Личности некоторых членов преступной группы удалось установить благодаря технологиям расследования высокотехнологичных преступлений Group-IB и эффективному взаимодействию между частной компанией и международными правоохранительными органами. 

Основным вектором атак TMT был фишинг, который был и остается самым популярным инструментом — как среди прогосударственных APT (advanced persistent threat), так и среди скамеров. Практически каждый из сценариев атак включает применение фишинга — это либо веб-сайт, либо почтовая рассылка, содержащая вредоносное ПО в архиве или по ссылке.

За почти 20 лет боевого опыта расследований высокотехнологичных преступлений мы накопили большой объем практических кейсов исследования фишинговых схем. Сегодня я готов поделиться шорт-листом по процессу поиска и атрибуции злоумышленников, использующих фишинг как инструмент для своей деятельности.

Этап 1. Изучение первичных данных и поиск артефактов

В начале расследования мы анализируем детали произошедшего: тип фишинговой атаки, последовательность событий, способ распространения, вид вредоносного контента, первичные индикаторы (email, название вложения, ссылки, домены и другие). 

На следующем шаге приступаем к изучению самой приманки, заставившей жертву открыть вредоносное письмо или зайти на сайт. Ею могут быть фишинговые электронные письма, их вложения, вредоносные ссылки, страницы, сообщения в мессенджерах. В основном содержание таких приманок сводится к трем видам объектов: электронное письмо, вредоносный код, фишинговый сайт. 

Фишинговые письма бывают разными. В нашей практике были примеры, когда фишинг, замаскированный под корпоративные рассылки от HR, рассылался сотрудникам конкретного отдела внутри компании. Мы недавно описывали такую атаку от группы RedCurl, занимающейся шпионажем.

Анализируя такую почтовую рассылку, особое внимание стоит уделить изучению так называемого, «тела» фишингового письма и его технических заголовков. Наш шорт-лист артефактов, которые мы стремимся обнаружить в фишинговом письме, выглядит так:

• Вложения. Могут содержать вредоносный контент либо представлять собой платежные документы с поддельными реквизитами. 
• Фишинговые ссылки. Часто замаскированы гиперссылками под легитимные URL. Присутствуют в большинстве сценариев фишинговых атак и позволяют перейти к поиску и исследованию инфраструктуры атакующих.
• Timestamps отправки и получения сообщений. Позволяют соотносить хронологию инцидента и иногда определять временную зону отправителя вредоносного письма.
• Общие технические заголовки в исходном коде письма (Envelope-From, Return-Path, Reply-to, Receive-From). В случае подделки реквизитов письма из них можно будет извлечь реальные почтовые адреса и домены злоумышленников.
• Дополнительные технические заголовки (X-PHP-SCRIPT; X-ORIGINATING-SCRIPT). Редкие, но очень ценные артефакты. Иногда позволяют установить способы отправки письма: конкретные скрипты-рассыльщики, их URL, а иногда и IP-адрес отправителя. 

Фишинговые атаки могут сопровождаться использованием различного рода вредоносного кода. В расследовании нас мало интересует то, как он работает, поэтому нет необходимости глубоко погружаться в реверс-инжиниринг, все самое важное лежит на поверхности:

• IP-адреса и домены, используемые для коммуникации с серверами C&C и внешними ресурсами. Поможет в дальнейшем при исследовании инфраструктуры.
• Контактная информация разработчиков, указанная в коде (никнеймы, email, мессенджеры). Встречается нечасто, при этом позволяет наиболее точно провести атрибуцию.
• Текстовые комментарии, заметки, неактивные функции ПО, используемые названия переменных и функций, стиль написания кода. Анализируется в случае, если других весомых артефактов не было обнаружено.

Фишинговые сайты используются не только в массовых кампаниях, но — часто — и в таргетированных. Гиперссылки на специально созданные фишинговые сайты встречаются в целенаправленных почтовых рассылках на сотрудников компаний и госучреждений. 

На фишинговом сайте мы:

• изучаем текущие и исторические регистрационные данные WHOIS, DNS-записи;
• отмечаем функциональные особенности, стек технологий и модулей, используемых для его работы;
• анализируем код страницы;
• ищем и исследуем формы и панели авторизации;
• фиксируем сетевую активность при взаимодействии клиентского приложения и веб-сервера с фишинга.

Отдельно нужно выделить изучение C&C-серверов либо серверов, на которых хостится фишинговый контент. Обычно мы выполняем сканирование портов, поиск открытых директорий, проводим URL-фаззинг и content discovery, изучаем SSL-сертификаты, ищем субдомены. 

Главная цель изучения исходных объектов — найти любую зацепку, позволяющую атрибутировать фишинговую кампанию. Что искать конкретно — вопрос творческий: начиная с внешних IP-адресов и новых доменов, заканчивая рекламными идентификаторами, никнеймами, телефонами и почтами. 

В большинстве случаев исследования лишь исходных данных недостаточно — злоумышленники, как легко догадаться, не оставляют адреса проживания или номер мобильного телефона в коде вредоноса или фишингового сайта и, конечно, не отправляют письма с личной электронной почты (хотя бывает и такое). Однако любое действие оставляет след, и работа аналитика состоит в том, чтобы обнаружить как можно больше таких следов и связать все в единое целое.

Этап 2. Расширяем знания о деятельности конкретных злоумышленников

Для того чтобы обогатить знания об атакующих, необходимо максимально расширить «рамки видимости» их киберактивности: обнаружить другие фишинговые кампании, новые и неизвестные ранее инциденты, тестовые и «белые» проекты злоумышленников, возможно, их ближайший круг общения. 

В нашей практике были случаи, когда идентифицировать злоумышленника нам помогал Instagram-аккаунт его подруги, которая заботилась об анонимности своего парня меньше, чем он сам. 

Зачастую даже у самых успешных хакеров есть вполне легальная работа, личные проекты; они ведут размеренный образ жизни. Главная задача для них — не смешивать «белую» и «черную» деятельность. И вот тут-то и возникают несостыковки, которые помогают исследователям восстанавливать цепь событий и связывать две противоположные стороны их личности.

Важно понимать, что злоумышленники — тоже люди и имеют свойство ошибаться, особенно на ранних этапах своего преступного пути. Именно поэтому такие «подарки», как мисконфигурации серверов, указанные по ошибке личные контактные данные, никнеймы, аккаунты, могут быть обнаружены и использованы для поиска «белой» стороны хакера. В нашем деле чем больше — тем лучше. Подобных историй в арсенале команды расследований Group-IB много.

Один из злоумышленников был подключен к компьютеру в сети скомпрометированной организации через RDP. В системе работал написанный им кейлоггер. В какой-то момент преступник устал работать и решил заказать себе пиццу на своем же компьютере. Введенные учетные данные и адрес доставки попали в журнал кейлоггера, который отправлял данные на командный сервер. В ходе расследования журнал этого логгера проанализировали специалисты Group-IB и обнаружили почту злоумышленника и адрес доставки.

В другом кейсе забыть об осторожности преступника заставила забота о своем здоровье. У аналитиков Group-IB долгое время не было никаких зацепок для идентификации личности преступника, кроме его ника на одном из андеграундных форумов, который больше нигде не встречался. И вдруг пользователь с таким же ником появился на одном из медицинских форумов, выложив свой рентгеновский снимок с вопросом, что ему грозит. Помимо искривления носовой перегородки на снимке можно было увидеть ФИО преступника.

Другой пример: установив никнейм одного злоумышленника, специалист, занимавшийся исследованием, начал искать пути выхода на его реальную личность. На одном из форумов этот пользователь жаловался на то, что у него не работает китайский телефон (довольно редкий), к постам прикрепил фото телефона. На этом же форуме был обнаружен пользователь с другим ником, который тоже жаловался на этот телефон, причем на прилагаемом скриншоте был абсолютно такой же телефон, с той же заставкой, как у первого пользователя. Это «совпадение» позволило позже выйти на реальную личность злоумышленника.

Этап 3. Единство разных сущностей

Итак, к заключительному этапу исследования собирается внушительная база зацепок: домены, IP-адреса, никнеймы, аккаунты на хакерских и обычных форумах, email-адреса и даже телефоны. Большой перечень незначительных индикаторов начинает связываться в одну длинную цепочку, ведущую от фишинговой атаки к конкретному лицу или группе лиц. 

Здесь мы, наконец, можем прибегнуть к классическому OSINT. Персональный набор методов и инструментов напрямую зависит от знаний, умений и изобретательности исследователя. Как правило, это Social OSINT, использование Search Dorks в поисковых системах, проверка открытых баз данных, а также большой набор OSINT hints, индивидуальный для каждого исследователя. 

Естественно, если необходимо, мы можем прибегнуть к использованию графового анализа и других инструментов Threat Intelligence & Attribution. Это хорошее подспорье для расследования, поскольку такая система «запоминает» инфраструктурные данные: IP, домены, серверы и другие каждый день, а также хранит внушительную и постоянно обновляемую базу данных по хакерским группам и отдельным персонажам. 

Сейчас вы, вероятно, подумали, что расследование, конечной целью которого является идентификация личности киберпреступника, — минутное дело. И так действительно бывает, но крайне редко. Именно поэтому расследование никогда не автоматизировать полностью, можно лишь вооружиться инструментами вроде графа, который поможет очертить «область исследования».

Этап 4. Проверка и подтверждение обнаруженных связей: правило трех

Итак, получив как можно более полную картину, мы приступаем к самому интересному. Дальнейший процесс расследования построен на выдвижении и проверке гипотез, которые выстраиваются в цепочку связей от фишинговой активности к конкретным людям. 

Даже если в результате исследования фишинговой атаки удалось установить конкретного человека, мы ищем дополнительные независимые информационные связи, которые бы подтверждали его причастность. 

Подтвердив выдвинутые гипотезы относительно личности злоумышленника минимум тремя независимыми фактами, мы можем утверждать, что установили злоумышленника.

Этап 5. Вор должен сидеть в тюрьме

Однако даже идеально проведенная аналитическая работа и великолепное расследование могут оказаться бесполезными. Почему? Представьте себе кейс, в котором злоумышленник действовал на территории одной страны, но скомпрометировал сеть компании, находящейся в другой стране, и использовал для этого инфраструктуру, базирующуюся в третьей. Допустим, мы даже выяснили, где он физически находится. Но если между странами нет дипломатических соглашений о выдаче преступников, — задержание попросту никак не провести. Преступник остается на свободе. 

К сожалению, без отлаженного и эффективного механизма международного взаимодействия невозможно достичь конечной цели — привлечения злоумышленников к ответственности, как в случае с нигерийским кейсом, приведенным в самом начале статьи. В деле доведения расследования до финальной точки — задержания — так важна коллаборация технологий частных компаний и ресурсов правоохранительных органов, а также усиление взаимодействия бизнеса и госорганизаций.

Несмотря на то, что способов обеспечения анонимности и сокрытия следов киберпреступлений становится все больше, злоумышленникам далеко не всегда удается уйти от ответственности. В ходе атак остается множество цифровых следов, которые можно использовать для отслеживания преступников.

С каждой новой атакой доступных для исследования артефактов, а значит, и шансов найти ошибку злоумышленника, становится все больше.

Иногда отслеживание цифровых следов и поиск преступника может занять несколько месяцев или лет. Однако любая история однажды заканчивается. Тщеславие, поиск новых источников дохода и простых человеческих радостей в результате приводят к печальным для преступника последствиям.

Фото: Rawpixel / Shutterstock