История Group-IB начиналась с расследований и компьютерной криминалистики, они были “визитной карточкой” компании. Пусть никто не думает, что это хвастовство, но мы были и остаемся лучшими в этом деле.
Наши конкуренты отправляют к нам тех, кто обратился к ним. И это показатель. Хотя сейчас в мире нас больше знают как инженеров и разработчиков. Первые кейсы, которые лично расследовали основатели компании Илья Сачков и Дима Волков, с технической точки зрения были несложными: взломы аккаунтов электронной почты, ЖЖ, ICQ, шантаж, заказные DDoS-атаки. А сейчас наша команда исследует мошенничество в системах онлайн-банкинга и мобильного банкинга, BEC-атаки (Business Email Compromise), атаки с использованием распространение вредоносных программ, создание бот-сетей, конкурентный шпионаж, утечки данных и так далее. Без инструментов и данных, которыми с нами делятся коллеги из департамента Threat Intelligence (Киберразведка), Центра реагирования на инциденты CERT-GIB 24/7/365 (кстати крупнейшего в Восточной Европе!) и департамента Digital Risk Protection, мы были бы не так всесторонне прокачаны. Например, наша киберразведка трекает криминальные группы — кардеров, фишеров, вымогателей и пишет правила хантинга, по которым мы можем отслеживать инфраструктуру атакующих. Я слежу за их работой очень внимательно: любая атака готовится довольно долго от пары недель до месяцев: когда злодеи “поднимают” сервера для атаки или регают сайты, с которых будут рассылать фейковые письма с вредоносным содержимым на борту — мы, а значит, и наши клиенты будут об этом знать первыми.
Я не преувеличу, если скажу, что мы имеем отношение к исследованию большинства крупных инцидентов информационной безопасности: мы изучаем такие инциденты или помогаем с их анализом полиции, чтоб защитить наших клиентов. То есть в буквальном смысле мы этим живём и "руками" исследуем инфраструктуру злоумышленников. Каждый продукт или сервис компании фактически имеет одну цель — остановить киберпреступника. Если интересно, некоторые наши публичные кейсы, например, дело братьев Попелышей, групп CRON, TipTop, "Киберфашистов" — можно посмотреть
здесь.
Мы находили ссылки на наш блог Group-IB в закладках браузера у киберпреступников — они знают о нас, и пока мы изучаем их, они изучают то, что мы пишем. После наших аналитических отчетов и блогов группы меняли техники, тактики и инструменты, чтоб мы больше не могли их трекать. Но это можно оценить как nice try. Не больше.
Мы — не киберполиция. Не надо путать. Так, в основном, думают те, кто не представляет сути нашей работы. Частные компании не занимаются оперативно-разыскной деятельностью, не задерживают киберпреступников. Они работают исключительно в интересах бизнеса и конечный бенефициар нашей работы всегда бизнес. Мы собираем доказательную базу для суда, выступаем в качестве технических экспертов — помогаем правильно (строго по закону!) изъять технику у киберпреступников — ноутбуки, телефоны, жесткие диски, серверы. Я на обыски и задержания не выезжаю, работаю в тылу — с изъятой техникой. Чем больше улик и артефактов я найду, тем быстрее мы сможем выйти на след преступника.
К раскрытию киберпреступления можно подойти с разных сторон — мы всегда идем по пути исследования технического бэкграунда. Расследуя хищения через дистанционно-банковское обслуживание (ДБО), полиция первым делом выходит на след обнальщиков — их можно по камерам отследить, быстро отловить и допросить руководителя обнала, узнать маршруты перевода денег. А выводил он их скорее через крипту и миксеры — и все концы в воду. Мы идем немного другим путем — с технической точки зрения. Находим программистов, так называемых заливщиков — тех, кто сидят в управляющем центре с вредоносным ПО и проводят транзакции. И с криптой, кстати, тоже можем разобраться.
Никто не застрахован от ошибок, даже опытные хакеры. Главное – понять, где наследили киберпреступники, найти проколы, слабые места, опечатки – это первый и очень важный этап моей работы. Помните эпизод из фильма «Один дома», где «мокрые бандиты» включали воду в ограбленных домах? Когда копы повязали их, то сразу поняли, кто орудовал в других домах. С киберпреступниками похожая ситуация. Одна-две лишние буквы в коде могут дать правильный вектор расследования. Никто не мог долго понять, почему акции одной известной международной компании обваливаются без всякого повода. Оказалось, что это было тщательно продуманная информационная атака, которая била по репутации компании. Мне с командой удалось вычислить злоумышленников — кстати они были русскоговорящими, они и придумали такую схему. Ее суть — запустить множество сайтов на английском языке, чтоб дискредитировать компанию. Акционеры получали ложные сведения о компании, паниковали и сбрасывали ценные бумаги. Мы нашли злодеев по многочисленным “хлебным крошкам”, которые они оставляли, создавая фейковые ресурсы. Для каждого клиента атаки на его компанию кажутся новыми, нестандартными. Но на самом деле хакерские схемы, даже хитро закрученные, можно распутать, если знать, с чего начинать.
Я делю киберпреступников на честолюбцев и растяп. Честолюбцы везде оставляют цифровые улики — свои никнеймы (так себя любят!) или ведут личный дневник, а потом на том же сервере тестируют мошенническую схему. Конечно, они подчищают все что могут, но наша система Threat Intelligence все равно “видит”и “запоминает” изменение инфраструктуры злоумышленников в ретроспективе 10-15 лет. Я восстанавливаю хронологию изменений и нахожу какую-нибудь интересную “дичь”. Что же касается растяп, они постоянно совершают одни и те же ошибки – и это могут быть просто типичные ошибки в обычных текстах. Эти огрехи повторяются на целой ветке сайтов, и я уже знаю, что это сделал один и тот же человек. Дальше нужно определить, кто именно это был.
Расследования некоторых киберпреступлений занимают годы и похожи на сериал. Например, в пандемию стала дико популярной мошенническая схема “Мамонт” («мамонтом» на сленге мошенников называют жертву) с фейковой курьерской доставкой товаров, заказанных на досках объявлений. Мои коллеги из Group-IB Digital Risk Protection подсчитали, что в 2020 году заработок всех преступных групп, использующих эту схему, превысил $6,2 млн, а количество фейковых ресурсов перевалило за 3 000. В конце-концов “Мамонту” стало тесно в России и он “ушел” в страны СНГ, Европу и Азию, начал осваивать новые ниши. При помощи телеграм-ботов мошенники генерировали фейковые ресурсы уже не только курьерских сервисов и досок объявлений, но и популярных сайтов аренды жилья, автомобилей, букмекерских контор. На нашем счету есть несколько успешных кейсов по этим мошенническим группам — одни специализировались на курьерских сервисах и досках объявлений, другие — на автомобильных сервисах.