Автор: Вадим Алексеев, руководитель департамента расследований высокотехнологичных преступлений компании F6
Эта история случилась еще до того, как я пришел в компанию, и превратилась в корпоративную легенду.
Весной 2015 г. у жителей обычного дома в Санкт-Петербурге появилось сразу два повода для бурных обсуждений. Первый – после того, как в квартиру соседей, братьев-близнецов, с оглушительными звуковыми эффектами ворвался спецназ. А второй – когда по милости братьев на некоторое время вышла из стоя канализация.
Близнецов, которых подозревали в хищениях денег клиентов ведущих российских банков с использованием вирусных программ, силовики пришли задерживать уже во второй раз – за несколько лет до того братьев осудили, но они отделались условными сроками и выводов для себя, похоже, не сделали. Расставаться со свободой повторно злоумышленники не хотели, потому дверь оперативникам не открыли. Чтобы проложить себе путь, спецназовцам пришлось воспользоваться болгаркой. Пока бойцы срезали петли металлической двери, близнецы спешно уничтожали улики. На случай прихода правоохранителей они запасли электромагнитную пушку, способную размагничивать жесткие диски. Но уничтожить деньги, флешки и сим-карты так же быстро не получалось.
Под визг болгарки один из братьев пытался смыть полмиллиона рублей наличными в унитаз, но тут же доказал самому себе, что в ИТ он разбирается куда лучше, чем в ЖКХ. Канализационный стояк быстро забился, так что улики удалось спасти, но с ними оперативникам пришлось помучиться. Прежде чем приобщить деньги к материалам дела, банкноты пришлось сушить.
Хакеры – такие же люди, и ничто человеческое им не чуждо. Случаев, когда злодеи забывали на месте преступления свой паспорт, немало. Злоумышленники, которые действуют в цифровом пространстве, порой попадают в похожие истории. К техническим ошибкам их часто приводит гордыня (в библейском смысле), а еще чувство безнаказанности В одном из наших расследований был эпизод, когда злоумышленник сидел в RDP-сессии, и в то время, когда на компьютере жертвы работал кейлогер, заказывал какой-то девайс со своего компьютера в интернет-магазине. Хакер указал свой домашний адрес: использовал Сopy&Paste, который провалился в удаленную машину. Эти данные остались на компьютере жертвы и помогли понять, где находится злодей.
Однажды мы проводили расследование волны DDoS-атак на различные компании, которая началась летом 2021 г. Атаки характеризовались большим объемом запросов с известных прокси-сервисов. Пострадали тогда самые разные компании, мы получили массу обращений. Пробовали технически анализировать эти атаки, но постоянно натыкались на использование злоумышленниками различных анонимных сервисов, а объем данных для анализа был так велик, что приводил к прожиганию ресурсов.
Выбрали нестандартное решение: стали исследовать рынок DDoS-услуг. В процессе нашли множество Telegram-чатов, большое количество злоумышленников, которые перекупали друг у друга инструменты, методы атак. А еще неожиданно оказалось, что участники этих чатов – достаточно молодые люди, конкуренция высокая, поэтому в тематических ресурсах они активно рекламировали свои каналы и выдавали полезные данные друг о друге.
Анализ каналов и чатов, принадлежавших разным злоумышленникам, помог связать атаки с исполнителями и сдеанонить их: они даже выкладывали скриншоты недоступности сервисов. Переписки с исполнителями помогли исследовать используемые инструменты. В процессе деанона мы выяснили личность одного из предполагаемых злоумышленников и регион, в котором он вырос. Для проверки точности результата написали ему приветствие на национальном языке этого региона и попали в точку: злоумышленник успешно прошел проверку и на запрос ответил.