Мы продолжаем серию статей об историях ошибок хакеров, которые приводили или к их аресту, или к установлению их личности. В первой части мы уже говорили о таких известных киберпреступниках, как Джереми Хаммонд и Коди Кретсингер. Но эта глава вышла не менее интересной, и начнем мы ее с самой классической ошибки, которая привела на скамью подсудимых не одного хакера.
Слишком большая самоуверенность или жажда славы.
Тщеславные, заносчивые хакеры – это настоящая находка для спецслужб, ведь их желание доказать свою « крутизну» нередко превалирует над осмотрительностью и банальным инстинктом самосохранения. «Докажи, что не слабо» – это буквально детская «разводка», однако она работает и на вполне себе взрослых, умных людях.
Одним из самых ярких примеров последних лет являются случаи поимки хакеров за счет игры с их эго и жаждой наживы. Один из ярких случаев—это конфликт Anonymous и LulzSec, который привел к поимке самых опасных киберпреступников и развалу крупнейших хакерских группировок. Каждая их этих группировок считала себя самой мощной и влиятельной, требовала внимания со стороны общественности. На этом и сыграли спецслужбы, стравив их друг на друга методом социальной инженерии, и, как результат, смогли выявить и арестовать многих участников этих группировок.
Из последних громких случаев — это поимка не только хакеров, но и борьба с наркотрафиком за счет создания поддельного защищенного мессенджера, который рекламировался на закрытых площадках. Также использовались методы социальной инженерии и фишинга, чтобы злоумышленники стали пользоваться этим ПО с заложенным в него скрытым функционалом, что помогло в дальнейшем в ходе оперативно-розыскных мероприятий и сборе доказательной базы.
В конце концов они совершают ошибку, и кто-то это замечает.
Контролировать человеческий фактор практически невозможно, необходимо анализировать каждую деталь во время расследования чтобы найти где именно преступник совершил ошибку. Для сбора подобных данных специалисты используют deception-инструменты. Это программные решения, которые создают ложные объекты в инфраструктуре, чтобы привлечь внимание хакера и заставить его совершить ошибку, которая выдаст его присутствие. Например, deception-инструмент может имитировать открытый порт, который хакер попытается использовать для взлома, но на самом деле это ловушка, которая соберет информацию о хакере и отправит ее специалистам по ИБ.
Для того, чтобы ввести злоумышленника в заблуждение используются различные техники киберобмана которые позволяют создавать ложные или искаженные элементы инфраструктуры, которые привлекают внимание киберпреступников и способствуют их детектированию и удержанию.
Грамотное использование инструментов помогает собирать данные о киберпреступниках, их особенностях поведения и целях атаки, которые могут быть использованы для построения эффективной защиты, обновления политик безопасности и обогащения знаний информационных систем и специалистов.
Киберобман является одним из современных и перспективных методов борьбы с киберпреступностью, который использует человеческий фактор против хакеров, манипулируя их психологией, любопытством и жадностью.
Надежда на отсутствие международного ордера на арест.
Несмотря на очень натянутые отношения между США и РФ в прошлом году в 14 городах России задержали 16 членов хакерской группировки «REvil» на основании запроса из США и требования Джо Байдена. В ходе обысков изъяли 426 млн рублей, 600 тыс. долларов, 500 тыс. евро, криптокошельки и 20 автомобилей премиум-класса. Группировка заражала серверы крупнейших западных и азиатских компаний, включая партнёров Apple, программами-вымогателями. «Лаборатория Касперсокого» в 2021 году признавала их самыми успешными хакерами в мире.
22 января 2022 года суд в Москве арестовал четверых членов хакерской группы «The Infraud Organisation», включая лидера Андрея Новака. Кибермошенники похищали данные кредитных карт. И снова задержания прошли при поддержке США. Американские правоохранители взялись за эту группировку ещё в 2018 году и задержали 13 человек. К тому времени хакеры нанесли ущерб на 530 млн долларов. 4 года преступники спокойно жили в России, но всё изменилось после того, как Путин и Байден обсудили вопросы кибербезопасности в Женеве летом 2021 года.
Третий запрос на арест хакеров пришёл в московский суд 7 февраля: следователи МВД потребовали отправить в СИЗО шестерых хакеров по обвинению в неправомерном обороте средств платежей. На этот раз название группировки не раскрывалось, но большинство её членов имели официальное трудоустройство в обычных компаниях.
В плане отношений России и США разгром REvil может быть незначительным на первый взгляд событием, которое приведет к значительным последствиям, считает программный директор клуба «Валдай»,
Сейчас отношения России и США достаточно напряжены, и тот факт, что помимо разногласий у нас есть еще и определенные точки сотрудничества и есть достижения в этой области, — это хорошо. Это не может переломить негативных трендов, которые есть сейчас, не может убедить американцев принять нашу точку зрения по НАТО или другим вопросам, но вносит свой позитивный вклад— Программный директор Российского совета по международным делам Иван Тимофеев
Сбой VPN
Наиболее показательная история на мой взгляд — это история Томаша Скоурона. Он воровал деньги со счетов посредством вредоносного софта. Схема стара как мир: троян похищал доступ к Интернет-банкингу, злоумышленник получал доступ к счетам жертвы и переводил деньги на подставных лиц, а потом обналичивал. Примечательно, что ему удалось вывести более 1 миллиона долларов, а жертвами хакера стали пользователи по всему миру.
Совет
Не все VPN одинаково надежны и безопасны. Некоторые могут собирать и продавать данные, содержать уязвимости или утечки.Выбирайте VPN, который не ведет журналов активности, не раскрывает ваш IP-адрес и не сотрудничает с правоохранительными органами. Лучше использовать тот, который базируется в стране с высоким уровнем защиты конфиденциальности, например, в Швейцарии или Панаме
Чтобы хакера не вычислили, он использовал VPN для смены своего IP. Но однажды либо он забыл его включить, либо VPN дал сбой и в логах Интернет-банкинга появился реальный IP злоумышленника. В результате Томашу была презентована путевка в места не столь отдаленные сроком на 5 лет.
Бывает так, что VPN-соединение может незаметно для самого пользователя «отвалиться». Например, был сбой в vpn-соединении и часть трафика пошла в его обход, тем самым засветив реальный IP-адрес. В данном примере Томаша сгубила собственная лень, ведь если бы настроил он firewall, то при обрыве VPN-соединения трафик не пошел бы в обход VPN-соединения.
Их ловят завербованные хакеры, платные информаторы или агенты под прикрытием.
Как правило, спецслужбы используют для борьбы с хакерскими группами те же методы, что и для ареста представителей наркокартелей. Чаще всего проводят атаку «человек посередине» (MITM-атака). Они внедряются в хакерскую группировку, собирают доказательства мошеннических действий или ловят участника группы, чтобы заставить его выдать остальных участников. После спецслужбы могут захватывать контроль над площадкой.
Не так давно были раскрыты подробности операции ФБР. Тогда спецслужбы в качестве приманки для поимки преступников распространяли «защищенные» смартфоны с предустановленным «авторским» приложением для зашифрованных сообщений под названием Anom. ФБР использовали это приложение-ловушку, чтобы отслеживать сообщения преступников. В итоге международные спецслужбы провели сотни арестов.
Похожая операция «Anglerphish» была совместной работой ФБР и других спецслужб, которая привела к аресту 36 членов хакерской группы ShadowCrew, которая занималась кражей и продажей банковских данных и кредитных карт. Для этого спецслужбы использовали агента под прикрытием, который проник в группу и выступал в роли посредника между хакерами и покупателями. Он также установил на сайте группы вредоносный код, который собирал IP-адреса и другие данные о хакерах. Операция длилась около двух лет и закончилась в 2004 году.
Совет
Лучше не хвастаться своими хакерскими успехами в интернете или общаться с другими хакерами, которые могут быть агентами или информаторами спецслужб. Лучше держать свою деятельность в секрете и не оставлять следов.Однако, используемые государствами методы поиска и поимки киберпреступников, эффективны далеко не всегда в силу разности юрисдикций. Взаимодействие стран и служб в этом направлении остается довольно бюрократизированным, поэтому каждая такая операция «зиждется» на килограммах разрешительных документов, запросов и согласований.
Также практика имеет свои риски, так как хакеры могут оказаться ненадежными, недобросовестными или двойными агентами. Как случилось во время операции «Firewall» когда секретная служба наняла Альберта “Cumbajohnny” Гонсалеса которому удалось провернуть тройную игру, сотрудничая с правоохранительными органами он одновременно продолжил заниматься кражей и перепродажей кредитных карт.
Альберт даже создал новую хакерскую группу под названием Operation Get Rich or Die Tryin, которая специализировалась на взломе систем обработки платежей. В 2008 году Гонзалес был снова арестован и обвинен в трех разных делах. Он признался во всех обвинениях и был приговорен к 20 годам тюрьмы в 2010 году. Это был самый длительный срок, когда-либо вынесенный за киберпреступление в США.
«Король хакеров» Кевин Митник и спецслужбы
16 июля 2023 года в возрасте 59 скончался известный хакер и эксперт по кибербезопасности Кевин Митник. В середине 90-х считался самым разыскиваемым хакером в мире, он взламывал компьютерные системы различных организаций, в том числе ФБР, АНБ и Кремниевой долины. Кевин использовал хакерские навыки не в целях обогащения а из любопытства. Например, как-то раз он взломал компьютер режиссёра "Звездных войн" Джорджа Лукаса и прочитал сценарий нового эпизода.
Одним из его партнеров по хакерству был Льюис де Пейн, с которым он дружил с 1979 года. Они вместе взламывали телефонные сети, компьютеры и сети, используя социальную инженерию и технические навыки.
Однако в 1991 году де Пейн был арестован за взлом компьютерной сети компании Pacific Bell, где работал японский журналист Цутому Шимомура, который писал о хакерах. Шимомура обнаружил, что его компьютер был взломан Митником, и начал расследование, сотрудничая с ФБР. Он также называл его «самым опасным хакером в мире».
Де Пейн, столкнувшись с угрозой длительного тюремного заключения, согласился сотрудничать с ФБР и стал информатором. Он предоставил информацию о Митнике, его местонахождении, его псевдонимах, его методах и его целях. Также помогал ФБР в проведении подставных операций, чтобы ловить Кевина. В 1995 году ФБР, используя информацию от де Пейна, смогло найти и арестовать Кевина в Северной Каролине.
Сам Митник отказался сотрудничать с властями, потому что считал это противоречащим его моральным принципам. Он также не доверял ФБР, которое, по его мнению, пыталось его подставить и дискредитировать. Кевин говорил что не совершал никаких преступлений, а только исследовал компьютерные системы из любопытства и страсти к хакерству. За свое упрямство был приговорён к пяти годам тюрьмы, 4 из которых провел одиночной камере, так как ФБР утверждало, что он может запустить ядерную ракету с помощью телефонной трубки.
Митник побывал в десятке самых разыскиваемых преступников
Годы заключения были очень неприятными: Митника содержали в антисанитарии и лишили доступа не только к телефону, компьютеру и интернету, но и к обычным бумажным книгам. пока адвокат не добился улучшений условий содержания. Хакерское сообщество было возмущено арестом, утверждалось, что осудили его незаконно, так как все взломы Кевин осуществлял просто из интереса. В 2000 был освобожден и стал консультантом по кибербезопасности и публичным деятелем.
После ареста Митника, Шимомура вместе с журналистом Джоном Маркоффом написал книгу о произошедшем — «Взлом», которая была опубликована в 1996 году. Книга рассказывает о том, как Митник взламывал компьютерные системы разных организаций, как он украл информацию и программное обеспечение у Шимомуры, и как Шимомура в сотрудничестве с ФБР нашел и арестовал Митника. Книга была бестселлером и получила положительные отзывы от критиков.
В 2000 году книга была экранизирована в виде телевизионного фильма под названием «Взлом: История охоты на самого опасного хакера Америки». Фильм также включал в себя реальные видеозаписи интервью с Митником и Шимомурой. Фильм получил смешанные отзывы от критиков и зрителей, некоторые из которых указывали на неточности в изображении образа Кевина, хакерской культуры и компьютерных технологий.
VPN, Tor и proxy не являются преградой
VPN, Tor и proxy не являются преградой, и использующие их могут быть деанонимизированы. Большой ошибкой будет не верить в это, есть масса способов получить подлинный IP-адрес, вот несколько примеров:
- Деанонимизация пользователей VPN и proxy через cookies
- Деанонимизация пользователей VPN и proxy через сторонние сайты
- Деанонимизация пользователей VPN и proxy путем сопоставления соединений
- Как ФБР получает подлинные IP-адреса преступников, использующих Тор, VPN или прокси
- Cross-device tracking. Деанонимизация пользователей Tor, VPN, proxy при помощи звуковых маячков.
Не только IP-адрес опасен
Еще одним большим заблуждением является уверенность, что к установлению личности может привести только IP-адрес. Многие идентификаторы способны привести к установлению личности, но особенно опасен MAC-адрес. Как личности киберпреступников устанавливаются при помощи MAC-адреса, мы рассказываем в этой главе.
