CyberCop: как работает российская система охоты на киберпреступников

Дата: 26.02.2013
Источник: RIA.ru


В преддверии запуска одного из ключевых модулей глобальной системы CyberCop генеральный директор компании Group-IB Илья Сачков рассказал РИА Новости о том, как интеллектуальный поиск, анализ корреляции между различными данными и технологии мониторинга бот-сетей помогают ловить киберпреступников и снижать объемы мошенничества.

РИА Новости, Иван Шадрин. В конце минувшего года резидент инноцентра "Сколково" компания Group-IB выиграла грант в размере 30 миллионов рублей на разработку CyberCop — глобальной системы противодействия киберпреступности с элементами искусственного интеллекта. На текущей неделе компания официально представит один из ее ключевых модулей. В преддверии запуска генеральный директор компании Илья Сачков рассказал РИА Новости о том, как интеллектуальный поиск, анализ корреляции между различными данными и технологии мониторинга бот-сетей помогают ловить киберпреступников и снижать объемы мошенничества.

На стене в кабинете Сачкова висит плакат с героями культового кинофильма Квентина Тарантино "Криминальное чтиво". Черно-белые Винсент Вега и Джулс Винфилд смотрят на Сачкова сурово и, пожалуй, с укором. Ясное дело, ведь они — криминальные элементы, а Сачков — тот, кто с криминальными элементами помогает бороться.

О том, насколько эффективна эта борьба, можно судить по косвенным признакам: на форумах киберпреступников Сачков и компания Group-IB нынче называются чуть ли не главными врагами хакеров: за время своего существования компания сделала многое в области расследования и реагирования на компьютерные инциденты и нажила немало недругов.

В течение более чем десяти лет, помогая правоохранительным органам ловить хакеров и зарабатывая на расследовании инцидентов в сфере информационной безопасности, параллельно Group-IB разрабатывала CyberCop — глобальную информационную систему, в реальном времени агрегирующую информацию о киберпреступлениях различного характера.

Уникальный для российского рынка комплекс состоит из трех основных функциональных элементов: системы мониторинга Bot-Trek, которая отслеживает появление новых бот-сетей и извлекает из них данные о скомпрометированных клиентах финансовых организаций; Antipiracy, отслеживающей все, что связано с нарушением интеллектуальной собственности и незаконным использованием бренда, а также отдельной базы данных о киберпреступниках и связных с ними оперативных данных, именуемой Cybercrime Monitor.

Разветвленный комплекс начинался с простой поисковой системы.
Насущная необходимость поиска
Примерно в 2003 году, когда сотрудники аналитического подразделения компании столкнулись с необходимостью обрабатывать огромное количество информации из разных источников, существенно превышающее человеческие возможности для восприятия, возникла необходимость в автоматизации обработки данных. Сначала сотрудники компании пытались пользоваться встроенными в Windows средствами, создавая общие папки, в которые выкладывались данные от разных участников расследования. Однако это было неудобно.

"Простой пример: у нас есть дело, которое нужно расследовать. И в рамках дела у нас есть, например, номер ICQ, или IP-адрес. Нам нужно посмотреть, фигурировала ли эта информация в других материалах. Тогда-то мы поняли, что нужно как-то автоматизировать подобные процедуры", — поясняет гендиректор Group-IB.

Сотрудники компании написали поисковый движок, который позволял загружать файл в базу данных, осуществлять поиск по этому файлу и находить пересечения с информацией в других, ранее загруженных в базу, файлах. Изначально система умела только сигнализировать об обнаружении пересечений, не детализируя их характер. Позже Group-IB усовершенствовала алгоритм — система научилась вычленять из текста заголовок письма, распознавать адреса электронной почты и классифицировать их как адреса отправителя и получателя, IP-адреса, адреса веб-страниц, время отправки и получения письма, номера телефонов и прочие данные, которые могли бы помочь в расследовании.

"Примерно в 2004 году, мы сделали визуализацию событий. Например, если речь идет о переписке между двумя объектами, то система наглядно показывает связь между ними. Позже, когда широкое распространение получили социальные сети, мы научили ее подтягивать данные оттуда: если участники переписки являются еще и друзьями в социальных сетях, система показывает это", — говорит Сачков.

Борьба с DDoS-атаками
Примерно с 2006 года стали набирать популярность DDoS-атаки на сайты интернет-магазинов и компаний. В связи с этим в системе появился функционал для анализа специфической информации, связанной с такими атаками — логов и сигнатуры трафика, массивов IP-адресов и прочих данных, которые могли предоставить провайдеры, регистрировавшие атаку, и ее жертвы.

Кроме того, к тому времени у Group-IB была собственная сеть компьютеров, симулирующих наличие уязвимости для приманки киберпреступников ("honeynet"). Преступники заражали такие компьютеры вредоносными программами, а сотрудники Group-IB, имея доступ к компьютерам-приманкам, могли видеть, какие команды приходят на зараженную машину, и с какого IP-адреса эти команды были отданы. По отдельности все эти данные могли сказать об атаке и ее организаторах немного, но после сравнительного анализа картина становилась яснее.

"Чтобы четко видеть, какая бот-сеть какой сайт атакует, нужно в идеале иметь доступ к ее панели управления, получить который удается не всегда. Однако благодаря анализу характера атаки из разных источников, нам удавалось определить источник атаки и ее масштаб даже без доступа к панели управления", — поясняет Сачков.

Параллельно на рынке стали появляться различные криминалистические комплексы, которые позволяли из образа компьютера или жесткого диска доставать важную для криминалиста информацию, анализ которой помогает понять, как происходил инцидент. Group-IB обучили систему проводить анализ такой информации. С этого момента CyberCop стала обретать нынешние очертания разветвленной системы для расследования киберпреступлений.

Анализ хакерского андерграунда
С каждым новым инцидентом в сфере кибербезопасности в Group-IB понимали важность аналитической работы. За любой атакой стоят реальные люди, которые перед осуществлением задуманного обсуждают детали на различных площадках — в основном, форумах открытых и закрытых.
"Тогда мы решили создать модуль, который собирал бы информацию об объявлениях, появлявшихся на хакерских форумах, псевдонимах их участников и прочих данных, которые там появлялись", — рассказывает Сачков.

Однако просто запустив поискового "паука" на форум, можно собрать лишь ту информацию, что на нем публикуется. Часто критически важные для расследования инцидентов данные доступны только владельцам таких ресурсов — например, данные, которые участник форума (и потенциальный киберпреступник) вводит при регистрации на нем, или содержание переписки из встроенной в форум системы обмена личными сообщениями. Поэтому в Group-IB, помимо модуля для сбора информации с настоящих хакерских форумов, создали несколько "ненастоящих" интернет-ресурсов, в том числе закрытых и платных.

"В борьбе с киберпреступностью это нормальная практика — несколько лет назад ФБР в открытую заявило о том, что в течение нескольких лет содержало несколько подобных форумов. Если всерьез хочешь заниматься расследованиями киберпреступлений, без таких инструментов не обойтись", — говорит Сачков.

Обычно на "живых" хакерских форумах, особенно закрытых, на которых ведется обсуждение и планирование реальных киберпреступлений, активную деятельность ведет всего несколько десятков пользователей. Эта особенность позволила провести довольно точный анализ и классификацию деятельности конкретных пользователей таких форумов.

"Поначалу на форумах система просто сканирует темы и собирает информацию о том, что на них происходит. После сбора система анализирует объявления и сообщения каждого участника, сопоставляет их с сетевыми псевдонимами, и в итоге выдает своеобразное "досье" на каждого предполагаемого киберпреступника: на каком виде хакерской деятельности он специализируется, как часто публикует объявления, что пишет в комментариях и так далее. Если на каком-либо форуме проскакивает информация о том, кто именно скрывается за тем или иным псевдонимом, система "складывает" эти данные в "досье" пользователя и помечает их как требующие дополнительной проверки", — рассказывает Сачков.

Со временем система научилась распознавать, под какими сетевыми псевдонимами на разных форумах скрывается один и тот же человек, анализируя совпадения в данных, которые он указывает при регистрации на форумах, а также проводить другие параллели между участниками разных форумов. Тем не менее, для еще более масштабного анализа не хватало одной функции.

Корреляция
Хотя собранная на форумах информация давала криминалистам множество данных о том, кто, где, когда и по каким ценам предлагает различные нелегальные услуги, ценность этих данных в отрыве от информации, собранной другими модулями, была относительно низкой. Поэтому в 2007 году разработчики стали "учить" свой поисковик соотносить сведения, добытые на хакерских форумах с информацией, полученной в ходе прошлых расследований, а также с помощью модуля, созданного для анализа бот-сетей и DDoS-атак.

"Это очень помогло в расследованиях, потому что мы стали видеть связь между конкретными инцидентами, сведения о которых поступили от наших клиентов и партнеров, и событиями, происходившими на форумах, которые мы сканируем. Стало примерно ясно, какие есть...

Добавить комментарий

Всего 0 комментариев