Журнал "Information Security/ Информационная безопасность" #1, 2025

66 • ПРОФЕССИЯ Деньги смыли в унитаз Эта история случилась еще до того, как я пришел в компанию, и преврати- лась в корпоративную легенду. Весной 2015 г. у жителей обычного дома в Санкт-Петербурге появилось сразу два повода для бурных обсужде- ний. Первый – после того, как в квартиру соседей, братьев-близнецов, с оглуши- тельными звуковыми эффектами ворвался спецназ. А второй – когда по милости братьев на некоторое время вышла из стоя канализация. Близнецов, которых подозревали в хищениях денег клиентов ведущих российских банков с использованием вирусных программ, силовики пришли задерживать уже во второй раз – за несколько лет до того братьев осудили, но они отделались условными сроками и выводов для себя, похоже, не сделали. Расставаться со свободой повторно зло- умышленники не хотели, потому дверь оперативникам не открыли. Чтобы про- ложить себе путь, спецназовцам при- шлось воспользоваться болгаркой. Пока бойцы срезали петли металлической двери, близнецы спешно уничтожали улики. На случай прихода правоохрани- телей они запасли электромагнитную пушку, способную размагничивать жест- кие диски. Но уничтожить деньги, флеш- ки и сим-карты так же быстро не полу- чалось. Под визг болгарки один из братьев пытался смыть полмиллиона рублей наличными в унитаз, но тут же доказал самому себе, что в ИТ он разбирается куда лучше, чем в ЖКХ. Канализацион- ный стояк быстро забился, так что улики удалось спасти, но с ними оперативни- кам пришлось помучиться. Прежде чем приобщить деньги к материалам дела, банкноты пришлось сушить. Доставку заказывали? Хакеры – такие же люди, и ничто человеческое им не чуждо. Случаев, когда злодеи забывали на месте пре- ступления свой паспорт, немало. Зло- умышленники, которые действуют в цифровом пространстве, порой попадают в похожие истории. К техни- ческим ошибкам их часто приводит гор- дыня (в библейском смысле), а еще чувство безнаказанности В одном из наших расследований был эпизод, когда злоумышленник сидел в RDP-сессии, и в то время, когда на компьютере жертвы работал кейлогер, заказывал какой-то девайс со своего компьютера в интер- нет-магазине. Хакер указал свой домаш- ний адрес: использовал Сopy&Paste, который провалился в удаленную маши- ну. Эти данные остались на компьютере жертвы и помогли понять, где находится злодей. Родная речь Однажды мы проводили расследова- ние волны DDoS-атак на различные компании, которая началась летом 2021 г. Атаки характеризовались большим объемом запросов с известных прокси- сервисов. Пострадали тогда самые раз- ные компании, мы получили массу обра- щений. Пробовали технически анали- зировать эти атаки, но постоянно наты- кались на использование злоумышлен- никами различных анонимных сервисов, а объем данных для анализа был так велик, что приводил к прожиганию ресурсов. Выбрали нестандартное решение: стали исследовать рынок DDoS-услуг. В процессе нашли множество Tele- gram-чатов, большое количество зло- умышленников, которые перекупали друг у друга инструменты, методы атак. А еще неожиданно оказалось, что участники этих чатов – достаточно молодые люди, конкуренция высокая, поэтому в тематических ресурсах они активно рекламировали свои каналы и выдавали полезные данные друг о друге. Анализ каналов и чатов, принадле- жавших разным злоумышленникам, помог связать атаки с исполнителями и сдеанонить их: они даже выкладывали скриншоты недоступности сервисов. Переписки с исполнителями помогли исследовать используемые инструмен- ты. В процессе деанона мы выяснили личность одного из предполагаемых злоумышленников и регион, в котором он вырос. Для проверки точности результата написали ему приветствие на национальном языке этого региона и попали в точку: злоумышленник успешно прошел проверку и на запрос ответил. l Вадим Алексеев, руководитель департамента расследований высокотехнологичных преступлений компании F6 Фото: F6 То есть не просто "поздно", а "бес- смысленно". Как если бы детективу спу- стя полгода после дела прислали улики, но не с места преступления, а с новень- кой квартиры, построенной на его месте. Админ-хакинг Администраторы, как известно, любят нестандартные решения. Например, часто Mimikatz помогает вспомнить забы- тые пароли, становясь неофициальным менеджером паролей. Но однажды мы обнаружили особо креативного админа, который решил управлять виртуальной инфраструктурой через RAT (удаленный доступ). – Не все "ратники" работают ста- бильно, – жаловался он. – Одни вообще отваливаются, другие анти- вирус жрет, приходится VMProtect-ом накрывать. То есть человек не просто использовал хакерские инструменты в проде, но еще и оптимизировал их, как мог. Видимо, для него консоль управления без авто- загрузки, шифрования и обхода антиви- руса – это уже не консоль, а какая-то игрушка для новичков. 72 наблюдателя и один работяга Был у нас чат с заказчиком – 72 участника. Казалось бы, коллективный разум, оперативное обсуждение, быст- рые решения. Но на деле вопросы задавали мы, а отве- чал только один человек. Остальные, судя по всему, практиковали кибердзен: мол- чание, созерцание, невмешательство. Видимо, чем больше людей в чате, тем меньше вероятность, что кто-то про- явит инициативу. Остальные предпочли занять стратегическую позицию наблю- дателя и дождаться, пока кто-то другой разберется. И ведь сработало! Для них. Послание незваным гостям Некоторые администраторы защи- щают системы патчами, мониторингом и сложными паролями. А один решил бороться с хакерами психологически. Он оставлял для них бранные посла- ния прямо в паролях – что-то вроде "HackersGoAway123!" и похлеще. Но этого ему показалось мало, поэтому на рабочем столе еще лежали документы с многообещающими названиями типа "Пароли_срочно.docx", открыв которые злоумышленник находил не таблицу с учетками, а отборные ругательства. Метод, конечно, сомнительный, но, возможно, некоторые хакеры действи- тельно обижались и уходили. Ваше мнение и вопросы присылайте по адресу is@groteck.ru