Содержание статьи
Каждый босс хотел бы заранее знать, что злоумышленники, скрывающиеся в даркнете, замышляют похакать компьютеры его фирмы. Как ни странно, это возможно! Благодаря непрестанному мониторингу дипнета и внедрению на закрытые форумы спецы из компании Leakreporter обо многом узнают заранее. Как именно это работает, нам рассказал сотрудник Leakreporter, попросивший не называть его имя.
О Leakreporter
Проект начинался как альтруистический и некоммерческий: я хотел оповещать пользователей о том, что их хакнули. Сделано это было криво-косо — в виде рассылки на почту. Если оказывалась вскрыта почта, то мы отправляли на нее письмо: «Срочно смените пароль!» Потом на нас вышли крупные email-провайдеры и посоветовали монетизироваться.
Списки утекших аккаунтов попадали к нам, когда мы лазали по форумам и скачивали дампы. Утекает дикое количество информации, и иногда она попадает ко мне. Мне стало жалко людей, у которых угоняют кучу аккаунтов через эти почты. Надо было попытаться хоть что-то с этим сделать. Замутили в итоге такую рассылочку.
В чем-то это похоже на сайт Have I been pwned. Но там сервис основан на том, что пользователь должен сам зайти, вбить свой email, и тогда ему уже скажут, утекло ли что-нибудь. Как правило, там информация появляется с запозданием. Если пользователю не пришло никакое оповещение о том, что его взломали, то его аккаунт «отработают» очень быстро.
К Leakedsource я отношусь значительно хуже, чем к Have I been pwned. Его владельцы стимулируют работать фрод-движение. Раньше дампы продавались, но особенно никому не были нужны. Люди их копили годами, как тот же Twitter. Кстати, та база, которую на Leakedsource выдают за дамп аккаунтов Twitter, — это на самом деле логи с Malware и из всяких списков паролей. То есть куча аккаунтов собрана из разных источников. Фрод-движение подхватило эту тему, так как все поняли, что можно собрать побольше такого материала и продать его Leakedsource. Активизировались все: спамеры, фишеры, — все захотели урвать кусок пирога и начали активно действовать. Поэтому никогда нельзя платить теневым ребятам.
Помимо меня, в команде Leakreporter есть второй кодер, переводчик (мы много работаем с зарубежными комьюнити, и его услуги нужны) и наш инвестор, тоже безопасник.
Команда постоянно отслеживает фрод-комьюнити, мониторит сайты, собирает новости, а также всю информацию, которая стекается на ловушки. Реализуются они по-разному — как правило, таргетированы и призваны показать, сколько людей заинтересованы чем-то связанным с конкретной организацией. Секреты раскрывать не могу, но если обобщить, то ловушка — это место, куда стекается информация от фродеров, и они сами об этом не знают.
Сам я с заказчиками не разговариваю, для меня это большой стресс! С ними общается мой коллега.
Мы предлагаем разные услуги — тут все зависит от запросов и сферы деятельности компании. Первое, что мы можем сделать, — это обезопасить сотрудников. Второе — обезопасить от внутренних утечек. У нас достаточно информации для этого. Третье — мы можем помочь залатать неочевидные дырки, через которые тоже может утечь информация.
О клиентах
Бывает, что неявные угрозы сильно портят жизнь компаниям, и пентестеры на такие вещи обычно не обращают внимания. Самая большая уязвимость, как сейчас говорят, — это человек. Если не влез в систему, то можешь влезть в голову сотрудника. В даркнете сейчас стало много обсуждений социальной инженерии, социальные инженеры чуть ли не резюме стали выкладывать. Вот именно такие каналы мы и помогаем прикрыть. Ну и если инцидент уже произошел и клиент пришел после этого, то мы помогаем найти того, кто стоит за инцидентом.
Среди наших клиентов — крупные банки, а также компании, связанные с ИТ и ИБ. У нас есть информация, которая может очень помочь в предотвращении фрода. Мы можем провести расследование в том случае, если что-то уже утекло. А если еще нет, то можем предупредить о возможной утечке и о том, что над ней уже работают хакеры.
Для тех заказчиков, у которых стоят автоматизированные системы защиты от фрода, у нас есть API — онлайновый фид, который постоянно пополняется несчетное количество раз за день. И постоянно сопоставляется с условиями клиента.
Вот пара примеров того, как выглядят данные в этом фиде. Это теневой прокси и C&C ботнета.
[
{
"ip": “208.100.26.234",
"seentimes": 1,
"lastseen": "2016-08-21 16:06:37",
"firstseen": "2016-08-21 16:06:37",
"type": "cnc"
},
{
"ip": "184.26.198.150",
"seentimes": 1,
"lastseen": "2016-08-21 16:11:39",
"firstseen": "2016-08-21 16:11:39",
"type": "proxy"
}
]
А вот как выглядит лента по засветившимся пользовательским данным:
{
"domain": "example.ru",
"lastseen": "2015-10-10 21:30:11",
"pwtype": "clear",
"login": "vasya",
"password": "123",
"seentimes": 2,
"id": 1,
"firstseen": "2015-10-10 21:23:58"
},
{
"domain": "example.ru",
"firstseen": "2015-05-13 16:34:12",
"pwtype": "clear",
"login": "donald",
"password": "qwerty",
"seentimes": 5,
"id": 4,
"lastseen": "2015-10-10 21:57:39"
}
О даркнете
О той же утечке Dropbox я уведомил почтовых провайдеров еще в июне 2016 года, тогда как публика узнала о сливе в конце августа. Я разослал провайдерам адреса задолго до того, как начался shitstorm, как это называется у пиарщиков, и они к тому времени успели все поблочить. Это показательно — в привате информация появляется сильно раньше, чем на маркетах. То же самое, кстати, было и с Last.fm.
Базы учеток Dropbox не продавали, их просто раздавали избранным. Мне попался кусочек, и я разослал информацию всем, кто мог пострадать. Потом мне обновили базу — я тогда смог договориться с человеком. Вообще, договариваться, не платя денег, очень тяжело.
Мы не платим за базы, потому что любая оплата теневому комьюнити поощряет его работу. Это как финансирование терроризма. И речь вовсе не о возможных проблемах с законом, а о чисто этической стороне.
Уверенными в том, что охватили всё, мы быть, конечно, не можем. Пожалуй, даже АНБ не охватывает всего. У меня в работе в районе 3000 ресурсов и около 5000 различных конференций. Отслеживать базу по всем организациям и угрозам — это нереально. Но таргетированно можно охватить 95–98%. Мониторинг сайтов и сбор логов конференций автоматизированы, мы потом проводим анализ.
В русском сегменте закрытых ресурсов довольно мало. По всему миру из 3000 закрыто где-то 40–50%. Конференции — это в основном IRC и Jabber, но точно так же это может быть Telegram или, скажем, Skype. Где только народ не тусуется.
В даркнете вполне реально купить утекшие данные — даже если ты пришел со стороны и не знаешь, куда ткнуться, кроме каталогов ссылок. Для такой информации, которая лежит в паблике, порог вхождения невелик. Можно, к примеру, посмотреть на разрекламированный магазин The Real Deal. Там продавали в том числе базу LinkedIn.
О том, как погрузиться глубже
Есть и маркеты, на которые просто так не зайти. Мы постоянно занимаемся проникновением на закрытые форумы.
Самым ярким примером будет реинкарнация Dark0de. Ты наверняка помнишь такой ресурс. Его перезапустили, но, чтобы войти на него, я потратил жуткое количество времени. Нужны рекомендации от пяти человек, и это довольно жесткое условие. Да и вообще на большинстве ресурсов в даркнете требуются рекомендации. Нужно, чтобы за тебя поручились от одного до пяти человек. Я даже видел ресурсы, где надо десять рекомендаций. Это, конечно, жестоко.
Помимо полностью скрытых ресурсов, есть и открытые, но с подпольным разделом для своих. К примеру, есть форум Exploit, на нем организованы зоны доступа — первый левел, второй, раньше был третий, но его расформировали. То есть зайти-то на ресурс ты можешь просто так, но, чтобы попасть в разделы, где действительно качественная инфа, тебе надо набирать рекомендации и вести активную жизнь на форуме. Процесс очень сложный.
Чтобы попасть в такое место, нужно показать, что ты чего-то стоишь, что твой скилл понадобится в этом подполье.
Многие пытаются попасть на форумы, чтобы просто поглазеть, — такие отсеиваются довольно быстро. Потому что дипнет — это то место, в которое заходят не просто из любопытства, туда заходят с четкой целью, как правило с целью что-нибудь анонимно купить. Добыть нужную информацию можно и в клирнете, главное — знать, где искать (в тех же приватных разделах форумов). А купить тут можно все — начиная со сканов документов и заканчивая наркотиками, базами данных и оружием.
Маркетов в даркнете очень много, конкретно хакерам будут интересны маркеты типа The Real Deal. Но вообще количество рынков с начала года сократилось раза в два. Еще в феврале их в Tor было более 600 штук, сейчас же в инактив ушло более половины. Рабочих маркетов осталось чуть менее 250. Стоит учесть и то, что из 250 оставшихся только около 80 представляют независимые площадки, остальные либо полностью зеркалят известные драг-маркеты, либо парсят базу с основных рынков.
В основном на таких форумах сидят те, кто этим зарабатывает, но бывают и идейные тусовки — как правило, в закрытых конференциях. Большинство таких причисляют себя к Anonymous, к Легиону. Те же члены группы Fancy Bear, о которой публиковала отчет Левада, общаются в своей закрытой конфе и только между собой. Но правда, и от них мы тоже научились получать информацию — через агентурную сеть. Не могу раскрывать подробности, сам понимаешь.
Беседовал Андрей Письменный