Egy orosz gyökerű, de szingapúri székhelyű kibervédelmi csoport mesélt a kiberalvilágban dolgozó fedett ügynökeiről.

Azt lehetett tudni, hogy a nyomozó hatóságok a kiberbűnözők ellen bevetnek fedett hekkerügynököket. Arról azonban kevés információnk volt, hogy pontosan hogyan épülnek be a bűnözők közé. A közelmúltban kiberbiztonsági cég, a Group-IB azzal ünnepelte 20. születésnapját, hogy többek között erről mesélt a The Registernek.

Bár a Group-IB székelye Szingapúrban van, Moszkvában alapították, és csak 2018-ban költözött a városállamba, amit akkori vezetője azzal magyarázott, hogy Délkelet-Ázsia pénzügyi központjaként sokkal kedvezőbb üzleti környezetet biztosít egy globális biztonsági cégnek, mint Oroszország. A cégnek olyan sikerei voltak, mint például a dán jegybankot is megfektető Godfather azonosítása.

Szintén jelentős akciójuk volt a Qilin zsarolóvírus banda működésének és üzleti modelljének a feltérképezése. Ennél már vállaltan alkalmazták egyik erősségüket: jól be tudnak épülni kiberbűnözői csoportokba, hogy a belső információk segítségével térképezzék fel a teljes hálózat működését.

Mint egy valódi állásinterjú...

A cég elmondása szerint az efféle munka nem sokban különbözik attól, amit a hagyományos nyomozó hatóságok is csinálnak. Először is aprólékos kutatómunkával minden lehetséges információt begyűjtenek a célba vett ransomware-as-a-service (RaaS) csoportról. Ki kell deríteni például, hogy milyen feltételekkel lehet belépni a csoport valamelyik "leányvállalatának" a kötelékébe, milyen a szűrési folyamat stb. Ezek az információk biztosítják ugyanis, hogy a kapcsolatfelvétel a zökkenőmentes legyen.

A következő lépés már maga a kapcsolatfelvétel. Ennek a legnehezebb fázisa, amikor a belépni szándékszó fedett ügynöknek részt kell vennie egy "állásinterjún", amire valamilyen titkosított üzenetküldőkön keresztül kerül sor. Ilyenkor derül ki, hogy jó volt-e az előkészítés, és az ügynök fedősztorija kiállja-e az átvilágítás próbáját. Egyes csoportok részletesen értékelik a jelöltet (megbízhatóság, szakértelem stb.), mások szinte semmilyen szűrőt nem alkalmaznak. A Group-IB szerint azonban az a tendencia, hogy a profi csapatok egyre hatékonyabban szűrik ki a soraikba beszivárogni igyekvő biztonsági kutatókat.

A jelöltet kikérdezik szakmai tapasztalatairól: mit tud általában az ilyen csoportokról, hogyan működnek azok a csoportok, amelyekben már dolgozott, ott milyen taktikákat és technikákat alkalmaznak stb. A személyes gyakorlat bizonyítása viszonylag egyszerű, hiszen kutatókról van szó, akik nap mint nap támadásokat elemeznek.

Ennél nehezebb feladat annak bizonyítása, hogy a beszivárogni szándékozó személyiségében is megfelel a RaaS-csapatnak. A kiberbűnözők ugyanis itt vélik leginkább megfoghatónak, hogy ki nem igazi fekete kalapos. A Group-IB szerint ezért is fontos, hogy a dark web fórumain hosszú ideje aktív és megbízhatónak ismert fiókokon keresztül lépjenek kapcsolatba egy RaaS-csoporttal. Az ilyen fiókokat évek alatt építik fel és finomítják, de hogy milyen kritériumok szerint, arról a cég biztonsági okokból nem árult el részleteket.

Mint mondták, a fórumokon és az interjúnál is nagyon fontos az anyanyelvnek megadott nyelv tökéletes ismerete. Akár egyetlen rosszul használt kifejezésen is elbukhat a beépülési kísérlet. Erre sok interjúztató fektet hangsúlyt: igyekeznek megzavarni a jelöltet, hogy kiderítsék, valóban az-e az anyanyelve, amit állít. A Group-IB ezért is épített "poliglott" csapatot, amely az arabtól a spanyolon és hollandon át a hindiig és a különböző kínai nyelvjárásokig nagyon sok nyelvben perfekt.

Ha a bizalom megvan, és felvették a hekkercsapatban, a fehérkalapos Donnie Brasco munkához láthat, azaz elkezdheti az információgyűjtést. Ezzel a módszerrel derítették ki például, hogy a januárban felszámolt Hive zsarolóvírus-hálózattal, mely vállalatokat támadták meg, és melyiktől követeltek váltságdíjat.

Éles határt kell húzni a fehér és a fekete közé

A módszernek azonban vannak korlátai. Egyrészt őrizni kell a jól felépített fedett ügynök személyiségét, hogy minél tovább dolgozhasson. Másrészt szigorú alapszabály, hogy a beépült kutató soha nem vehet részt törvénytelen munkában, azaz soha nem mosódhat el a határ Joseph D. Pistone FBI-ügynök és Donnie Brasco maffiózó személyisége között. Ha valakinek azzal kellene bizonyítsák hűségét a RaaS-csoportban, hogy aktívan részt vesz törvénytelen akciókban, akkor kiszáll, és a művelet lezárul. Emiatt persze a műveletek időtartama erősen korlátozott is.

A biztonsági cég szerint azonban így is rengeteg értékes információhoz jut, akár már az interjús szakaszban. Ezek segíthetnek megvédeni vállalatokat támadásoktól, vagy legalább mérsékelni a károkat, és mint a Hive esetében történt, támogatják a nyomozó hatóságok munkáját.

Biztonság

Van egy cég, amelyik az Nvidiánál is nagyobbat nyert az MI-őrületen

Nem valami megnyugtató, ha belegondolunk, hogy milyen tevékenységet értékelnek ilyen sokra a befektetők.
 
A software defined network már évek óta velünk él. Csak idő kérdése volt a koncepciót kiterjesztése a WAN-okra.

a melléklet támogatója a Yettel

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.