Azt lehetett tudni, hogy a nyomozó hatóságok a kiberbűnözők ellen bevetnek fedett hekkerügynököket. Arról azonban kevés információnk volt, hogy pontosan hogyan épülnek be a bűnözők közé. A közelmúltban kiberbiztonsági cég, a Group-IB azzal ünnepelte 20. születésnapját, hogy többek között erről mesélt a The Registernek.

Bár a Group-IB székelye Szingapúrban van, Moszkvában alapították, és csak 2018-ban költözött a városállamba, amit akkori vezetője azzal magyarázott, hogy Délkelet-Ázsia pénzügyi központjaként sokkal kedvezőbb üzleti környezetet biztosít egy globális biztonsági cégnek, mint Oroszország. A cégnek olyan sikerei voltak, mint például a dán jegybankot is megfektető Godfather azonosítása.

Szintén jelentős akciójuk volt a Qilin zsarolóvírus banda működésének és üzleti modelljének a feltérképezése. Ennél már vállaltan alkalmazták egyik erősségüket: jól be tudnak épülni kiberbűnözői csoportokba, hogy a belső információk segítségével térképezzék fel a teljes hálózat működését.

Mint egy valódi állásinterjú...

A cég elmondása szerint az efféle munka nem sokban különbözik attól, amit a hagyományos nyomozó hatóságok is csinálnak. Először is aprólékos kutatómunkával minden lehetséges információt begyűjtenek a célba vett ransomware-as-a-service (RaaS) csoportról. Ki kell deríteni például, hogy milyen feltételekkel lehet belépni a csoport valamelyik "leányvállalatának" a kötelékébe, milyen a szűrési folyamat stb. Ezek az információk biztosítják ugyanis, hogy a kapcsolatfelvétel a zökkenőmentes legyen.

A következő lépés már maga a kapcsolatfelvétel. Ennek a legnehezebb fázisa, amikor a belépni szándékszó fedett ügynöknek részt kell vennie egy "állásinterjún", amire valamilyen titkosított üzenetküldőkön keresztül kerül sor. Ilyenkor derül ki, hogy jó volt-e az előkészítés, és az ügynök fedősztorija kiállja-e az átvilágítás próbáját. Egyes csoportok részletesen értékelik a jelöltet (megbízhatóság, szakértelem stb.), mások szinte semmilyen szűrőt nem alkalmaznak. A Group-IB szerint azonban az a tendencia, hogy a profi csapatok egyre hatékonyabban szűrik ki a soraikba beszivárogni igyekvő biztonsági kutatókat.

A jelöltet kikérdezik szakmai tapasztalatairól: mit tud általában az ilyen csoportokról, hogyan működnek azok a csoportok, amelyekben már dolgozott, ott milyen taktikákat és technikákat alkalmaznak stb. A személyes gyakorlat bizonyítása viszonylag egyszerű, hiszen kutatókról van szó, akik nap mint nap támadásokat elemeznek.

Ennél nehezebb feladat annak bizonyítása, hogy a beszivárogni szándékozó személyiségében is megfelel a RaaS-csapatnak. A kiberbűnözők ugyanis itt vélik leginkább megfoghatónak, hogy ki nem igazi fekete kalapos. A Group-IB szerint ezért is fontos, hogy a dark web fórumain hosszú ideje aktív és megbízhatónak ismert fiókokon keresztül lépjenek kapcsolatba egy RaaS-csoporttal. Az ilyen fiókokat évek alatt építik fel és finomítják, de hogy milyen kritériumok szerint, arról a cég biztonsági okokból nem árult el részleteket.

Mint mondták, a fórumokon és az interjúnál is nagyon fontos az anyanyelvnek megadott nyelv tökéletes ismerete. Akár egyetlen rosszul használt kifejezésen is elbukhat a beépülési kísérlet. Erre sok interjúztató fektet hangsúlyt: igyekeznek megzavarni a jelöltet, hogy kiderítsék, valóban az-e az anyanyelve, amit állít. A Group-IB ezért is épített "poliglott" csapatot, amely az arabtól a spanyolon és hollandon át a hindiig és a különböző kínai nyelvjárásokig nagyon sok nyelvben perfekt.

Ha a bizalom megvan, és felvették a hekkercsapatban, a fehérkalapos Donnie Brasco munkához láthat, azaz elkezdheti az információgyűjtést. Ezzel a módszerrel derítették ki például, hogy a januárban felszámolt Hive zsarolóvírus-hálózattal, mely vállalatokat támadták meg, és melyiktől követeltek váltságdíjat.

Éles határt kell húzni a fehér és a fekete közé

A módszernek azonban vannak korlátai. Egyrészt őrizni kell a jól felépített fedett ügynök személyiségét, hogy minél tovább dolgozhasson. Másrészt szigorú alapszabály, hogy a beépült kutató soha nem vehet részt törvénytelen munkában, azaz soha nem mosódhat el a határ Joseph D. Pistone FBI-ügynök és Donnie Brasco maffiózó személyisége között. Ha valakinek azzal kellene bizonyítsák hűségét a RaaS-csoportban, hogy aktívan részt vesz törvénytelen akciókban, akkor kiszáll, és a művelet lezárul. Emiatt persze a műveletek időtartama erősen korlátozott is.

A biztonsági cég szerint azonban így is rengeteg értékes információhoz jut, akár már az interjús szakaszban. Ezek segíthetnek megvédeni vállalatokat támadásoktól, vagy legalább mérsékelni a károkat, és mint a Hive esetében történt, támogatják a nyomozó hatóságok munkáját.