Стратегии и инструменты для расследования интернет-инфраструктуры. Изображение: Марсель Лув для GIJN

Любая дезинформационная кампания или атака с применением шпионского программного обеспечения опирается на цифровую инфраструктуру, как и обычные сайты: они используют домены, серверы и веб-приложения. Всё, что работает в интернете, оставляет следы, которые можно отыскать, а иногда по ним ещё и удаётся установить связь с другими элементами инфраструктуры. В этой главе вы познакомитесь с онлайн-инструментами, которые можно использовать для расследований интернет-инфраструктуры.

Как устроена цифровая инфраструктура

Первый шаг в таких расследованиях – понять, как эта инфраструктура работает. Рассмотрим в качестве примера сайт GIJN, gijn.org.

Доменное имя

Во-первых, сайт использует доменное имя gijn.org. Доменные имена придумали ещё на заре интернета, чтобы пользователям было удобно запоминать адреса веб-сайтов. Без них приходилось бы вводить сложные технические IP-адреса, например, 174.24.134.42. Протокол системы доменных имен (Domain Name System – DNS) переводит доменные имена в IP-адреса. Для IP-адресов существует несколько видов записей и для их расшифровки используется протокол DNS. Записи вида MX помогают серверу направлять электронные письма правильному адресату внутри домена (например, info@gijn.org). Но основной вид записей в DNS – это запись типа A для адресов IPv4 (традиционных интернет-адресов, таких как gijn.org) и AAAA для адресов IPv6. (IPv6 – это более современный формат адресов, позволяющий расширить адресное пространство интернета; большинство систем используют как адреса IPv4, так и IPv6). При посещении веб-сайта ваш веб-браузер автоматически преобразовывает введенное вами доменное имя в его IP-адрес. Но вы можете использовать онлайн-инструмент, например CentralOps, чтобы сделать это вручную. Например, когда мы вводим gijn.org в CentralOps, то получим IPv4-адрес 34.122.151.197, а IPv6-адрес с этим доменом не связан.

Доменные имена необходимо приобретать у регистраторов. Эти компании занимаются регистрацией доменных имён для клиентов и выступают в качестве посредников с реестрами доменов верхнего уровня, такими как .com, .org или .fr. Реестры ведут базу данных поддоменов (субдоменов) внутри своих доменов верхнего уровня, которая называется базой данных Whois. Поискать в Whois информацию о существующих доменах можно с помощью веб-инструментов вроде CentralOps. В некоторых случаях Whois-поиск поможет найти информацию о владельце домена, в том числе его имя, номер телефона, адрес электронной почты и физический адрес. Но часто владельцы доменов решают скрыть свои личные сведения в базах Whois из соображений конфиденциальности. За отдельную плату можно убрать эти данные из результатов поиска в Whois, и многие люди и компании так и делают. Впрочем, даже в этих случаях можно узнать дату регистрации, дату продления и используемого регистратора. Например, вот что мы получаем при поиске в Whois по адресу gijn.org.

Запись Whois для gijn.org в марте 2023 года. Изображение: Скриншот, Whois

Даже если информация о зарегистрировавшем лице показана с купюрами, мы видим, что домен был впервые куплен через компанию-регистратора GoDaddy 24 июня 2009 года, и с тех пор регулярно продлевался.

Сервер

Веб-сайт должен быть где-то размещен. Этот компьютер называется сервером: на нём хранятся все файлы, связанные с веб-сайтом, и они пересылаются всякий раз, когда кто-то запрашивает страницу сайта через веб-браузер. Большинство серверов сегодня размещаются у профессиональных хостинг-провайдеров, таких как OVH или Digital Ocean, или у облачных провайдеров, таких как Amazon Web Services или Google Cloud.

Серверы подключаются к интернету посредством одного или нескольких IP-адресов (чаще всего один IPv4 и один IPv6). Эти IP-адреса делегируются региональными интернет-регистраторами компаниям или организациям, которые используют их для своих систем. У хостинговой компании есть много IP-адресов, и она назначает их своим различным серверам, на которых будут размещаться отдельные веб-сайты.

Каждый владелец IP-адреса также должен сообщить различным сетям, подключенным к интернету, об используемым им IP-адресах, чтобы они могли правильно маршрутизировать информационные потоки (интернет-трафик). Для этого необходимо зарегистрировать автономную систему (AS) – административную запись, признаваемую всеми сетями интернета и идентифицируемую уникальным номером. Например, AS1252 – это номер UNMC-AS, Медицинского центра Университета Небраски. В интернете можно найти довольно полный список номеров автономных систем. Большинство хостинговых компаний владеют одной или несколькими автономными системами.

Инструменты вроде ipinfo.io позволяют определить автономную систему для IP-адреса, стоящую за ней компанию, и приблизительно определить местоположение сервера, к которому подключен IP. Обратите внимание, что такая геолокационная информация не совсем точна. Для адреса GIJN 34.122.151.197 мы видим, что он является частью AS396982, принадлежащей Google, и, по-видимому, расположен в Центре обработки данных Google в Айове. Иногда поиск по Whois показывает IP-адрес, который даёт более точную информацию, чем AS, но не в этом случае. Наиболее полные результаты поможет получить такой инструмент, как ipinfo.io.

Сертификат HTTPs

HTTPs – это защищенный протокол, используемый для связи между веб-браузером и сервером, на котором размещен веб-сайт. Он позволяет браузеру проверять подлинность сервера с помощью криптографического сертификата. Так можно убедиться, что браузер загружает настоящий сайт gijn.org, а не другой подставной сайт, выдающий себя за него. Каждый криптографический сертификат выдается сторонним центром сертификации, который признается разными браузерами и операционными системами. Эти сертификаты выдаются на ограниченный срок (обычно от трех месяцев до года) и требуют регулярного обновления. Чтобы просмотреть сертификат, можно нажать на значок замка в строке браузера, выбрать «Защищённое соединение» и «Дополнительные сведения». Вот что мы получили для сайта GIJN.

Сертификат HTTPs для gijn.org по состоянию на февраль 2023 года. Изображение: Скриншот, Let’s Encrypt

Мы видим, что этот сертификат был предоставлен бесплатным центром сертификации Let’s Encrypt 20 февраля 2023 года и будет действителен до 21 мая. Если значок замка в строке браузера показан с открытой дужкой, или если значок замка отсутствует и показана надпись «Не защищено», то вы просматриваете сайт, использующий незащищённый протокол HTTP, который не шифрует обмен данными с сервером и не проверяет его подлинность.

Вот диаграмма, на которой кратко описаны различные аспекты этой инфраструктуры.

Схема цифровой веб-инфраструктуры. Изображение предоставлено автором

Давайте подытожим собранные о gijn.org сведения:

  • Сайт использует домен gijn.org, который был первоначально куплен на GoDaddy 24 июня 2009 года.
  • Он размещен на сервере с IP-адресом 34.122.151.197, который является частью AS396982, принадлежащей Google Cloud.
  • Он использует HTTPs-сертификат, недавно выданный Let’s Encrypt 20 февраля 2023 года.

Источники данных

Теперь, когда мы поняли основы цифровой инфраструктуры, давайте посмотрим, как можно углубиться в её изучение. Для более детального расследования стоит обратить внимание на несколько источников данных. Часть из этих инструментов бесплатны, но некоторые требуют платного доступа. (Ряд платформ предоставляет бесплатный доступ журналистам-расследователям, попробуйте обратиться к ним с такой просьбой).

Whois и ретроспективные данные Whois

Как мы видели ранее, в Whois для домена может отображаться такая информация, как имя, номер телефона, адрес электронной почты или физический адрес, но эта информация часто скрывается по соображениям конфиденциальности. (Общий регламент ЕС по защите данных, GDPR, усилил эту тенденцию). Но есть и хорошая новость – несколько коммерческих платформ уже много лет собирают данные Whois и могут предоставить доступ к таким базам. Это полезно с нескольких точек зрения. Во-первых, используя ретроспективные данные, можно вернуться в прошлое, когда владелец домена не пользовался защитой конфиденциальности, и найти его информацию. В основном это полезно для сайтов, которые существуют в сети уже долгое время, по крайней мере несколько лет. Также можно использовать информацию о владельце как точку опоры для поиска других доменов, зарегистрированных тем же физическим или юридическим лицом.

Например, в 2019 году я расследовал фишинговую кампанию со шпионским ПО, направленную против активистов из Узбекистана. Используя ретроспективные данные о доменах, я определил, что использовавшийся для фишинга домен был зарегистрирован на адрес электронной почты b.adan1[@]walla.co.il. Оказалось, что злоумышленник даже не подумал включить конфиденциальность в Whois.

Whois запись для my-id[.]top в октябре 2019 года в RiskIQ. Изображение: Скриншот, RiskIQ

Проведя поиск других доменов, зарегистрированных с использованием того же адреса электронной почты, я смог обнаружить много других доменов, связанных с этой онлайн-кампанией.

Список доменов, зарегистрированных на email b.adan1[@]walla.co.il в RiskIQ. Изображение: Скриншот, RiskIQ

Из коммерческих платформ ретроспективную информацию предоставляют RiskIQ, DomainTools, Recorded Future и Cisco Umbrella. Такие сервисы, как Whoxy.com и Whoisology.com могут и без оплаты показывать фрагменты ретроспективных записей.

Информация из «пассивных DNS»

Как сказано выше, протокол DNS позволяет определить IP-адрес сервера для данного доменного имени в данный момент времени. Для того чтобы проследить за изменениями инфраструктуры, некоторые компании собирают сведения о DNS-запросах и ответах, чтобы ретроспективно определять смену DNS. Такие базы данных называется «пассивным DNS». Проще говоря, это почти то же, что ретроспективные записи Whois – но для DNS.

Пассивный DNS – важный инструмент для отслеживания инфраструктуры. Многие вредоносные сайты в интернете размещаются временно, иногда всего пару дней или недель. Поэтому наличие ретроспективных данных позволяет лучше понять, какие домены и серверы в какой момент используются. Так, понаблюдав за цифровой инфраструктурой длительное время, можно понять, когда началась вредоносная активность.

Данные пассивного DNS обычно представлены в виде IP-адреса, домена, даты начала и даты окончания. Большинство платформ позволяют осуществлять поиск по IP или домену, а некоторые платформы используют и другие виды записей DNS, а не только А/АААА.

В продолжение предыдущего примера с фишинговой кампанией, в одном из первых выявленных фишинговых писем была ссылка на домен mail.gmal.con.my-id[.]top. Чтобы определить используемые серверы, мы можем найти все выдаваемые IP-адреса для этого домена в базе данных пассивного DNS, например, в Farsight DNSDB.

IPv4 адреса для домена mail.gmal.con.my-id[.]top в Farsight DNSDB. Изображение: Скриншот, Farsight DNSDB

Затем мы можем поискать домены, размещённые на этом же IP-адресе в момент атаки.

Образец поиска по домену для IP 139.60.163.29 в Farsight DNSDB. Изображение: Скриншот, Farsight DNSDB

Пассивные DNS собирают такие компании как Farsight DNSDB, DomainTools, Risk IQ, Circl, Zetalytics, Recorded Future, Cisco Umbrella и Security Trails. У разных поставщиков разные источники данных для пассивных DNS, поэтому чаще всего наборы у них неполные и хорошо дополняют друг друга. В идеале более полную картину можно получить, использовав несколько сервисов. То же самое относится и к ретроспективным записям Whois.

Базы данных прозрачности сертификатов

У каждого веб-сайта есть доменное имя и IP-адреса, а у большинства из них есть ещё и сертификат HTTPs. Значит, в расследовании инфраструктуры можно использовать информацию о сертификатах. Проверить их можно благодаря стандарту безопасности под названием Certificate Transparency (Прозрачность сертификатов), который предусматривает публичный учёт всех выпущенных сертификатов. Платформы вроде Censys или Crt.sh предоставляют бесплатный доступ к этим данным. Сертификаты не содержат подробной информации о том, кто их создал, но по ним можно подтвердить, использовался ли домен или поддомен определенным сертификатом, и изучить хронологию использования таких доменов.

Фишинговая кампания, направленная против активистов в Узбекистане, использовала шпионское ПО для Android, которое обращалось на домен garant-help[.]com. Быстрый поиск в Crt.sh показывает хронологию активного использования этого домена в кампании (и, соответственно, использование шпионского ПО).

Поиск сертификатов для garant-help[.]com в Crt.sh. Изображение: Скриншот, Crt.sh

Широкомасштабное сканирование интернета

Интернет состоит из нескольких миллиардов взаимосвязанных систем. Например, IPv4-адресов сейчас немногим более четырех миллиардов. При текущей пропускной способности сети можно регулярно сканировать большую часть интернет-систем. Несколько компаний регулярно проводят такое сканирование и предоставляют доступ к базам данных с результатами.

Информация из Shodan для IP-адреса, размещающего gijn.org. Изображение: Скриншот, Shodan

Сканирование имеет свои ограничения: применяется не для всех сервисов, а запросы отправляются только стандартизированные, которые не дадут информации обо всех веб-сайтах, установленных на сервере. Но это всё равно важный источник информации для цифровых расследований. Во-первых, так можно быстро посмотреть, что запущено на подозрительном сервере, и получить представление о его инфраструктуре. В некоторых базах данных также есть ретроспективные данные, позволяющие изучить, что работало на сервере раньше. Наконец, с помощью такой базы данных можно разрабатывать сложные запросы для поиска родственных инфраструктур, использующих ту же самую специфическую настройку. Последняя функция может очень помочь в расследовании, например Amnesty Tech Lab с её помощью отслеживала инфраструктуру Pegasus группы компаний NSO на протяжении нескольких лет. Журналисту в таком анализе может быть полезно посотрудничать с техническими экспертами.

Две основные платформы для широкомасштабного сканирования интернета – Shodan и Censys, но можно использовать и другие, например ZoomEye, BinaryEdge или Onyphe. Большинство из них предоставляют бесплатный доступ к данным, но взимают плату за ретроспективную информацию и сложные запросы.

Базы данных о вредоносной деятельности

Существует много платформ для выявления, прослеживания или индексирования известных вредоносных инфраструктур. Они в основном используются специалистами по кибербезопасности. Такие платформы могут содержать также информацию о невредоносной или смежной с вредоносной (например, дезинформационной) инфраструктуре, что может пригодиться журналистам. Вот обзор некоторых из этих платформ.

VirusTotal. Эта известная антивирусная платформа была создана почти 20 лет назад в Испании, а затем приобретена компанией Google. Она позволяет любому желающему отправить файл на проверку более чем 70 антивирусными сканерами и службами фильтрации URL-адресов. VirusTotal – крупнейшее в мире хранилище как легитимных, так и вредоносных файлов, и доступ к этой внутренней вирусной базе предоставляют многие компании, занимающиеся кибербезопасностью. Если вы работаете над расследованием шпионских программ, VirusTotal – хорошее место для поиска похожих программ или связанной инфраструктуры. Если вы используете VirusTotal для проверки вредоносности полученного вами файла, то имейте в виду, что загруженные документы доступны тысячам людей по всему миру. Поэтому загружать личные документы – плохая идея. Лучше обратиться к экспертам, которые помогут провести подобный анализ.

URLScan. URLScan – это открытая платформа, которая позволяет пользователям запрашивать определенный URL-адрес и затем просматривать подробную информацию об инфраструктуре и веб-сайте в безопасном режиме. Эта платформа полезна, когда вы обнаружили подозрительную ссылку и хотите безопасно её проверить. Она также может найти связанные URL-адреса, которые кто-то другой мог указать в своём запросе. Сканирование может быть как публичным, так и конфиденциальным, хотя конфиденциальное сканирование предоставляется только пользователям с платным доступом.

Пример запроса URLScan по сайту gijn.org. Изображение: Скриншот, URLScan

AlienVault OTX. Это бесплатная база данных, содержащая значительный объем сведений о вредоносной инфраструктуре. Для поиска даже не требуется учетная запись – достаточно ввести домен или IP-адрес в соответствующую строку. Например, поиск по вредоносному домену garant-help[.]com сразу же привел к соответствующей публикации.

Поиск garant-help[.]com в AlienVault OTX. Изображение: Скриншот, AlienVaultOTX

На приведенной ниже схеме отображены типы инструментов для изучения разных элементов цифровой инфраструктуры.

Поиск методик и источников для исследования цифровой инфраструктуры. Изображение предоставлено автором

Примеры расследований

Отчет Mandiant о группе злоумышленников APT1. В 2013 году американская компания Mandiant смогла связать деятельность группы злоумышленников APT1 с работой подразделения 61398 Народно-освободительной армии Китая. Эта китайская военная группировка действовала как минимум с 2006 года и взломала как минимум 141 организацию.

Расследование деятельности вьетнамской группировки Ocean Lotus. Журналисты немецкого общественного телерадиовещателя Bayerischer Rundfunk и издания Zeit Online провели большую работу по расследованию инфраструктуры, используемой Ocean Lotus – группой, которую принято считать связанной с властями Вьетнама. Это расследование сочетало поиск людей с техническим анализом доменов и серверов, используемых группой.

Отчет Citizen Lab о фирме Circles, занимающейся видеонаблюдением. С помощью широкомасштабного сканирования интернета Citizen Lab удалось определить конфигурацию, используемую Circles для обслуживания своих клиентов. Так Citizen Lab смогли установить 25 государств-клиентов израильской компании, занимающейся слежкой.

Того: хакеры-наемники в Западной Африке. В октябре 2021 года Лаборатория безопасности Amnesty International опубликовала отчет о шпионской атаке на активиста из Того. Затем эту атаку связали с индийской компанией Innefu Labs. Это хороший пример использования технических ошибок в инфраструктуре злоумышленника для определения исполнителя атаки.


Etienne "Tek" MaynierЭтьен «Тек» Майнье – исследователь в Лаборатории безопасности Amnesty International. С 2016 года занимается расследованием цифровых атак на гражданское общество; опубликовал множество расследований о фишинге, шпионских программах и дезинформационных кампаниях. Его можно найти на сайте или на Mastodon.

Это произведение защищено лицензией Международная лицензия Creative Commons Attribution-NoDerivatives 4.0

Перепечатывайте наши статьи бесплатно по лицензии Creative Commons

Перепостить эту статью

Это произведение защищено лицензией Международная лицензия Creative Commons Attribution-NoDerivatives 4.0


Material from GIJN’s website is generally available for republication under a Creative Commons Attribution-NonCommercial 4.0 International license. Images usually are published under a different license, so we advise you to use alternatives or contact us regarding permission. Here are our full terms for republication. You must credit the author, link to the original story, and name GIJN as the first publisher. For any queries or to send us a courtesy republication note, write to hello@gijn.org.

Читать дальше

Советы и инструменты

Советы по геймификации вашего следующего расследования

Советы редакциям и удачные примеры использования игры, как способа усилить влияние истории и эмпатию аудитории даёт шведская журналистка Анна Тулин, авторка исследования по геймификации журналистики в рамках научного проекта Лондонской школы экономики.

Советы и инструменты

Анонимная отправка файлов, разовые телефонные номера и другие инструменты Рона Никсона

Как защищать свои звонки и каналы передачи файлов, проверять документы из сомнительных источников и быстро анализировать массивы неоднородных данных рассказал редактор глобальных расследований Associated Press.

Безопасность и защита Советы и инструменты

Как реагировать на онлайн-атаки против журналистов: 6 советов для редакций

Любой журналист, подвергавшийся преследованиям, троллингу или другим нападкам в сети, хорошо знает, насколько это страшно. Человек в этой ситуации может чувствовать себя одиноким и изолированным от окружающих. Вот 6 советов, как противостоять онлайн-атакам и избежать самоцензуры.

Безопасность и защита Советы и инструменты

Цифровая безопасность для журналистов: как адаптировать инструменты к конкретной ситуации

Когда речь заходит о цифровой безопасности, что общего между журналистом из Западной Африки, сирийским журналистом в Турции и французским журналистом в Кашмире? Ответ: очень мало. Но все они должны защищать свои данные, свои сообщения и свои источники, и каждый из них должен делать это по-своему, используя методы, адаптированные к их конкретной ситуации.