Цей розділ, присвячений кіберзлочинності та розслідуванням у даркнеті, написала Кейт Фаззіні  журналістка, яка спеціалізується на технологіях та висвітлює тему кібербезпеки для американської мережі кабельного телебачення CNBC. 

Кіберзлочинність — це будь-яка злочинна діяльність, яку здійснюють у цифровому просторі. Часто ми уявляємо кіберзлочинність як «хакерство», що в цьому контексті означає несанкціоноване проникнення у цифрове середовище, але ж у цифровому всесвіті існує багато інших типів злочинів, в тому числі фізичних.

До категорії «кіберзлочинів» відноситься багато речей — від торгівлі дитячою порнографією або незаконного зняття коштів з рахунку клієнта за допомогою інсайдера в банку до крадіжки вихідного коду. Успішно вчинений кіберзлочин часто виявляє порушення права на конфіденційність. Наприклад, коли компанія неналежним чином зашифрувала особисті дані, і їх було викрадено, це є порушенням правил конфіденційності користувачів з боку компанії та водночас кіберзлочин з боку тих, хто викрав дані.

Кіберзлочинність спричиняє астрономічні фінансові втрати, які, однак, вкрай важко передбачити або прорахувати. Інвестор-мільярдер Воррен Баффет раніше стверджував, що він заохочує свій бізнес уникати ринку кіберстрахування, оскільки на ньому бракує даних для прогнозування можливих фінансових втрат. Цей важкопрогнозований ризик суттєво відрізняється від традиційних фінансових втрат від стихійних лих, таких як урагани чи повені, або від злочинної діяльності, як-от пограбування банків чи фізичних нападів. За даними таких джерел, як McAfee, Cybersecurity Ventures, інститут SANS та ФБР, збитки від кіберзлочинності уряду та бізнесу обчислюються трильйонами доларів.

Захист від кіберзлочинності швидко став одним із пріоритетів у питаннях безпеки. При цьому ця злочинна структура напрочуд схожа на корпоративний світ. Злочинні «стартапи» маленьких банд слабко пов’язані між собою спільною географією або інтересами, але вони процвітають, крадуть одне в одного знаряддя, конкурують та співпрацюють зі спритністю та амбіціями, гідними Кремнієвої долини. Великі гравці кримінального світу намагаються поєднати свої інтереси в Азії, Європі, Африці та Америках, створюючи керівні центри, наймаючи кримінальних рекрутерів, які поводяться як керівники звичайних відділів кадрів. Існують навіть сюрреалістичні служби підтримки клієнтів, де потерпілі можуть дізнатися, як створити біткойн-гаманець для оплати викупу.

Така незаконна діяльність часто бере початок або відбувається в так званому «даркнеті» – прихованому шарі інтернету, зазвичай доступному лише через браузер Tor. У будь-який час там можна «податися» на роботу місцевим оператором мережі ботів-вимагачів, водієм Uber, який виконує фейкові поїздки й так відмиває незаконно отримані гроші, або «грошовим мулом» – кур’єром, який за допомогою фальшивої картки спорожнить банкомат.

Потенційні джерела

  • Вчені й дослідники: існує чимало університетських центрів, які моніторять і відстежують онлайн-атаки. Вони можуть дати корисні підказки з конкретних випадків. Найвідоміший такий центр у Сполучених Штатах — Carnegie Mellon, де також базується американська Команда реагування на надзвичайні ситуації, пов’язані із комп’ютерами (CERT), яка відповідає за сповіщення про критичні вразливості. У Кембриджському університеті Великобританії також є Центр боротьби з кіберзлочинністю.
  • Компанії, які працюють у сфері кібербезпеки: такі компанії, як McAfee, Crowdstrike, Carbon Black, FireEye та великі постачальники хмарних послуг — Amazon, Microsoft і Google — мають багато експертних груп, які відстежують нові атаки. Досить легко буде дізнатися в однієї з цих компаній, які типи атак вони зараз спостерігають. Однак слід пам’ятати, що вони постачальники послуг, тому мають комерційний інтерес. Це не означає, що вони не є фахівцями, але майте на увазі, що конфлікт інтересів може позначатися на їхній об’єктивності. Тому важливо завжди зв’язуватися зі співробітниками служби кібербезпеки тих компаній, які зазнали атак, навіть щоб просто з’ясувати контекст та підтвердити своє розуміння подій. Працювати з цими джерелами може бути дуже складно, але вони додадуть глибини вашому матеріалу.
  • Державні службовці: тільки в США щонайменше 20 федеральних департаментів та агенцій мають штатних експертів по боротьбі з кіберзлочинністю. Найвідкритішим до спілкування з пресою є, мабуть, Агентство з кібербезпеки та безпеки інфраструктури при Міністерстві національної безпеки (CISA, Cybersecurity and Infrastructure Security Agency). Йому наказано активно залучати громадськість. Відділ ФБР із кіберзлочинності  публікує цінну статистику, за допомогою якої можна доповнити статті об’єктивними фактами про кібератаки та збитки від них. Серед інших джерел — Секретна служба США й Міністерство фінансів США. Допомогу можна також отримати від аналогічних державних установ інших країн світу. У Великобританії це Національний центр кібербезпеки, де є пресгрупа для роботи з журналістами. Європол має власний Європейський центр боротьби з кіберзлочинністю. Японський Національний центр готовності до інцидентів і стратегії кібербезпеки (NISC, National Center of Incident Readiness and Strategy for Cybersecurity) оголосив про створення спеціального бюро для боротьби з кіберзлочинністю. ООН також має Програму боротьби з кіберзлочинністю при Управлінні з наркотиків і злочинності.
  • Жертви: жертвами кіберзлочинності можуть бути не тільки люди, а й різноманітні установи, групи, державні органи, платформи соціальних мереж тощо. Важливо спілкуватися з ними, щоб дізнатися про їхній досвід кібератаки. Готуючи матеріал про кібератаки, необхідно спробувати зв’язатися з потерпілими та/або отримати пояснення, чому він, вона чи організація відмовилися від коментарів. Треба враховувати, що перше враження про масштаб кібератаки та заподіяної шкоди може бути оманливим. З власного досвіду скажу, що часто інцидент, який спочатку здається серйозним, може виявитися не надто болючим для корпорації, тоді як напад, що спочатку здається дрібним, завдає колосальної шкоди.

Підказки й інструменти

Підказки й інструменти для розслідування кіберзлочинів. Ілюстрація: Енн Кірнан для GIJN

Оскільки чимало атак кіберзлочинців зрештою розглядаються в кримінальних та цивільних справах у США — одним із найцінніших ресурсів для журналістики кібербезпеки є юридична база даних США PACER (за пошук документів стягується плата). Ця абревіатура розшифровується як «громадський доступ до електронних судових реєстрів» (Public Access to Court Electronic Records). Ознайомлення з процесуальними документами, зокрема зі звинуваченнями проти вітчизняних та іноземних кіберзлочинців, дає можливість отримати всебічне уявлення про кібератаки та зрозуміти обмеження чинної нормативно-правової бази щодо притягнення винних до відповідальності. Журналістам також варто опанувати пошуковик Shodan, за допомогою якої нефахівці можуть шукати активні пристрої, підключені до інтернету.

Цінними партнерами для викриття кіберзлочинців або експертного дослідження злочину можуть бути державні установи та особливо компанії, що працюють у сфері кібербезпеки. Але журналісти повинні стежити за тим, щоб у стосунках з цими джерелами не проґавити інші їхні ділові зв’язки чи конфлікти інтересів, щоб замість реальних фактів не отримати від них дані, що слугують їхнім власним інтересам. Компанії, що працюють у сфері кібербезпеки, часто охоче співпрацюють з журналістами та іншими громадськими проєктами, бо це позитивно впливає на їхній імідж. Тому в згодом у вашому репортажі бажано згадати про внесок компанії.

Приклади матеріалів

Пограбування пострадянського банку

Цю статтю видала не газета, а дослідницька компанія з кібербезпеки під назвою Trustwave. Однак цей матеріал 2017 року чітко демонструє, як аналіз і розкриття інформації про всі елементи змови кіберзлочинців допомагають людям краще зрозуміти цей складний світ. (Завантажити матеріал можна після запиту в компанію Trustwave.)

Стаття Trustwave демонструє аналіз і розкриття інформації про всі елементи змови кіберзлочинців. Зображення: знімок екрану

Витік даних користувачів Equifax

Я була продюсеркою цього матеріалу для CNBC. У ньому йшлося про масовий витік даних з одного з найбільших у США бюро кредитних історій. Мені вдалося переконати аналітика з безпеки найнижчого рівня, який при цьому відіграє критично важливу роль, розповісти мені про труднощі з пошуком величезної кількості даних, викрадених внаслідок зламу Equifax. Цей злам приписують Китаю, однак викрадені дані ніколи не було знайдені ані в даркнеті, ані деінде. Це досить дивно, оскільки зламані дані такого типу зазвичай згодом продають у той чи інший спосіб. Цю історію цитували законодавці під час слухань у Конгресі США про витоки з Equifax та інших компаній.

Історія з паролями NIST

Це класичний кейс Wall Street Journal про каяття державного службовця, який допоміг створити вимоги до паролів «літери, цифри та символи», які ми всі знаємо та ненавидимо. Ця історія стала важливою ланкою для встановлення зв’язку між проблемами кібербезпеки з погляду кінцевого користувача, який втомився придумувати нескінченні комбінації для паролів, та ширшою картиною того, як мало ми розуміємо кібербезпеку в цілому.

Створення армії північнокорейських хакерів

У вичерпному розслідуванні New Yorker не просто розкривається історія окремого зламу, а й описується одна з найбільших кіберзлочинних організацій у світі — північнокорейська армія хакерів, яку фінансує держава. Попри свою оманливо банальну назву, Головне розвідувальне управління цієї країни (RGB) — це чудовисько з багатьма головами, яке чим тільки не займається — і нападами через програми-вимагачі, і пограбуванням банків, і крадіжками криптовалюти. Вважається, що RGB стоїть за одним із найзухваліших зламів в історії — атакою на Sony Pictures у 2014 році. В одному звіті ООН зазначено, що глобальні прибутки від незаконної діяльності організації становлять 2 мільярди доларів, значна частина яких йде на програму озброєння північнокорейської армії. New Yorker проводить читачів за лаштунки та демонструє, як RGB займається вербуванням та здійснює свої злочинні кібероперації по всьому світу.

Методи розслідування

Є три основні відмінності між традиційною злочинністю та кіберзлочинністю — інший, ніж у традиційних злочинців, типовий портрет зловмисника, типовий портрет жертви, а також нетипові для традиційної злочинності характерні ознаки кіберзлочинності.

Зловмисники

У традиційній злочинності — незалежно від того, чи йдеться про порушення правил дорожнього руху чи про вбивство — злочинці зазвичай живуть неподалік від місця злочину. У кожній країні доступ до обвинувачених у кіберзлочинах регулюється по-різному, але, де це можливо, етика вимагає від журналіста почути версію подій із вуст злочинця — незалежно від того, наскільки незначною є справа. У США кожен вважається невинуватим, доки його провину не буде доведено, тому ті журналісти, які не намагаються почути думку обвинуваченого, порушують професійні норми. Достатньо навіть фрази «без коментарів», «кілька спроб отримати коментар від пана Сміта не дали результатів» або «адвокат пані Міллер відмовився від коментарів».

Якщо ім’я підозрюваного невідоме, як, наприклад, у справах про бандитизм або расові злочини, репортери мають зібрати інформацію про злочинця в поліції та громаді, де стався злочин.

Однак у висвітленні кіберзлочинів такі можливості з’являються нечасто. Насправді багато з цих намагань терплять фіаско. «Обвинуваченим» може бути як група кіберзлочинців, що хизується злочином в інтернеті, так і окрема особа. Злочин під виглядом злочинної групи чи окремої особи може скоїти урядовий орган іноземної держави. Злочин може вчинити шпигун однієї з іноземних держав, який працює під прикриттям у певній організації, або підліток у підвалі в Гельсінкі.

Recorded Future — компанія з кібербезпеки та однойменне галузеве видання — нещодавно висвітлювала випадок, коли у зв’язку з низкою кіберзлочинних дій, зокрема підміною SIM-карт та схемою компрометації ділової електронної пошти (BEC, Business Email Compromise) було заарештовано 106 членів італійської мафії. Підміна SIM-карти — це використання підроблених SIM-карт для перехоплення номера телефону особи, щоб через подвійну автентифікацію отримати доступ до її банківського рахунку та вивести кошти; переконавши жертву, можна здійснити шахрайський переказ коштів шляхом компрометації електронної пошти. За даними ФБР, ці злочини часто взаємопов’язані та щорічно призводять до мільярдних втрат осіб та бізнесу.

Однак специфіка розслідування кіберзлочинів полягає в тому, що ми навряд чи отримаємо хоча б якусь інформацію про злочинця одразу після атаки. Лише на визначення країни, звідки здійснили атаку, можуть піти тижні, місяці, а іноді й роки. Для журналіста, який розслідує такий злочин, це створює кілька викликів. Коли неможливо точно ідентифікувати злочинця, журналісти повинні пам’ятати кілька речей:

  1. Розслідування кіберзлочинів — аж ніяк не точна наука. Твердження слідчих або експертів про чиюсь участь у злочині — чи то держави, чи то хакерської групи, чи то окремої особи — часто бувають помилковими, особливо одразу після інциденту. До таких тверджень слід ставитися з обережністю.
  2. Кіберзлочинці маскуються на багатьох рівнях, особливо під час складних атак. Первинну інформацію про ймовірного злочинця-хакера слід розглядати як потенційний спосіб відвернути увагу. Журналісти мають повідомити свою аудиторію про очікувану тривалість розслідування.

Вийти на виконавця кіберзлочину надзвичайно важко. Однак я зрозуміла, що знайти того, хто скоїв кіберзлочин, та отримати від нього його версію подій набагато легше, ніж знайти готового говорити потерпілого. І тут ми переходимо до наступної проблеми.

Жертви

Оскільки спочатку особа кіберзлочинця може бути невідомою, то журналісти нерідко одразу зміщують увагу на жертв. Часто ними стають непопулярні корпорації чи державні установи, які можуть потерпати від громадського обурення їхньою реальною або уявною помилкою у захисті приватних даних громадян/користувачів.

Проте журналісту важливо пам’ятати, що ці організації є жертвами та що там працюють люди, які також могли постраждати від злочину. В окремих технічних співробітників та відповідальних за безпеку компанії, яка зазнала атаки, можуть піти місяці на усунення наслідків злочину, особливо коли йдеться про стійкі шкідливі програми або програми-вимагачі. Технічні працівники постраждалих компаній повідомляли про посттравматичний стресовий розлад (ПТСР). Деякі з них змушені спати на робочих місцях, інші піддаються жорстоким переслідуванням клієнтів або колег, які звинувачують особисто їх у тому, що сталося.

Справді, деякі компанії недбало ставляться до безпеки, а інші ухвалюють нерозумні рішення про витрати й кандидатів на ключові посади у сфері безпеки чи технологій. Деякі державні та некомерційні організації застосовують бюрократичний підхід до управління та користуються застарілими технологіями. Інші ж мають доволі сучасні підходи та використовують методи відповідального менеджменту, але припускаються єдиної помилки, якою скористався зловмисник.

Та журналісти все одно надто часто розмивають кордони між потерпілими й зловмисниками, що є неприйнятним для традиційної кримінальної журналістики. Щоб зрозуміти злочин, треба зрозуміти жертву і чому обрали саме її. Цей процес включає перевірку вразливостей потерпілих, однак не повинен затьмарити той факт, що скоїла злочин все ж таки інша сторона.

Таким чином, матеріал про кіберзлочинність вимагає розуміння багатьох нюансів. І хоча одразу визначити особу злочинця або злочинців може бути неможливо, сам злочин є доконаним фактом. Журналіст, який займається кіберзлочинністю, так само як і правоохоронці та інші слідчі, має постійно усвідомлювати свій обов’язок шукати додаткові дані про особу, організацію чи країну, причетну до атаки.

І тут на перший план виходять надійні джерела. Щоб зрозуміти, як стався злам, репортери мають зробити все можливе для отримання фактів, навіть базових, від людей, які були найближче до зламу та здатні тлумачити суть зламу та реакції на нього. Такі джерела знайти дуже непросто. Складно переконати працівника, щоб він, можливо, порушив трудову угоду та розповів, як все відбувалося, а ще складніше — ветерана служби безпеки, який, швидше за все, прагне взагалі уникати розмов з журналістами про конфіденційну інформацію.

Але репортерам все одно варто визначити найближчих до зламу осіб та спробувати встановити з ними контакт. Якщо отримати фаховий коментар про інцидент з кібербезпеки можна лише від сторонніх експертів, які не були його безпосередніми свідками, то журналістам слід віддавати перевагу не теоретикам чи науковцям, які майже ніколи не бувають на передовій, а фахівцям-практикам. У даному разі практики — це фахівці, які протягом останніх 12 місяців працювали на посадах, що передбачають відповідальність за кібербезпеку.

Зовнішній світ 

Ще одна відмінність розслідувань про кібербезпеку від традиційної кримінальної журналістики полягає у відносно важливій ролі зовнішнього світу в сприйнятті певного злочину.

Журналісти, які готують матеріал про кібербезпеку, мають скласти уявлення про всіх місцевих та міжнародних гравців у цій історії, щоб гарантувати читачам всебічне розуміння теми.

Ось гарний приклад: у нещодавньому аналітичному матеріалі про інцидент із програмами-вимагачами в місті Техас до переліку зацікавлених сторін було включено Техаський університет A&M (у тому числі волонтерів), місцеві представництва ФБР, Секретну службу (через шахрайства з банківськими переказами), Міністерство внутрішньої безпеки та компанію з реагування на кіберінциденти, розташовану у Вашингтоні, округ Колумбія. Оскільки компанія працювала в нафтогазовому секторі, а її власники були із Саудівської Аравії, вони також направили своїх слідчих. Саудівська команда виявила вразливість у програмному забезпеченні для проєктування деяких процесів, розробленому у Франції, тому розслідування тривало ще й на рівні ЄС та Національного агентства кібербезпеки Франції. Унаслідок цього начебто локального зламу на південному заході США занепокоєння щодо національної безпеки виникли у США, Саудівської Аравії та інших країн чи компаній, що використовують це французьке програмне забезпечення; крім того, цей злам посилив контроль ЄС за виконанням вимог і правил.

Моя остання порада: Для розслідувань у сфері кібербезпеки дуже важливо мати джерела серед міжнародних стейкхолдерів. Я досі шкодую, що недостатньо ретельно висвітлила відмінності між хакерською атакою проти кандидатки в президенти США 2016 року, Гілларі Клінтон, та проти чинного президента Франції, Емманюеля Макрона, який балотувався роком пізніше. Хоча ми багато знаємо про російське втручання в першу із цих виборчих кампаній, ми так і не отримали повної інформації про те, чому росіянам не вдалося зашкодити другій, коли Макрон переміг і став президентом Франції.

Багато в чому це пояснюється цікавими інноваційними методами, які використовував голова відділу кібербезпеки штабу Макрона, щоб передбачити російську дезінформацію та завчасно її нейтралізувати. Так, наприклад, в електронне листування, про злам якого стало відомо співробітникам штабу Макрона, вкинули фальшиву інформацію. Згодом це дало можливість легко публічно спростувати всю операцію. Якби я тоді змогла налагодити тісніші стосунки з урядовими органами Франції та передвиборчим штабом Макрона, мені вдалося б детальніше розповісти історію помилок у сфері безпеки, зроблених під час виборів у США — помилок, які не варто повторювати. Можливо, це зробить хтось із вас, шановні читачі.


Переклад здійснений в партнерстві з Інститутом регіональної преси та за підтримки EU4 Independent Media.

Republish our articles for free, online or in print, under a Creative Commons license.

Republish this article


Material from GIJN’s website is generally available for republication under a Creative Commons Attribution-NonCommercial 4.0 International license. Images usually are published under a different license, so we advise you to use alternatives or contact us regarding permission. Here are our full terms for republication. You must credit the author, link to the original story, and name GIJN as the first publisher. For any queries or to send us a courtesy republication note, write to hello@gijn.org.

Читати далі

Безпека та захист Новини та аналітика Свобода преси

Розповіді про війну на тлі втрат: інтерв’ю з головною редакторкою «Української правди»

Севгіль Мусаєва розповіла про втрати, яких зазнала редакція за час війни, та про роботу розслідувального відділу, який складається з одного журналіста.

Методологія Поради та інструменти Приклади розслідувань

Поради щодо встановлення таємних власників компаній-оболонок

Заступниця керівника відділу даних і досліджень ICIJ Керрі Кехо поділилася своїм досвідом, інструментами та відправними точками для пошуку реальних власників підставних компаній на конференції NICAR24.

Facebook, Google digital ad libraries

Путівник Методологія Поради та інструменти

Посібник із розслідувань з використанням бібліотек цифрової реклами

Експерт із цифрових розслідувань Крейг Сільверман підготував короткий посібник із використання бібліотек цифрової реклами для аналізу кампаній впливу в Інтернеті.