інфраструктура інтернета, DNS, розслідування дезінформаційних кампаній, шпигунське ПО
інфраструктура інтернета, DNS, розслідування дезінформаційних кампаній, шпигунське ПО

Стратегії та інструменти для розслідування інтернет-інфраструктури. Зображення: Марсель Лув для GIJN

Будь-яка дезінформаційна кампанія або атака із застосуванням шпигунського програмного забезпечення спирається на цифрову інфраструктуру, як і звичайні сайти: вони використовують домени, сервери та веб-додатки. Все, що працює в інтернеті, залишає сліди, які можна знайти, а іноді по них ще й вдається встановити зв’язок з іншими елементами інфраструктури. У цьому розділі ви ознайомитеся з онлайн-інструментами, які можна використовувати для розслідування інтернет-інфраструктури.

Як влаштована цифрова інфраструктура

Перший крок у таких розслідуваннях – зрозуміти, як ця інфраструктура працює. Розглянемо як приклад сайт GIJN, gijn.org.

Доменне ім’я

По-перше, сайт використовує доменне ім’я gijn.org. Доменні імена придумали ще на перших етапах розвитку інтернету, щоб користувачам було зручно запам’ятовувати адреси вебсайтів. Без них доводилося б вводити складні технічні IP-адреси, наприклад, 174.24.134.42. Протокол системи доменних імен (Domain Name System – DNS) перетворює доменні імена на IP-адреси. Для IP-адрес існує кілька видів записів, для розшифровування яких використовують протокол DNS. Записи типу MX допомагають серверу надсилати електронні листи правильному адресату всередині домену (наприклад, info@gijn.org). Але основний вид записів в DNS –– це запис типу A для IPv4 адрес (традиційних інтернет-адрес, таких як gijn.org) і AAAA для IPv6 адрес. ( IPv6 – це більш сучасний формат адрес, що дозволяє розширити адресний простір інтернету; більшість систем використовують як IPv4, так і IPv6). Під час відвідування вебсайту ваш веббраузер автоматично перетворює введене вами доменне ім’я на його IP-адресу. Але ви можете використовувати онлайн інструмент, наприклад CentralOps , щоб зробити це вручну. Наприклад, коли ми вводимо gijn.org в CentralOps, то отримуємо IPv4-адресу 34.122.151.197, а IPv6-адреса з цим доменом не пов’язана.

Доменні імена необхідно отримувати у реєстраторів. Ці компанії займаються реєстрацією доменних імен для клієнтів і виступають посередниками з реєстрами доменів верхнього рівня, такими як .com, .org або .fr. Реєстри ведуть базу даних піддоменів (субдоменів) усередині своїх доменів верхнього рівня, яка називається базою даних Whois. Пошукати у Whois інформацію про наявні домени можна за допомогою веб-інструментів на кшталт CentralOps. У деяких випадках Whois-пошук допоможе знайти інформацію про власника домену, у тому числі його ім’я, номер телефону, адресу електронної пошти та фізичну адресу. Але часто власники доменів вирішують приховати свої особисті відомості в базах Whois з міркувань конфіденційності. За окрему плату можна прибрати ці дані з результатів пошуку в Whois, і багато людей та компаній так і роблять. Втім, навіть у цих випадках можна дізнатися дату реєстрації, дату продовження та реєстратора, що використовується. Наприклад, ось що ми отримуємо, здійснивши пошук в Whois за адресою gijn.org.

Запис Whois для gijn.org станом на березень 2023 року. Зображення: Скріншот, Whois

Навіть якщо система показує не повну інформацію про зареєстровану особу, ми бачимо, що домен уперше купили через компанію-реєстратора GoDaddy 24 червня 2009 року, і з того часу регулярно продовжували.

Сервер

Вебсайт має бути десь розміщений. Цей комп’ютер називається сервером: на ньому зберігають всі файли, пов’язані з вебсайтом, і пересилають їх щоразу, коли хтось посилає запит на цю сторінку сайту через веббраузер. Більшість серверів сьогодні розміщуються у професійних хостинг-провайдерів, таких як OVH або Digital Ocean, або хмарних провайдерів, таких як Amazon Web Services або Google Cloud.

Сервери підключають до інтернету за допомогою однієї або декількох IP-адрес (найчастіше один IPv4 й один IPv6). Ці IP-адреси регіональні інтернет-реєстратори делегують компаніям чи організаціям, які використовують їх для своїх систем. Хостингова компанія має багато IP-адрес, і вона призначає їх своїм різним серверам, на яких буде розміщувати окремі вебсайти.

Кожен власник IP-адреси також повинен повідомити різні мережі, підключені до інтернету, про IP-адреси, які він використовує, щоб вони могли правильно маршрутизувати інформаційні потоки (інтернет-трафік). Для цього необхідно зареєструвати автономну систему (AS) – адміністративний запис, який визнають всі мережі інтернету та ідентифікують за унікальним номером. Наприклад, AS1252 – це номер UNMC-AS, Медичного центру Університету Небраски. В інтернеті можна знайти досить повний список номерів автономних систем. Більшість хостингових компаній володіють однією або декількома автономними системами.

Інструменти на кшталт ipinfo.io дозволяють визначити автономну систему для IP-адреси, компанію, що стоїть за нею, і приблизно визначити розташування сервера, до якого підключений IP. Зверніть увагу, що така геолокаційна інформація не зовсім точна. Для адреси GIJN 34.122.151.197 ми бачимо, що він є частиною AS396982, що належить Google, і, мабуть, розташований у Центрі обробки даних Google в Айові. Іноді пошук Whois показує IP-адресу, яка дає більш точну інформацію, ніж AS, але не в цьому випадку. Найповніші результати допоможе отримати такий інструмент, як ipinfo.io.

Сертифікат HTTPs

HTTPs – це захищений протокол, який використовують для зв’язку між веббраузером та сервером, на якому розміщено вебсайт. Він дозволяє браузеру перевіряти справжність сервера за допомогою криптографічного сертифіката. Таким чином можна переконатися, що браузер завантажує справжній сайт gijn.org, а не інший сайт, що видає себе за нього. Кожен криптографічний сертифікат видає сторонній центр сертифікації, який визнають різні браузери та операційні системи. Ці сертифікати видають на обмежений термін (зазвичай від трьох місяців до року), й вони потребують регулярного оновлення. Щоб переглянути сертифікат, можна натиснути на значок замка в рядку браузера, вибрати «Захищене з’єднання» та «Додаткові відомості». Ось що ми отримали для сайту GIJN.

Сертифікат HTTPs для gijn.org станом на лютий 2023 року. Зображення: Скріншот, Let’s Encrypt

Ми бачимо, що цей сертифікат надав безкоштовний центр сертифікації Let’s Encrypt 20 лютого 2023 року, і він буде дійсним до 21 травня. Якщо значок замка в рядку браузера показаний з відкритою дужкою, або якщо значок замка відсутній і ви бачите напис «Не захищено», то ви переглядаєте сайт, який використовує незахищений протокол HTTP, який не шифрує обмін даними з сервером і не перевіряє його справжність.

Ось діаграма з коротким описом різних аспектів цієї інфраструктури.

Схема цифрової веб-інфраструктури. Зображення надано автором.

Давайте підсумуємо зібрані про gijn.org відомості:

  • Сайт використовує домен gijn.org, який купили на GoDaddy 24 червня 2009 року.
  • Він розміщений на сервері з IP-адресою 34.122.151.197, яка є частиною AS396982, що належить Google Cloud.
  • Він використовує HTTPs-сертифікат, виданий Let’s Encrypt 20 лютого 2023 року.

Джерела даних

Тепер, коли ми зрозуміли основи цифрової інфраструктури, давайте подивимося, як можна заглибитись у її вивчення. Для детальнішого розслідування варто звернути увагу на кілька джерел даних. Частина цих інструментів безкоштовні, але деякі вимагають платного доступу. (Низка платформ надає безкоштовний доступ журналістам-розслідувачам, спробуйте звернутися до них з таким проханням).

Whois та ретроспективні дані Whois

Як ми бачили раніше, в Whois для домену може відображатися така інформація, як ім’я, номер телефону, адреса електронної пошти або фізична адреса, але ця інформація часто приховується з міркувань конфіденційності. (Загальний регламент ЄС щодо захисту даних, GDPR, посилив цю тенденцію). Але є і хороша новина – кілька комерційних платформ уже багато років збирають дані Whois і можуть надати доступ до таких баз. Це корисно з кількох поглядів. По-перше, використовуючи ретроспективні дані, можна повернутися в минуле, коли власник домену не користувався захистом конфіденційності та знайти його дані. В основному це корисно для сайтів, які існують у мережі вже довгий час, принаймні кілька років. Також можна використовувати інформацію про власника як відправну точку для пошуку інших доменів, зареєстрованих тією ж фізичною або юридичною особою.

Наприклад, у 2019 році я розслідував фішингову кампанію зі шпигунським програмним забезпеченням, спрямовану проти активістів з Узбекистану. Застосувавши ретроспективні дані про домени, я визначив, що домен, використаний для фішингу, зареєстрували на адресу електронної пошти b.adan1 [@] walla.co.il. Виявилося, що зловмисник навіть не подумав увімкнути конфіденційність у Whois.

Дані Whois для my-id[.]top у жовтні 2019 року в RiskIQ. Зображення: Скріншот, RiskIQ

Провівши пошук інших доменів, зареєстрованих за допомогою тієї ж адреси електронної пошти, я зміг знайти багато інших доменів, пов’язаних із цією онлайн-кампанією.

Список доменів, зареєстрованихl b.adan1[@]walla.co.il у RiskIQ. Зображення: Скріншот, RiskIQ

Серед комерційних платформ ретроспективну інформацію надають RiskIQ, DomainTools, Recorded Future та Cisco Umbrella. Такі сервіси, як Whoxy.com та Whoisology.com, можуть і без оплати показувати фрагменти ретроспективних записів.

Інформація з «пасивних DNS»

Як ми згадували вище, протокол DNS дозволяє визначити IP-адресу сервера для даного імені в даний момент часу. Для того, щоб стежити за змінами інфраструктури, деякі компанії збирають відомості про DNS-запити та відповіді, щоб ретроспективно визначати зміну DNS. Такі бази даних називають «пасивним DNS». Простіше кажучи, це майже те саме, що ретроспективні записи Whois – але для DNS.

Пасивний DNS є важливим інструментом для відстеження інфраструктури. Багато шкідливих сайтів розміщують в інтернеті тимчасово, іноді всього кілька днів або тижнів. Тому наявність ретроспективних даних дозволяє краще зрозуміти, які домени та сервери використовуються в певний момент. Таким чином, спостерігаючи за цифровою інфраструктурою тривалий час, можна зрозуміти, коли почалася шкідлива активність.

Дані пасивного DNS зазвичай представлені у вигляді IP-адреси, домену, дати початку та дати закінчення. Більшість платформ дозволяють здійснювати пошук по IP або домену, а деякі платформи використовують інші види записів DNS, а не тільки А/АААА.

У попередньому прикладі з фішинговою кампанією, в одному з перших виявлених фішингових листів було посилання на домен mail.gmal.con.my-id[.]top. Щоб визначити використані сервери, ми можемо знайти всі IP-адреси, що видавалися для цього домену в базі даних пасивного DNS, наприклад, у Farsight DNSDB.

IPv4 адреси для домену mail.gmal.con.my-id[.]top у Farsight DNSDB. Зображення: Скріншот, Farsight DNSDB

Потім ми можемо пошукати домени, розміщені на цій же IP-адресі в момент атаки.

Зразок пошуку за доменуом для IP 139.60.163.29 у Farsight DNSDB. Зображення: Скріншот, Farsight DNSDB

Пасивні DNS збирають такі компанії як Farsight DNSDB, DomainTools, Risk IQ, Circl, Zetalytics, Recorded Future, Cisco Umbrella та Security Trails. У різних постачальників різні джерела даних для пасивних DNS, тому найчастіше набори даних у них неповні й добре доповнюють одне одного. В ідеалі повнішу картину можна отримати, використавши кілька сервісів. Те саме стосується і ретроспективних записів Whois.

Бази даних прозорості сертифікатів

У кожного вебсайту є доменне ім’я та IP-адреси, а більшість із них мають ще й сертифікат HTTPs. Отже, у розслідуванні інфраструктури можна використовувати інформацію про сертифікати. Перевірити їх можна завдяки стандарту безпеки під назвою Certificate Transparency (Прозорість сертифікатів), який передбачає публічний облік усіх виданих сертифікатів. Платформи типу Censys або Crt.sh надають безкоштовний доступ до цих даних. Сертифікати не містять детальної інформації про те, хто їх створив, але за ними можна підтвердити, чи домен або піддомен використовувався певним сертифікатом, і вивчити хронологію використання таких доменів.

Фішингова кампанія, спрямована проти активістів в Узбекистані, використовувала шпигунське програмне забезпечення для Android, яке зверталося до домену garant-help[.]com. Швидкий пошук в Crt.sh показує хронологію активного використання цього домену в кампанії (і, відповідно, використання шпигунського ПЗ).

Пошук сертифікатів для garant-help[.]com у Crt.sh. Зображення: Скріншот, Crt.sh

Широкомасштабне сканування інтернету

Інтернет складається з кількох мільярдів взаємозалежних систем. Наприклад, IPv4-адрес зараз трохи більше чотирьох мільярдів. При поточній пропускній спроможності мережі можна регулярно сканувати більшість інтернет-систем. Декілька компаній регулярно проводять таке сканування й надають доступ до баз даних з результатами.

Інформація з Shodan для IP-адреси, що розміщує gijn.org. Зображення: Скріншот, Shodan

Сканування має свої обмеження: його можна застосувати не до всіх сервісів, а запити надсилаються лише стандартизовані, які не дадуть інформації про всі вебсайти, встановлені на сервері. Проте це важливе джерело інформації для цифрових розслідувань. По-перше, таким чином можна швидко подивитися, яке ПЗ запустили на підозрілому сервері, та отримати уявлення про його інфраструктуру. У деяких базах даних також є ретроспективні дані, які дають змогу вивчити, що працювало на сервері раніше. Нарешті, за допомогою такої бази даних можна розробляти складні запити для пошуку споріднених інфраструктур, що використовують те саме специфічне налаштування. Така функція може допомогти у розслідуванні. Наприклад Amnesty Tech Lab з її допомогою відстежувала інфраструктуру Pegasus групи компаній NSO протягом кількох років. Журналісту під час такого аналізу корисно співпрацювати з технічними експертами.

Дві основні платформи для широкомасштабного сканування інтернету – Shodan і Censys, але можна використовувати й інші, наприклад, ZoomEye, BinaryEdge або Onyphe. Більшість із них надають безкоштовний доступ до даних, але стягують платню за ретроспективну інформацію та складні запити.

Бази даних про шкідливу діяльність

Існує багато платформ для виявлення, простеження чи індексування відомих шкідливих інфраструктур. Переважно їх використовують фахівці з кібербезпеки. Такі платформи можуть містити також інформацію про нешкідливу або суміжну зі шкідливою (наприклад, дезінформаційну) інфраструктуру, що може стати в нагоді журналістам. Ось огляд деяких із цих платформ.

VirusTotal. Ця відома антивірусна платформа була створена майже 20 років тому в Іспанії, а потім була придбана компанією Google. Вона дозволяє будь-якому бажаючому відправити файл на перевірку більш ніж 70 антивірусним сканерам та службам фільтрації URL-адрес. VirusTotal – найбільше у світі сховище як легітимних, так і шкідливих файлів, і доступ до цієї внутрішньої вірусної бази надають багато компаній, що займаються кібербезпекою. Якщо ви працюєте над розслідуванням шпигунських програм, VirusTotal – гарне місце для пошуку схожих програм чи пов’язаної інфраструктури. Якщо ви використовуєте VirusTotal для перевірки отриманого вами файлу на шкідливість, майте на увазі, що завантажені документи доступні тисячам людей по всьому світу. Тому завантажувати особисті документи – погана ідея. Ліпше звернутися до експертів, які допоможуть провести подібний аналіз.

URLScan – це відкрита платформа, яка дозволяє користувачам запитувати певну URL-адресу, а потім переглядати детальну інформацію про інфраструктуру та вебсайт у безпечному режимі. Ця платформа корисна, коли ви виявили підозріле посилання та хочете безпечно його перевірити. Вона також може знайти пов’язані URL-адреси, які хтось інший міг вказати у своєму запиті. Сканування може бути як публічним, так і конфіденційним, але конфіденційне сканування надається лише користувачам із платним доступом.

Приклад запиту URLScan за запитом gijn.org. Зображення: Скріншот, URLScan

AlienVault OTX. Це безкоштовна база даних, що містить значний обсяг відомостей про шкідливу інфраструктуру. Для пошуку навіть не потрібен обліковий запис – достатньо ввести домен або IP-адресу у відповідний рядок. Наприклад, пошук за шкідливим доменом garant-help[.]com одразу ж привів до відповідної публікації.

Пошук за запитом garant-help[.]com в AlienVault OTX. Зображення: Скріншот, AlienVaultOTX

Наведена нижче схема відображає типи інструментів для вивчення різних елементів цифрової інфраструктури.

Пошук методик та джерел для дослідження цифрової інфраструктури. Зображення надано автором

Приклади розслідувань

Звіт Mandiant про групу зловмисників APT1. У 2013 році американська компанія Mandiant змогла пов’язати діяльність групи зловмисників APT1 з роботою підрозділу 61398 Народно-визвольної армії Китаю. Це китайське військове угруповання діяло як мінімум з 2006 року і зламало як мінімум 141 організацію.

Розслідування діяльності в’єтнамського угруповання Ocean Lotus. Журналісти німецького громадського телерадіомовника Bayerischer Rundfunk та видання Zeit Online провели велику роботу з розслідування інфраструктури, яку використовує Ocean Lotus – група, яку вважають пов’язаною з владою В’єтнаму. Це розслідування поєднувало пошук людей з технічним аналізом доменів та серверів, що використовуються групою.

Звіт Citizen Lab про фірму Circles, яка займається відеоспостереженням. За допомогою широкомасштабного сканування інтернету Citizen Lab вдалося визначити конфігурацію Circles для обслуговування своїх клієнтів. Так Citizen Lab змогли встановити 25 держав-клієнтів ізраїльської компанії, яка займається стеженням.

Того: хакери-найманці в Західній Африці. У жовтні 2021 року Лабораторія безпеки Amnesty International опублікувала звіт про шпигунську атаку на активіста з Того. Потім цю атаку пов’язали із індійською компанією Innefu Labs. Це хороший приклад використання технічних помилок в інфраструктурі зловмисника для визначення виконавця атаки.


Етьєн «Тек» МайньєЕтьєн «Тек» Майньє – дослідник у Лабораторії безпеки Amnesty International. З 2016 року займається розслідуванням цифрових атак на громадянське суспільство; опублікував безліч розслідувань про фішинг, шпигунські програми та дезінформаційні кампанії. Його можна знайти на сайті або на Mastodon.

Republish our articles for free, online or in print, under a Creative Commons license.

Republish this article


Material from GIJN’s website is generally available for republication under a Creative Commons Attribution-NonCommercial 4.0 International license. Images usually are published under a different license, so we advise you to use alternatives or contact us regarding permission. Here are our full terms for republication. You must credit the author, link to the original story, and name GIJN as the first publisher. For any queries or to send us a courtesy republication note, write to hello@gijn.org.

Читати далі

Методологія Поради та інструменти Приклади розслідувань

Поради щодо встановлення таємних власників компаній-оболонок

Заступниця керівника відділу даних і досліджень ICIJ Керрі Кехо поділилася своїм досвідом, інструментами та відправними точками для пошуку реальних власників підставних компаній на конференції NICAR24.

Методологія Поради та інструменти Приклади розслідувань

Як Росія руйнувала Маріуполь: Дистанційне розслідування

На прикладі документування руйнувань і втрат у Маріуполі, команда Human Rights Watch поділилася власною методикою онлайн-розслідування зловживань і звірств, що можуть бути кваліфіковані як воєнні злочини.

Facebook, Google digital ad libraries

Путівник Методологія Поради та інструменти

Посібник із розслідувань з використанням бібліотек цифрової реклами

Експерт із цифрових розслідувань Крейг Сільверман підготував короткий посібник із використання бібліотек цифрової реклами для аналізу кампаній впливу в Інтернеті.