Компания SixGill, исторически связанная с подразделением 8200, занимающимся радиоэлектронной разведкой в израильской армии, оказывает Сбербанку "информационные услуги" по выявлению угроз в даркнете и Telegram. Ряд других российских банков тоже использует инструменты для мониторинга сети tor.
"Народ, здравствуйте, я раздобыл вход в приложение Сбербанк одного человека, знаю, что в понедельник у него зарплата. Как лучше всего вывести бабки оттуда, чтобы не вышли на меня?" - такие сообщения можно легко обнаружить практически в любом популярном чате обнальной тематики в Telegram.
Когда автор сообщения - с набором символов вместо имени и милой аватаркой с котом - не пытается "вывести" чужую зарплату, он промышляет банковскими картами от 3 тыс. рублей за штуку. Он состоит, по меньшей мере, в 18 таких чатах и обещает доставить "пластик" курьером по Москве и Санкт-Петербургу в комплекте с сим-картой, пин-кодом, фото паспорта и кодовым словом. Такие оформленные на третьих лиц карты применяются в серых схемах по обналичиванию.
В обнальных чатах - тысячи подобных дроповодов: они обмениваются инструментами для взлома, вербуют сотрудников банков, продают данные о балансах, кредитные истории, персональные данные и многое другое. Те, кто преуспел, создают свои подпольные "корпорации" и привлекают дропов за границей.
Этот рынок нелегальных обнальных сервисов принято называть даркнетом. Хотя технически даркнет - это часть интернета, куда можно попасть только через анонимный браузер tor.
Архитектура "темной" сети сопротивляется тому, чтобы ее изучали сторонними инструментами. Чаты недолговечны или доступны для эксклюзивного круга дропов и дроповодов. Владельцы форумов усложняют регистрацию, чтобы не допустить роботов, собирающих информацию для поисковиков и полицейских служб типа Европола.
Это не значит, что нарушителей в даркнете невозможно вычислить. Некоторые из них используют один и тот же имейл для обнальных операций и покупок в обычных интернет-магазинах - так, известный банковскими взломами хакер aqua приобрел детскую коляску на имя москвича Максима Якубца, выдачи которого теперь требует ФБР.
Другие дроповоды забывают стереть метаданные со снимков своего товара. В 2020 году исследователи из Технологического университета в Теннесси обнаружили на нелегальных торговых площадках в даркнете более 800 фото с "зашитыми" в них географическими координатами, которые могут указать место съемки с точностью до нескольких метров. Наши исследователи проанализировали и русскоязычные площадки, где таких улик не оказалось.
Любитель кошек и банковских карт из обнального чата использовал свой уникальный ник на сайте для любителей аниме, а также на площадке для найма фрилансеров. Там он представляется как 23-летний Тимур из Москвы; этот же возраст он указывал в одном из чатов в даркнете, когда искал работу.
"Крутой поставщик"
Можно ли сделать поиск таких улик автоматическим? Исследовательская компания Gartner в руководстве по кибербезопасности советует IT-компаниям использовать программы для непрерывного мониторинга даркнета.
Одно из первых таких решений - DarkOwl - производства одноименной американской компании, уже более 10 лет архивирует основные обнальные торговые площадки. В 2019 году DarkOwl по нашему запросу нашла в своем архиве посты наркоторговца "Мигеля Моралеса" с удаленного к тому времени форума Russian Anonymous Marketplace.
Следственный комитет считает, что "Мигель Моралес" заказал убийство подполковника юстиции Евгении Шишкиной в октябре 2018-го.
Если DarkOwl выбрала своим символом сову (owl), то ее конкурент, израильская SixGill - глубоководную шестижаберную акулу (sixgill shark). Gartner включила основанную в 2014 году компанию в список "крутых поставщиков" (cool vendors), то есть тех, кто "демонстрирует новые подходы к решению сложных задач".
Именно услугами SixGill в марте этого года и решил воспользоваться Сбербанк: доступ к программе на год обошелся российской госкомпании в 70,7 тыс. долларов (около 5 млн рублей). Формально контракт исполняет российская компания "Инфосистемы Джет", но автором программы указан именно израильский стартап.
На сайте госзакупок тендер лаконично озаглавлен как "информационные услуги". И хотя закупка была публичной, стороны отказываются делиться подробностями, ссылаясь на договор о неразглашении. Сбербанк не ответил и на более общие вопросы про даркнет.
Некоторые детали можно почерпнуть из технического задания:
- Сбербанк приобрел "бронзовый" пакет SixGill - не самый дорогой, судя по названию. Программа позволяет мониторить подпольные, нелегальные и запрещенные торговые площадки в "глубоком" интернете, к которому относится и даркнет.
- Помимо сайтов в Tor, программа ищет информацию в мессенджерах с возможностью группового общения - Telegram, китайском QQ, IRC-сетях. Сайт для программистов GitHub, файловое хранилище Dropbox, соцсети Twitter, LinkedIn, Myspace и другие также под колпаком.
- Изображения на всех ресурсах анализируются на наличие метаданных - скрытых характеристик, позволяющих вычислить автора и место съемки.
- При запросах по ключевым словам программа обращается к своему архиву. Это позволяет выходить в даркнет как можно реже и собирать информацию, не вызывая подозрений у владельцев сайтов.
- SixGill поддерживает русский, английский, китайский, арабский, португальский и другие языки. Оповещения об инцидентах приходят оператору в режиме, близком к реальному времени, и ранжируются по степени опасности.
- Программа видит "портрет" нарушителя- его связи, репутацию и специализацию (примеры из технического задания: хакер, дроп, дроповод или спамер). Если нарушитель использует разные имена на разных сайтах, программа все равно вычислит его по "уникальным идентификаторам" - это сетевые и криптовалютные адреса, имейлы, имена в мессенджере Jabber (самом популярном в даркнете до появления Telegram).
- Из необычного - под радары попадают сайты из ZeroNet - эта децентрализованная сеть пока не очень популярна в России, в отличие от Китая, где её используют для обхода цензуры. В марте этого года подведомственный Роскомнадзору Государственный радиочастотный центр (ГРЧЦ) заказал исследование анонимных сетей, в том числе ZeroNet, и возможностей их блокировки за 9,2 млн рублей.
Вероятность 1 процент из 1 процента
SixGill исторически связана с израильской киберразведкой - знаменитым "подразделением 8200", которое занимаются радиоэлектронной разведкой и входит в структуру Управления военной разведки (АМАН) Армии обороны Израиля.
Один из оздателей SixGill, уроженец Уругвая Ави Каштан, в 1990-е годы писал код для контроллера связи между танками, вертолетами и военнослужащими по заказу Армии обороны Израиля. Как сам он пишет на своей странице в LinkedIn, устройство использовало GPS для определения места и времени и передавало информацию через зашифрованные радиоканалы.
Вице-президент SixGill по продуктам и технологиям Рон Шамир ранее возглавлял отдел разведки киберугроз в Израильском национальном киберуправлении, а до этого 25 лет служил в "подразделении 8200".
Вместе со спецслужбами США это подразделение могло создать вирус Stuxnet, поразивший в 2010 году иранскую ядерную программу, писала New York Times. Эксперты из Symantec и других IT-компаний нашли в коде вируса дату 9 мая 1979 года ("19790509"), когда в Иране казнили лидера местной еврейской общины, промышленника Хабиба Элгханиана.
С 2007 по 2016 годы Шамир возглавлял разведывательное управление "подразденения 8200", говорится на его странице в LinkedIn. На сайте SixGill его фотография вывешена без какой-либо справки.
Партнер-основатель SixGill и ряда других компаний Инбал Ариэли также служила в 8200 - к 22 годам руководила подготовкой офицеров подразделения. "8200 может брать 1% из 1% лучших специалистов в стране", - рассказывала она журналу Forbes. Ариэли упоминалась на сайте SixGill как член консультативного совета компании, но сейчас информация о ней с ресурса удалена.
Фильтрация шума
Даркнет - это еще и нелегальный рынок персональных данных, источником утечек часто становятся банки.
Технический директор компании DeviceLock Ашот Оганесян регулярно освещает такие утечки, в том числе из Сбербанка, в своем телеграм-канале.
К идее автоматического мониторинга даркнета он относится скептически. "Это такой рынок баз данных, где нельзя просто роботом вытащить все, здесь важна репутация продавца, - пояснил Оганесян. - Общение зачастую происходит завуалированно, на закрытых площадках, в мессенджерах. Много кидал и рипаков. В единицах случаев работают прямолинейные объявления типа "База Сбербанка, продаю за миллион рублей".
Оганесян считает, что решения, подобные SixGill, могут ускорить мониторинг угроз, но полностью полагаться на них нельзя: "Для меня это явно вторичный источник информации".
Опрошенные нами банки анализируют даркнет как вручную, так и с помощью специальных программ. Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов сообщил, что его сотрудники мониторят "темную" сеть tor своими силами, но с прямыми угрозами оттуда кредитная организация не сталкивалась.
"Автоматизированные инструменты мониторинга даркнета мы не используем по причине их низкой эффективности, - говорит Касимов. - Для успешного поиска необходимы достаточно нетривиальные запросы и анализ. Простой поиск по словам МКБ или "Московский кредитный банк" результата не даст, именно поэтому мониторинг проводят аналитики".
В банке ВТБ нам ответили, что используют "все имеющиеся возможности по противодействию дропам и дроповодам, в том числе изучение информации из различных источников".
"Мы всегда внимательно следим за любыми упоминаниями банка в любом контексте в дарквебе и перепроверяем каждое упоминание компании, - рассказали нам в банке Тинькофф. - Проверка ведется как своими внутренними силами, так с помощью нескольких ведущих вендоров на рынке, которые оказывают нам соотвествующие услуги".
Свой сервис мониторинга даркнета есть и у швейцарской компании ImmuniWeb. Ее гендиректор Илья Колошенко рассказал Би-би-си, что программу используют несколько крупных российских банков, а также страховые и юридические компании.
По мнению Колошенко, главное для таких программ - "эффективная фильтрация шума, правильная валидация и приоритизация угроз". "Значительное количество данных в даркнете - это дубликаты, откровенный мусор или фейки", - отмечает бизнесмен.
"Большая часть закрытых площадок требует внедрения в организованную преступность, поэтому мы уделяем внимание по большей части открытым или серым зонам даркнета, - продолжает Колошенко. - Нередко в открытых источниках, таких как "Твиттер" или Pastebin, можно обнаружить гораздо больше критических утечек, чем в закрытых сообществах".