Пособие для журналиста по расследованию организованной преступности
Глава 3.
Киберпреступность

Эту главу про киберпреступность и расследования в «дарквебе» написала Кейт Фаззини директорка по обеспечению безопасности и инжинирингу в Ziff Davis, техножурналистка, освещавшая кибербезопасность для американского кабельного телеканала CNBC. 

Киберпреступность — это любая криминальная деятельность, совершаемая в цифровом пространстве. Мы привыкли представлять себе киберпреступление как работу классических «хакеров», то есть в этом контексте — неавторизованное проникновение в цифровую среду — но существует много других типов преступлений, в том числе и вполне материальных, которые ведут в цифровой мир.

Всё что угодно: от распространения детской порнографии до незаконного перевода средств со счёта при помощи инсайдера в банке или кражи исходного кода программ — всё это входит в категорию «киберпреступлений». Часто возможность для киберпреступлений появляется из-за нарушения права на конфиденциальность: например, если компания плохо шифровала и хранила личные данные, а затем эти данные украли, то, конечно, со стороны компании это нарушение режима использования персональных данных, а со стороны тех, кто данные украл — это киберпреступление.

Финансовые потери по вине киберпреступников бывают огромными и очень труднопредсказуемыми. Миллиардер-инвестор Уоррен Баффет в прошлом упоминал, что он мотивирует свой бизнес избегать рынка киберстрахования, поскольку нет достаточных данных для прогнозирования возможных финансовых потерь. Этот трудноопределимый риск очень отличается от нашего понимания других типов финансовых потерь: стихийных бедствий — ураганов или наводнения — или от другой преступной активности, например, ограблений банка или диверсионной деятельности. По грубым оценкам из разных источников, включая компанию McAfee, Cybersecurity Ventures, институт SANS и ФБР, ущерб, который киберпреступность наносит государственным органам и бизнесу, измеряется триллионами долларов.

Сейчас киберпреступность уже заняла первые позиции в приоритетах безопасности. И, что любопытно, теневой мир в этой сфере по своей структуре очень похож на корпоративный мир. Процветают преступные «стартапы» или мелкие банды, которые слабо связаны по географическим критериям или по интересам, крадут инструменты друг у друга, конкурируют и сотрудничают — и все с гибкостью и амбициями, сравнимыми с Силиконовой долиной. Более крупные теневые игроки стремятся объединить криминальные интересы в Азии, Европе, Африке и обеих Америках, навязывая централизованное лидерство. Есть криминальные рекрутеры, которые ведут себя совершенно так же, как обычные кадровики, и есть даже очень сюрреалистичные версии служб поддержки, куда могут позвонить потерпевшие, чтобы открыть кошелёк в биткоинах для отправки выкупа.

Ransomware Attack image

Изображение: Shutterstock

«Значительная часть такой незаконной активности происходит в так называемом «дарквебе» — скрытом слое Интернета, доступ к которому чаще всего возможен через браузер Tor. В любое время там можно «подать заявку» на вакансию, например, локального оператора сети бота-вымогателя, или водителя Uber, который помогает «отмывать» незаконно нажитые средства под видом совершения поездок, или «мула» — курьера, который обналичивает поддельные кредитки в банкоматах.

Потенциальные источники

  • Научные работники: Некоторые исследовательские центры при университетах отслеживают онлайн-атаки и могут дать интересные наводки на конкретные дела. Карнеги-Меллон — самый известный из них в США, также с ним работает американский CERT – группа реагирования на компьютерные чрезвычайные происшествия, которая публикует оповещения о критических уязвимостях. В Британии есть Центр киберпреступности при Кембриджском университете.
  • Компании, занимающиеся кибербезопасностью: Такие фирмы, как McAfee, Crowdstrike, Carbon Black, FireEye, и большие поставщики облачных услуг — Amazon, Microsoft и Google — тоже создали много специальных экспертных групп, которые отслеживают недавние атаки. Довольно легко обратиться в одну из таких компаний и расспросить, какие атаки они сейчас наблюдают. Но стоит учесть: они продают собственные решения, и у них есть коммерческая заинтересованность в этих темах. Это не означает, что они плохие эксперты, просто учитывайте, что могут быть конфликты интересов, которые влияют на их объективность. Вот почему всегда важно общаться также с ответственными за кибербезопасность сотрудниками тех компаний, на которые сейчас идет нападение, даже просто чтобы собрать контекст и уточнить своё понимание того, что произошло. Такие источники может быть намного сложнее разработать, но они придадут очень важную перспективу вашим материалам.
  • Представители государственных органов: Только в США по крайней мере 20 федеральных департаментов и агентств занимаются противодействием киберпреступности. В Департаменте национальной безопасности есть Агентство по кибербезопасности и инфраструктурной безопасности (CISA) — они, похоже, наиболее открыты для прессы, и перед ними ставят задачу взаимодействовать с общественностью. Отдел киберпреступности в ФБР выпускает ценную и объективную статистику, которая может дополнить статьи фактами и неискаженной информацией о кибератаках и убытках, которые они за собой влекут. Секретная служба США и Министерство финансов США — это тоже возможные источники, которые стоит рассмотреть. В других странах мира тоже есть подобные государственные органы, к которым можно обратиться. В Великобритании это Национальный центр кибербезопасности, в котором есть пресс-группа, работающая с журналистами. У Европола есть собственный Европейский центр киберпреступности. В Японии есть Национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC), они недавно объявили, что создают отдельное бюро по киберпреступности. У ООН есть программа по киберпреступности в рамках Управления по наркотикам и преступности.
  • Потерпевшие: Потерпевшими от киберпреступности могут быть не только отдельные люди, а самые разные учреждения, фракции, государственные органы, порталы социальных сетей и так далее. Очень важно пообщаться с ними и обсудить их опыт кибератак. Также все статьи о кибератаках должны содержать просьбу к потерпевшим рассказать о них или объяснить, почему они отказываются комментировать. Учитывайте, что первые впечатления о масштабе и уроне от кибератаки могут быть обманчивыми. По моему опыту, часто бывает, что инцидент, который сначала кажется серьёзным, может нанести небольшой ущерб корпорации, а другие, которые первоначально производят впечатление невинных шалостей, могут серьёзно повредить.

Советы и инструменты

Organized Crime Cybercrime small image

Иллюстрация: Энн Кирнан для GIJN

Поскольку многие атаки киберпреступников в конце концов рассматриваются судами США — в рамках уголовных или гражданских процессов — один из самых ценных ресурсов по журналистике кибербезопасности, это американская юридическая база данных PACER (аббревиатура означает «Публичный доступ к электронным судебным реестрам»). Чтение процессуальных документов, особенно обвинительных заключений о киберпреступлениях внутри страны или за рубежом, даёт представление о кибератаках, а также подчёркивает ограничения существующих правовых структур в привлечении преступников к ответственности. Журналистам также стоит ознакомиться с Поисковым сервером Shodan, через который неспециалисты могут искать подключенные устройства, открытые Интернету.

Государственные органы и особенно компании по кибербезопасности могут стать ценными партнёрами в выявлении онлайн-преступников или в экспертизе преступления. Однако, журналистам нужно внимательно следить за этими взаимоотношениями, проверяя, нет ли у ваших источников других бизнес-связей или конфликта интересов, чтобы вам не «скармливали» информацию из расследований в собственных интересах.  Компании, занимающиеся кибербезопасностью, часто с радостью сотрудничают с журналистами или другими общественными проектами, поскольку они обеспечивают хорошую рекламу — так что нужно с осторожностью сообщать о роли компании в любом вашем репортаже.

Примеры материалов

Ограбление постсоветского банка

Эта история не публиковалась в газетах, но её описала исследовательская фирма по кибербезопасности под названием Trustwave. В этой научной статье 2017 года чётко показано, что раскрытие и детальное освещение каждого элемента киберпреступного заговора от частного к общему, может помочь людям лучше понять этот сложный цифровой мир. (Загружаемые копии можно скачать по запросу с Trustwave).

CNBC Equifax Breach story image

Изображение: Скриншот.

Утечка данных пользователей Equifax

Эту историю про массивную утечку данных одного из крупнейших американских бюро кредитной истории я продюсировала для CNBC. Мне удалось убедить аналитика безопасности — человека, работавшего на невысокой должности, но выполняющего критически важную задачу — описать своё возмущение от поиска огромного количества данных, украденных из Equifax. Источник атаки приписывали Китаю, но украденные данные так и не всплыли ни в «тёмном» вебе, ни где-либо ещё, что довольно необычно: как правило такие украденные массивы данных потом где-то продаются. Материал нередко цитировали парламентарии на слушаниях Конгресса США про утечку из Equifax и других компаний.

История с паролями NIST

Это классический лонгрид Wall Street Journal о сожалениях госчиновника, который помогал создать всем нам известные и ненавистные требования к паролям — «буква, цифра и символ». Эта история очень помогла связать кибербезопасность с точки зрения конечного пользователя — ведь мы все мучительно и с отвращением придумываем бесконечные комбинации паролей — с более масштабным сценарием того, как мало мы в целом знаем о кибербезопасности. 

Подъём северокорейской армии хакеров

Исчерпывающее расследование, проанализировавшее не только происхождение одного взлома, а отобразившее в одной статье в New Yorker досье одной из самых крупных киберпреступных организаций в мире: северокорейской армии хакеров, спонсируемой государством. Несмотря на обманчиво тривиальное название, Бюро общей разведки КНДР — это многоглавое чудище, занимающееся всем: от нападений программ-вымогателей до ограблений банков или краж криптовалюты. Считается, что они стояли за одним из самых дерзких взломов в истории — атакой на Sony Pictures 2014 года. В одном из отчётов ООН глобальные убытки от незаконной деятельности этой организации оцениваются в 2 миллиарда долларов — они были выведены на программу разработки вооружений для армии Северной Кореи. Затем New Yorker проводит своих читателей за кулисы того, как Бюро общей разведки нанимает агентов и затем проводит хакерские операции по всему миру.

Стратегии расследования

Основное отличие в расследованиях обычной преступности и киберпреступности лежит в трёх основных направлениях: сходство и отличие самих преступников, определение жертв, и также характерные именно для киберпреступлений черты.

Преступники

В обычной преступности — будь то злостные нарушители ПДД или убийцы — преступники обычно живут неподалёку от места преступления. Национальное законодательство по-разному регулирует общение с киберпреступниками, но там, где это разрешено, со стороны журналиста было бы этично узнать точку зрения самого преступника, каким бы незначительным не казалось дело. В США, где каждый считается невиновным до вынесения приговора, журналисты, которые не попытаются спросить мнения обвиняемого, нарушат профессиональные стандарты своей работы. Даже слов «без комментариев» или «нам не удалось получить комментарий мистера Смита даже после нескольких попыток» или «адвокат миссис Миллер отказался комментировать» будет достаточно.

Если имени подозреваемого не называют, как, например, в случае бандитизма или расового преступления, то журналисты обычно собирают информацию о преступнике у полиции и у жителей того района, где произошло преступление.

Но при освещении киберпреступности такие возможности редко появляются. Большинство из этих ожиданий вовсе не оправдываются. «Обвиняемые» могут быть группой киберпреступников, которые хвалятся своими преступлениями онлайн, а может оказаться, что это один человек. Иногда преступление совершает иностранное государство: либо под видом подставной преступной организации, либо под видом частного лица. Преступником может оказаться шпион одного из государств, внедрившийся в организацию или учреждение, а может – подросток из какого-нибудь подвала в Хельсинки.

В Recorded Future — отраслевом издании одноимённой компании по кибербезопасности — недавно рассказали о случае, когда 106 членов итальянской мафии были арестованы в связи с рядом киберпреступлений, в том числе с подменой сим-карт и компрометацией корпоративной электронной почты. Подмена сим-карт обычно делается чтобы перехватить номер телефона жертвы, получить второй фактор аутентификации к банковскому счёту и вывести деньги жертвы из банка. Компрометация корпоративной почты обычно проводится путём обмана и убеждения потерпевших отправить средства мошенникам. Эти преступления часто взаимосвязаны и используются для нанесения убытков юридическим и физическим лицам на миллиарды долларов, по данным ФБР.

Природа расследований киберпреступности такова, что мы скорее всего не будем сразу после атаки знать никакой информации о злоумышленнике. На то, чтобы определить хотя бы страну, из которой осуществлялась атака, могут уйти недели, месяцы, а то и годы. Это создаёт некоторые сложности для журналиста, освещающего преступление. Когда происхождение преступника неясно, то журналистам нужно помнить следующее:

  1. Кибер-расследования — это совсем не точная наука. Заявления следователей или экспертов, что в преступлении мог принимать участие некто — будь то государственный орган, хакерская группа или отдельный человек — часто оказываются недостоверными, особенно если сделаны сразу после инцидента. К таким заявлениям нужно относиться с настороженностью.
  2. Киберпреступники используют много слоёв чтобы сохранить в тайне свою личность, особенно во время сложных атак. К первоначальной информации о подозреваемом хакере-преступнике стоит относиться как к возможному ложному следу. Журналистам стоит обязательно пояснить это аудитории, и уточнить, как долго может длиться расследование.

Из-за всего вышеперечисленного журналисту нелегко дать преступнику право на ответ. Но я пришёл к выводу, что намного легче разговорить обвиняемого в киберпреступлении, попросив изложить свою точку зрения и описать, как всё выглядело с его стороны, чем найти потерпевшего, желающего говорить. И тут мы переходим к следующей проблеме.

Потерпевшие:

Поскольку личность совершившего киберпреступление моет быть сперва не установленной, журналисты часто переключают фокус на потерпевшую сторону, а это зачастую весьма непривлекательная корпорация или государственный орган — и те, и другие могут пострадать от общественного возмущения, вызванного реальным или воображаемым пробелом в защите данных отдельного гражданина или потребителя.

В то же время важно, чтобы журналист помнил: эти организации всё равно потерпевшая сторона, и там работают люди, которые могли пострадать от преступления. Технические специалисты и сотрудники службы безопасности компании, которая подверглась атаке, вынуждены тратить месяцы на ликвидацию последствий нападения, особенно в случае трудноудалимой вредоносной программы или программы-вымогателя. Инженеры и техники потерпевших компаний жаловались, что они с трудом справлялись с посттравматическим стрессовым расстройством (ПТСР). Многие из них спят на своём рабочем месте, ещё и сталкиваясь с травлей со стороны клиентов или коллег, которые винят их лично в этой атаке.

Действительно, одни компании небрежно относятся к безопасности, а другие неправильно выбирают направления вложения средств или безответственно отбирают кандидатов на ключевые посты в отделах технологий и безопасности. При этом, некоторые государственные органы и неприбыльные организации используют довольно громоздкий бюрократический подход к управлению и полагаются на устаревшие технологии. Другие идут в ногу со временем и применяют методы ответственного менеджмента, но допускают какую-то ошибку, которой и пользуется злоумышленник.

В то же время журналисты всё равно часто размывают границы между потерпевшим и злоумышленником настолько, что это было бы неприемлемо в традиционной криминальной журналистике. По-настоящему разобраться в преступлении скорее поможет понимание потерпевшей стороны и того, почему именно против неё оно было совершено.  Исследование уязвимостей жертвы важно, но оно не должно затмевать того факта, что другая сторона всё же совершила преступление.

Репортажи о киберпреступлениях требуют особого скрупулёзного подхода.  Личность злоумышленника или злоумышленников может быть пока не установлена, но ведь преступление остаётся преступлением. Сбор данных о людях или учреждениях или странах, причастных к атаке, должен быть постоянной обязанностью журналиста, расследующего киберпреступность, точно так же как правоохранителей или следователей.

Здесь особенно важна разработка надёжных источников. Чтобы понять, как произошла атака, журналистам стоит предпринять всё возможное, чтобы собрать у людей, которые были ближе всего к инциденту, даже незначительные факты о его общем контексте, которые впоследствии могут объяснить, что означало это нарушение и какие меры реагирования были предприняты. Такие источники найти очень сложно. Убедить сотрудника нарушить трудовой договор и рассказать о нарушении бывает непросто, а уж тем более сложно убедить опытного безопасника — который скорее всего вообще избегает любого общения с журналистами — ещё сложнее.

Журналистам стоит попытаться определить круг лиц, которые были ближе всего к инциденту, и попытаться завязать знакомство с ними. Если дать комментарий могут только внешние эксперты, не знающие непосредственно об инциденте ничего, то стоит выбирать по крайней мере практиков в сфере кибербезопасности, а не теоретиков или учёных, которые никогда не оказывались «на передовой». В этом случае практики — это сотрудники, выполнявшие непосредственные задачи по кибербезопасности на протяжении последних 12 месяцев.

Внешний мир

Ещё один аспект, в котором освещение киберпреступности отличается от обычной криминальной журналистики — это значение внешнего мира в восприятии и оценке определённого преступления.

Журналистам, которые готовят статью о кибербезопасности, стоит составить представление обо всех местных и зарубежных действующих лицах в истории — тогда у вас получится всесторонне показать читателям предмет расследования.

Вот хороший пример: в недавней экспертно-аналитической статье об инциденте с программами-вымогателями в техасском городке, среди стейкхолдеров оказались техасский университет (и волонтёры из него), местные управления ФБР, Секретная служба (поскольку там было мошенничество с банковскими переводами), Департамент национальной безопасности и компания реагирования на кибер-инциденты из Вашингтона. Поскольку сама компания работала в нефтегазовой отрасли, а владельцы были из Саудовской Аравии, оттуда тоже направили расследователей. Те обнаружили недостатки в определённом программном обеспечении для управления процессами, созданном во Франции — из-за этого ЕС начала расследование вместе с Национальным агентством кибербезопасности. В итоге этот вроде бы локальный взлом на Юго-Западе США выявил пробелы в национальной безопасности и в США, и в Саудовской Аравии, и в Европе, да и в любой стране или компании, использующей это французское программное обеспечение. 

И мой последний совет: для освещения кибербезопасности важно завести источники среди международных стейкхолдеров. Я до сих пор жалею о том, что недостаточно освещала различия между хакерской атакой во время избирательной кампании кандидата в президенты США Хиллари Клинтон 2016 года и кампании нынешнего президента Франции Эммануэля Макрона, которая началась на год позже. Мы многое знаем о том, как Российская Федерация повлияла на первую из этих кампаний, но так и не увидели полной картины того, как россияне пытались, но не смогли навредить кампании Макрона, который в итоге занял пост президента Франции.

Во многом это связано с любопытными и инновационными методами руководителя службы кибербезопасности Макрона, который предвидел дезинформационные атаки россиян и проактивно на них реагировал. Для этого, например, рассылались электронные письма с ложной информацией на почту, о взломе которой уже знали в кампании Макрона — и это дало команде возможность быстро свести на нет всю российскую операцию. Если бы мне удалось глубже выстроить взаимоотношения с госчиновниками Франции и с сотрудниками избирательного штаба, то я смогла бы сделать более полный рассказ об ошибках в безопасности избирательных кампаний, которые США совершили и которые лучше не повторять. Но может быть об этом ещё напишет кто-то из вас, мои читатели.