Даркнет под контролем: от обнаружения до управления киберинцидентами

Чем опасен формальный мониторинг даркнета, как отличить реальную утечку от фейка за пять минут и где проходит грань между разведкой и преступлением, рассказывает Константин Мельников, руководитель департамента специальных сервисов Infosecurity («Софтлайн Решения»).

Константин, для многих компаний даркнет до сих пор остается чем-то вроде «темного леса» за забором их ИТ-инфраструктуры. Когда простое наблюдение за ним превращается в стратегическую необходимость?

Когда бизнес осознает, что реальная угроза исходит не от прямых упоминаний бренда, а от вещей, лежащих на периферии. Самая частая ошибка — мониторить только то, что бьет по вывеске. Но опасность чаще приходит через утечку данных рядового сотрудника, взлом маленького подрядчика или объявление о продаже доступа к сети на закрытом хакерском форуме.

Проактивная оборона — не разовая акция, а непрерывный стратегический цикл, цель которого — не найти упоминание, а понять контекст угрозы и встроить эти знания в систему безопасности компании. Все начинается с вопроса: «Кто мы и какую ценность представляем для злоумышленника?». Без честного ответа нет стратегии. Нужна полная инвентаризация: продукты, бренды, ИТ-активы, публичный периметр, чтобы определить вероятные векторы атак.

У вас в практике был случай, который наглядно доказывает, что формальный подход к этому вопросу опасен?

Да, к нам обратилась компания для пилотного мониторинга угроз. Их задача изначально звучала как «сделать для галочки». Но мы поступили иначе. Вместо скроллинга общедоступных форумов мы начали с разведки: проанализировали закрытые чаты хакерских группировок и их Telegram-каналы, и только потом вышли на общие площадки даркнета.

Уже в первые дни обнаружились первые угрозы: фишинг под руководство и фейковые страницы. Но настоящая находка ждала в закрытом канале. Там появилось объявление о продаже доступа к корпоративной почте неизвестной компании. Все детали — отрасль, масштаб, инфраструктура — идеально совпадали с профилем нашего заказчика. Не хватало лишь названия. Мы отправили предупреждение с доказательствами. Однако реакция службы безопасности была скептической: «Это обычный шум. С такими угрозами мы живем годами».

Спустя три месяца доступ к почте был куплен. В компании начались серьезные сбои и необъяснимые инциденты. Критическая ситуация совпала со сменой руководства отдела информационной безопасности. Новый директор первым делом запросил полную картину угроз. Старая отчетность была пересмотрена, и вся цепочка — от первичного обнаружения до неопровержимых доказательств — была заново проанализирована.

То есть угроза была абсолютно реальной, но ее проигнорировали из-за формального подхода к мониторингу. Осознание этой ошибки привело к серьезным кадровым и организационным изменениям внутри компании.

Чтобы находить такие угрозы, нужно уметь не просто скроллить ленты, а общаться с хакерами на их языке. Как становятся «цифровыми разведчиками» и можно ли этому быстро научиться?

Нельзя посадить рядового сотрудника ИБ и сказать: «Иди поторгуйся с хакерами». Он провалится на первом же вопросе. Путь до уровня разведчика занимает годы.

В первую очередь важны легенда и репутация. На вопрос «откуда ты про меня узнал?» нельзя отвечать честно. Нужна проработанная история с отсылкой к реально существующему в среде персонажу. Кроме того, в даркнете говорят на своем языке, поэтому необходимо хорошо знать сленг, понимать контекст, уметь задавать косвенные вопросы. Хакер никогда не напишет «продаем данные такого-то банка». Он напишет «данные по финсектору». Если не понимать таких нюансов, диалога не выйдет.

И обязательное правило — техническая дисциплина. В даркнете много фишинговых копий площадок, зараженных файлов-ловушек, поэтому любая деятельность здесь должна строиться на абсолютно изолированном окружении.

Допустим, мы нашли объявление о продаже данных. Как за пять минут понять, реальная ли это угроза или фейк — их там огромное количество?

Зачастую самый эффективный метод — это анализ внутренней структуры. Например, в настоящих банковских системах ФИО клиента всегда разбито на три отдельных поля. А в фейковой «утечке» эти данные могут быть записаны одним слитным текстом. Подобная нестыковка и становится главным доказательством подделки.

В даркнете процветает индустрия дезинформации, построенная на безнаказанности. Есть понятие «мошенничество в мошенничестве». Как говорят, «ни один злоумышленник, которого обманули, в полицию не пойдет» — на этой аксиоме и строится целая индустрия. Многие, особенно «малолетние» участники, как мы их называем, специализируются именно на этом: предлагают нелегальные услуги или данные, принимают оплату — и просто растворяются. Покупатель, сам находящийся вне закона, не может никому пожаловаться.

Еще можно столкнуться со сфабрикованными утечками. Это когда создаются и продаются абсолютно фейковые массивы данных. Их либо генерируют с нуля, либо собирают из старых, давно известных баз, выдают за новую находку и пытаются монетизировать.

Яркий пример: несколько месяцев назад в СМИ появилась новость о «крупнейшей в мире утечке» объемом 340 ГБ, которая якобы затронула несколько известных российских и американских социальных сетей и мессенджеров. Первый вопрос, который я задал: «Как технически между собой связаны эти ресурсы?». Впоследствии эксперты подтвердили: это не новая утечка, а просто скомпилированный сборник старых утечек.

Допустим, утечка реальная и произошла прямо сейчас. Как выстроен процесс управления инцидентом?

Когда утечка произошла, действовать нужно по четкому алгоритму. В первые же часы нужно информировать руководство, безопасность, ИТ, PR, оповестить ключевых партнеров, чтобы подготовиться к провокациям. Дальше необходимо запустить внутреннее расследование. Можно задать себе вопросы — откуда утекли данные, куда они могут распространиться, кто стоит за этим.

И только после этого — фокус на глубоком анализе и предотвращении рецидивов. Если утекло одно — не значит, что только это. Злоумышленник мог придержать другие данные. Вот тут как раз разведчики и нужны — чтобы оценить намерения противника.

Важно не совершать типичных ошибок: не пытаться «прикрыть» проблему, не ходить только по самому очевидному пути, отбрасывая альтернативные версии, и иметь в штате людей с реальным опытом.

Можете привести пример нестандартных действий, которые помогли выиграть время?

Расскажу на примере реального инцидента с крупным банком. Утечка случилась не у банка, а у его подрядчика. Злоумышленники выгрузили 500 ГБ данных (персональную информацию, номера карт, исходные коды) и выложили одним файлом в общедоступное облако. Это была ошибка, потому что в тот момент Telegram только ввел премиум-аккаунты с лимитом загрузки в 4 ГБ. Чтобы распространить 500 ГБ, им пришлось бы разбить архив на 125 частей, чем они, видимо, просто не захотели заниматься. Именно на этой ошибке мы построили нашу тактику — «гонку на опережение». Мы знали: для загрузки 500 ГБ нужно 20-30 минут. Используя наработанные методы, мы каждые 10-15 минут отправляли запрос на удаление ссылки.

Работало это так: злоумышленники выкладывали новую ссылку, через 10 минут она «умирала». В чатах — волнения: «не качается!». Они, теряя лицо, генерировали новую ссылку — мы блокировали снова. Мы целенаправленно выдерживали тайминг, чтобы максимум людей начали качать и испытали разочарование. Так мы терроризировали их около суток. В итоге они сняли все публичные ссылки: «Кто захочет — пишите в личку». Полностью файл успели скачать всего около 13 раз.

Но главное — мы выиграли для банка три критических дня. Пока в СМИ появлялись лишь короткие заметки «компанию взломали» без самих данных, банк успел сделать несколько ключевых шага: получить от нас образцы данных и понять реальный масштаб угрозы, установить, что взломан подрядчик, и срочно закрыть все уязвимости, а также подготовить грамотный публичный ответ. Банк вовремя проинформировал регулятора, и инцидент был локализован.

Такая работа ведется на очень тонкой грани. Где проходит черта между разведкой и соучастием?

С правовыми границами в работе цифрового разведчика все строго. Главный принцип — отказ от любых действий, нарушающих закон. И дело не в этике, а в конкретных нормах. Многие забывают о юрисдикции. Угрозы глобальны, а законы — локальны. Недостаточно знать законодательство своей страны. Если устанавливаешь контакт с хакером из-за рубежа или защищаешь активы компании в другой юрисдикции (например, европейского филиала), то автоматически попадаешь под действие местных норм, которые могут быть значительно жестче в вопросах приватности или провокаций.

Запрет на провокации — ключевое правило. Действия разведчика не должны подталкивать злоумышленника к противоправным действиям. Фраза «Ты же не взломал, иди взломай!» — это прямая дорога к скамье подсудимых в качестве подстрекателя. Если злоумышленник последует «совету» и его поймают, ответственность понесут оба.

Еще опасны бартерные отношения. Некоторые злоумышленники избегают денежных транзакций, чтобы усложнить доказательство финансового преступления. Они предлагают обмен: «Дашь данные по компании X — получишь доступ к компании Y». Согласиться — значит самому совершить противоправное действие по обороту ворованной информации.

На одном из мероприятий мне задали вопрос: что делать, если разведчик пересек эту черту? Ответ прост: немедленное увольнение. Работа в даркнете — это дисциплинированная деятельность, требующая абсолютного соблюдения правового поля.