CC BY
42
УДК 343.985.7 : 343.34 : 004 ББК 67.52
Анохин Юрий Васильевич Anokhin Yuri Vasilievich
заместитель начальника института (по научной работе) Барнаульского юридического института МВД России доктор юридических наук, профессор.
Deputy Head of the Institute (for scientific work), the Barnaul Law Institute of the Ministry of Internal Affairs of Russia, Doctor of Law, Professor.
Янгаева Марина Олеговна Yangaeva Marina Olegovna
старший преподаватель кафедры криминалистики Барнаульского юридического института МВД России кандидат юридических наук.
Senior Lecturer, the Department of Forensic Science, the Barnaul Law Institute of the Ministry of Internal Affairs of Russia, PhD in Law. E-mail: marina-ymo@mail.ru
К ВОПРОСУ О MITM-АТАКЕ как способе совершения ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
To the question of the MITM attack as a modus operandi in the scope of computer information
С опорой на статистические данные Министерства внутренних дел Российской Федерации за 2017-2020 гг. в данной статье сфера киберпре-ступности определена как активно развивающаяся в настоящее время. Авторами рассматривается способ совершения преступлений в сфере компьютерной информации и информационно-коммуникационных технологий -MITM-атака. Иллюстрируются методы MITM-атаки: evil twin, email hijacking, session hijacking, air spoofing.
Ключевые слова: криминалистика, способ совершения преступлений, компьютерная информация, киберпреступник, MITM-атака.
В современном мире большую роль в жизни людей играют информация и способы ее передачи. Все мы прямо или косвенно связаны с информационно-коммуникационными технологиями.
Проанализировав статистику Министерства внутренних дел Российской Федерации, приходим к выводу, что с каждым годом киберпресту-плений становится все больше. В 2017 году было зарегистрировано 90 587 преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации [7], в 2018 г. -174 674 [8], в 2019 г. - 294 409 преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в
Basing on the statistics of the Ministry of Internal Affairs of the Russian Federation for 2017-2020 the authors define the scope of cybercrime as actively developing at present. The authors examine the modus operandi in the scope of computer information and information and communication technologies - «MITM attack». The article illustrates such MITM attack methods as: evil twin, email hijacking, session hijacking, air spoofing.
Key words: forensics, modus operandi, computer information, cybercriminal, MITM attack.
сфере компьютерной информации, направлено в суд - 57 221 [9], а в 2020 г. - 510 396, направлено в суд - 82 977, остальные 87 % так и остаются нераскрытыми [10].
В статье рассматривается один из самых старых, но не менее популярный в настоящее время, способ совершения преступлений в сфере компьютерной информации - MITM-атака (Man in the middle) или иначе «Атака посредника».
К сожалению, понятие «MITM-атаки» не рассматривается ни в одном нормативном правовом акте России, однако специалисты в области информационных технологий предлагают свои варианты определения данного термина.
А.Э. Арзуманян и А.А. Чумаков считают, что «MITM-атака - это такой вид воздействия, при котором злоумышленник вклинивается в информационную сеть, связывающую конечного пользователя с некоторым информационным ресурсом» [2, с. 38].
Считаем возможным рассматривать MITM-атаку, как деятельность киберпреступника, направленную на изменение (или ретрансляцию) данных между сторонами, осуществляющими передачу данных либо выдачу себя за одну из сторон (рис. 1).
воров, почтовых, телеграфных или иных сообщений (ст. 138 УК РФ) [1].
Традиционно в криминалистике под способом совершения преступления понимают «систему действий по подготовке, совершению и сокрытию общественно опасного деяния, детерминированных условиями внешней среды и свойствами личности, которые могут быть связаны с использованием соответствующих орудий, средств, условий места и времени» [3, с. 16-17].
Оригинальное соединение
Рис. 1. MITM-атака
Целью МГТМ-атаки является хищение личной информации (учетные данные для входа в личный кабинет, номера платежных карт), шпионаж, подрыв работы системы и др.
Пострадавшими от такой атаки становятся пользователи финансовых приложений, SaaS-предприятий, коммерческих сайтов и иных веб-сайтов, для входа в которые требуется авторизация.
Сегодня с помощью МГГМ-атаки можно совершить следующие общественно опасные деяния: неправомерный доступ к компьютерной информации (ст. 272 УК РФ); создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ); нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274 УК РФ); неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК РФ); нарушение тайны переписки, телефонных перего-
Необходимо пояснить, что для преступлений, совершаемых в сфере компьютерной информации способом MITM-атаки, свойственна трех-звенная структура совершения преступления.
Такие преступления тщательно готовятся (собирается информация, подготавливается программное обеспечение, подыскиваются соучастники и т.д.), в момент подготовки также продумываются способы сокрытия преступления [4, с. 94].
MITM-атака имеет большой вариатив методов в зависимости от целей и задач. Рассмотрим наиболее распространенные методы манипулирования системами связи с помощью MITM-атаки.
1. Evil Twin - создание киберпреступником контролируемой копии беспроводной точки доступа пользователя, благодаря чему он может отслеживать, собирать, манипулировать любой информацией, которую отправляет пользователь.
При обычном Wi-Fi-соединении клиентское устройство связывается с точкой доступа (рис. 2).
Рис. 2. Wi-Fi-соединение
Киберпреступник сканирует эфир в поисках информации об атакуемой точке доступа: имени точки доступа SSID, номера канала, MAC-адреса. После получения необходимых данных он создает точку доступа с такими же характеристиками. Далее киберпреступник отключает пользователя от оригинальной точки доступа, вынуждая его подключится к ложной точке доступа. Как только пользователь подключится к фальшивой точке доступа, ки-берпреступник получит полный контроль над его сеансом Wi-Fi. После этого киберпреступ-ник сможет перехватывать пакеты пользователя, внедрять вредоносное программное обеспечение и т.д.
Киберпреступник также может использовать инструменты для дублирования популярных форм входа на разные сайты или платформы хостинга электронной почты, при этом перехватывать учетные данные в виде обычного текста, пересылать их на реальные вебсайты и самостоятельно авторизовывать пользователя. Пользователь, в свою очередь, будет думать, что вошел в учетную запись своей электронной почты, но на самом деле все данные были перехвачены киберпреступником.
2. Email Hijacking (взлом электронной почты) - метод MITM-атаки, при которой киберпреступник получает доступ к учетной записи электронной почты пользователя. Далее киберпреступник незаметно отслеживает обмен данными пользователя и использует информацию в преступных целях.
Ярким примером описанного выше метода MITM-атаки послужит случай, произошед-
ший в 2019 году, который позволил киберпре-ступнику похитить 1 млн долл. [5]. Он изменил электронную переписку и, написав в общем итоге 32 электронных письма в обе стороны, смог перенаправить крупный денежный перевод от китайского фонда израильскому стартапу на свои реквизиты.
Владелец израильского стартапа смог договориться с китайским фондом о перечислении на его банковский счет 1 млн долл. в качестве финансирования начального этапа разработки проекта.
Глава китайского фонда совершил перевод на счет израильского стартапа в своем личном кабинете онлайн-банка.
Через некоторое время после совершения платежа представители банка, обслуживающего китайский фонд, уведомили их, что возникла проблема с одной из транзакций. А владелец израильского стартапа так и не получил ожидаемого денежного перевода. После этого обе стороны связались между собой по телефону, а не как ранее через электронную почту, и поняли, что транзакция была совершена, но не по фактическому назначению, а значит, 1 млн долл. был каким-то образом похищен третьей стороной.
Оказалось, что некоторые их электронные письма, отправленные из фонда в стартап, были изменены и не соответствовали тем, которые реально получили в стартапе. А некоторые письма какая-то из сторон вообще не писала, но на них отвечал кто-то еще.
После скрупулезного сбора оригинальных электронных писем между компаниями
стало понятно, как киберпреступник смог осуществить эту атаку.
По-видимому, за несколько месяцев до совершения первой большой денежной транзакции преступник смог заметить в электронной почте одной из компаний письма, касающиеся предстоящего многомиллионного контракта, и решил использовать эту информацию в своих целях. Вероятно, что все началось именно с наличия у преступника данных о почтовом сервере или пользователе одной из компаний.
Киберпреступник зарегистрировал два новых домена в сети, первый домен был практически таким же, как домен израильского стартапа, но с дополнительными символами в конце имени домена. Второй домен так же был очень похож на домен китайского фонда.
Затем преступник отправил два электронных письма с теми же заголовками, что и в исходной ранее увиденной им переписке. Первое электронное письмо было отправлено китайской компании с поддельного израильского домена, письмо было якобы от генерального директора израильского стартапа.
Второе электронное письмо было отправлено уже в сторону израильского стартапа с поддельного домена китайского фонда, в письме была указана вся необходимая информация, которую ранее в переписке использовал один из менеджеров китайского фонда, занимающийся этим инвестиционным проектом.
Таким образом, киберпреступником была успешно создана сетевая инфраструктура для начала проведения атаки «Man In The Middle». И через некоторое время вся переписка между компаниями стала проходить через домены преступника. А каждое электронное письмо, отправленное одной из компаний, в действительности доставлялось преступнику, который затем просматривал информацию в этом электронном письме, решал, нужно ли редактировать какой-либо контент, а затем пересылал измененное по его усмотрению электронное письмо по нужному месту назначения.
На протяжении всей этой атаки киберпреступник смог успешно отправить (и не быть раскрытым) восемнадцать электронных писем китайской стороне и четырнадцать электрон-
ных писем - израильской стороне. Его беспредельное терпение, скрупулезное внимание к деталям и хорошая осведомленность в ситуации позволили сделать эту атаку успешной.
Однажды, уже во время проведения атаки, глава китайского фонда и владелец израильского стартапа запланировали очную встречу в Шанхае. В последний момент преступник смог отменить это мероприятие. Он отправил электронные письма в каждую из компаний об отмене встречи, предоставив разные правдоподобные причины каждому из руководителей компаний, из-за которых они действительно не смогли встретиться друг с другом. Ведь именно во время такой встречи возможно фактическое совершение транзакции на банковский счет израильского стартапа, для преступника это означало, что его преступный замысел не осуществится.
На данный момент нет информации о том, был ли киберпреступник идентифицирован, пойман или найдены его сообщники, если такие были.
3. Session Hijacking - захват сеанса, также известный как взлом cookie-файлов, еще один метод MITM-атаки, который дает полный доступ к учетной записи пользователя. Когда он входит в свою учетную запись, например, учетную запись в «Сбербанк Онлайн», приложение возвращает cookie-сеанс (фрагмент данных), который идентифицирует пользователя на сервере и дает ему доступ к его учетной записи. Пока пользователь использует токен сеанса, сервер разрешает пользоваться приложением. Как только пользователь покидает приложение или после определенного периода бездействия со стороны пользователя, сервер аннулирует сеанс, и данные уничтожаются из выделенного пространства памяти. Ранее каждый запрос выполнялся независимо без каких-либо сведений о ранее выполненных запросах. То есть пользователю приходилось повторно вводить логин и пароль для каждой просматриваемой страницы. Разработчики создали способ отслеживания состояния между несколькими подключениями одного и того же пользователя, чтобы не запрашивать повторную аутентификацию между каждым переходом в веб-приложении (рис. 3).
Идентификатор сеанса является ключевой частью работы сеанса. Данная строка
Рис. 3. Работа сеанса
случайная, буквенно-цифровая, она пересылается между пользователем и сервером. Если киберпреступник получает идентификатор сеанса, он может самостоятельно войти в учетную запись на веб-сайте вместо пользователя.
После того как преступник захватил сеанс, он обладает всеми правами реального пользователя. Например, покупка товаров онлайн, доступ к личной информации, хищение конфиденциальных данных компании, в которой работает пользователь или хищение денежных средств со счета и т.д. Также преступник может запустить атаку социальной инженерии -«вымогатель», которая зашифрует все ценные данные пользователя.
Рассмотрим распространенные методы перехвата сеанса.
3.1. Session Fixation (фиксация сеанса) - преступник использует уязвимость системы, которая позволяет фиксировать (найти или установить) идентификатор сеанса другого пользователя. Этот тип атаки основан на фишинге. Например, киберпреступник отправляет по электронной почте ссылку, содержащую конкретный идентификатор сеанса. Пользователь кликает на ссылку и входит на веб-сайт. После этих действий пользователя, преступник будет знать, какой идентификатор сеанса им используется.
Приведем пример подобной атаки (рис. 4):
Преступник определяет, что http://www. unsafewebsite.com принимает любой идентификатор сеанса и не имеет проверки безопасности.
Преступник отправляет пользователю фи-шинговое письмо со словами: «Привет, Марк!
Хакер
Рис. 4. Атака фиксации сеанса
Оцени эту новую функцию учетной записи в нашем банке». Ссылка направляет пользователя на http://unsafewebsite.com/login?SID=1234. В этом случае преступник пытается зафиксировать идентификатор сеанса на 1234.
Пользователь кликает на ссылку, перед ним появляется привычный для него экран входа в систему. Пользователю кажется, что все в порядке, и он входит в систему как обычно, вводя свой логин с паролем.
Теперь преступник может посетить http:// unsafewebsite.com/?SID=1234 и получить полный доступ к учетной записи пользователя.
3.2. Session Sniffing - киберпреступник использует анализатор пакетов, такой как Wire-shark. Он предназначен для перехвата и регистрации пакетов по мере их прохождения через сетевое соединение. Сеансовые файлы cookie являются частью этого трафика, анализ сеанса позволяет преступнику найти их и похитить. Распространенная уязвимость, которая оставляет сайт открытым для прослушивания сеансов, - когда шифрование SSL/TLS используются только на страницах входа. Преступник может использовать анализ пакетов для отслеживания трафика всех пользователей этой сети, включая файлы cookie-сеанса.
4. ARP Spoofing (подмена протокола разрешения адресов (ARP)). Обычно протокол ARP используется LAN (локальными сетями), поэтому этот метод MITM-атаки происходит через LAN. Однако, когда пользователь отправляет ARP-запрос, киберпреступник отправляет ложный ответ. В этом случае преступ-
Литература
1. Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-Ф3. СПС «Кон-сультантПлюс».
2. Арзуманян Э.А., Чумаков А.А. МИТМ-атака. Угроза информационной безопасности в РФ // Znanstvena misel journal. 2019. № 33.
3. Зуйков Г.Г. Криминалистическое учение о способе совершения преступления: автореф. дис. ... д-ра юрид. наук. М., 1970.
4. Янгаева М.О. Методы (техники) социальной инженерии, используемые при совершении преступлений в сфере компьютерной информации // Вестник Дальневосточного юридического института МВД России. 2020. № 4 (53).
ник представляет себя устройством, например, маршрутизатором, что позволяет ему перехватывать весь интернет-трафик пользователя.
Приведенный перечень содержит лишь некоторые примеры методов МГГМ-атаки, используемые киберпреступниками в настоящее время.
По мере того как изощренность МГТМ-атак из года в год растет, обнаружение этих преступных проявлений становится все труднее и пользователю, и правоохранительными органами. Так как киберпреступник способен модернизировать и подменять передаваемую информацию, а также ограничивать доступ пользователям к информационным ресурсам [2, с. 39].
Большинство преступников пытаются действовать анонимно. Но из-за человеческого фактора они все равно оставляют цифровые (материальные) следы: домены, ГР-адреса, SSH-от-печатки, SSL-сертификаты, телефонные номера, скрытые идентификаторы, адреса электронной почты, ^-файлы, МАС-адрес и др [6].
Считаем, что образовательным организациям высшего и среднего профессионального образования необходимо ввести в курс «Криминалистика» информацию о МГТМ-атаках. Для сотрудников правоохранительных органов, раскрывающих и расследующих киберпреступле-ния, рекомендуется своевременно проводить курсы повышения квалификации, обучающие семинары, лекции.
Bibliography
1. Criminal Code of the Russian Federation № 63-FZ of June 13, 1996 // LRS «Consultant-Plus».
2. Arzumanyan E.A., Chumakov A.A. MITM-attack. The threat of information security in the Russian Federation // Znanstvena misel journal. 2019. № 33.
3. Zuikov G.G. Criminalistic teaching about the method of committing a crime: abstract of the dis. ... Doctor of Law. Moscow, 1970
4. Yangaeva M.O. Methods (techniques) of social engineering used in committing crimes in the field of computer information // Bulletin of the Far Eastern Law Institute of the Ministry of Internal Affairs of Russia. 2020. № 4 (53).
5. Check Point обнародовала материалы по расследованию кражи $1 млн, которую успешно совершил хакер с помощью MITM-атаки. URL: https://habr.eom/ru/news/t/479032.
6. Выйти на след хакера в несколько кликов. URL: https://vc.ru/group-ib/90233.
7. Состояние преступности в России за январь-декабрь 2017 года // Официальный сайт МВД России. URL: https://mvd.ru.
8. Состояние преступности в России за январь-декабрь 2018 года // Официальный сайт МВД России. URL: https://mvd.ru.
9. Состояние преступности в России за январь-декабрь 2019 года // Официальный сайт МВД России. URL: https://mvd.ru.
10. Состояние преступности в России за январь-декабрь 2020 года // Официальный сайт МВД России. URL: https://mvd.ru.
5. Check Point has published materials on the investigation of the theft of $1 million, which was successfully committed by a hacker using a MITM attack. URL: https://habr.com/ru/news/t/479032.
6. Get on the hacker's trail in a few clicks. URL: https://vc.ru/group-ib/9023 3.
7. The state of crime in Russia for January-December 2017 // Official Website of the Ministry of Internal Affairs of Russia. URL: https:// mvd.ru.
8. The state of crime in Russia for January-December 2018 // Official Website of the Ministry of Internal Affairs of Russia. URL: https://mvd.ru.
9. The state of crime in Russia for January-December 2019 // Official Website of the Ministry of Internal Affairs of Russia. URL: https://mvd.ru.
10. The state of crime in Russia for January-December 2020 // Official Website of the Ministry of Internal Affairs of Russia. URL: https:// mvd.ru.
