Барнаульский юридический институт МВД России
Кафедра криминалистики
К вопросу о MITM-атаке как способе совершения преступлений в сфере компьютерной информации
Анохин Ю.В., д.ю.н., профессор
Янгаева М.О., к.ю.н., ст. преподаватель
Аннотация
С опорой на статистические данные Министерства внутренних дел Российской Федерации за 2017-2020 гг. в данной статье сфера киберпреступности определена как активно развивающаяся в настоящее время. Авторами рассматривается способ совершения преступлений в сфере компьютерной информации и информационно-коммуникационных технологий - MITM-атака. Иллюстрируются методы MITM-атаки: evil twin, email hijacking, session hijacking, air spoofing.
Ключевые слова: криминалистика, способ совершения преступлений, компьютерная информация, киберпреступник, MITM-атака.
Annotation
To the question of the MITM attack as a modus operandi in the scope of computer information
Anokhin Yu.V., Doctor of Law, Professor; Yangaeva M.O., PhD in Law. Senior Lecturer, Department of Forensic Science, the Barnaul Law Institute of the Ministry of Internal Affairs of Russia
Basing on the statistics of the Ministry of Internal Affairs of the Russian Federation for 2017-2020 the authors define the scope of cybercrime as actively developing at present. The authors examine the modus operandi in the scope of computer information and information and communication technologies - «MITM attack». The article illustrates such MITM attack methods as: evil twin, email hijacking, session hijacking, air spoofing.
Key words: forensics, modus operandi, computer information, cybercriminal, MITM attack.
В современном мире большую роль в жизни людей играют информация и способы ее передачи. Все мы прямо или косвенно связаны с информационно-коммуникационными технологиями.
Проанализировав статистику Министерства внутренних дел Российской Федерации, приходим к выводу, что с каждым годом киберпреступлений становится все больше. В 2017 году было зарегистрировано 90 587 преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации [7], в 2018 г. - 174 674 [8], в 2019 г. - 294 409 преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, направлено в суд - 57 221 [9], а в 2020 г. - 510 396, направлено в суд - 82 977, остальные 87% так и остаются нераскрытыми [10].
В статье рассматривается один из самых старых, но не менее популярный в настоящее время, способ совершения преступлений в сфере компьютерной информации - MITM-атака (Man in the middle) или иначе «Атака посредника».
К сожалению, понятие «MITM-атаки» не рассматривается ни в одном нормативном правовом акте России, однако специалисты в области информационных технологий предлагают свои варианты определения данного термина.
А.Э. Арзуманян и А.А. Чумаков считают, что «MITM-атака - это такой вид воздействия, при котором злоумышленник вклинивается в информационную сеть, связывающую конечного пользователя с некоторым информационным ресурсом» [2, c. 38].
Считаем возможным рассматривать MITM-атаку, как деятельность киберпреступника, направленную на изменение (или ретрансляцию) данных между сторонами, осуществляющими передачу данных либо выдачу себя за одну из сторон. Традиционно в криминалистике под способом совершения преступления понимают «систему действий по подготовке, совершению и сокрытию общественно опасного деяния, детерминированных условиями внешней среды и свойствами личности, которые могут быть связаны с использованием соответствующих орудий, средств, условий места и времени» [3, с. 16-17].
Рис. 1. MITM-атака
Целью MITM-атаки является хищение личной информации (учетные данные для входа в личный кабинет, номера платежных карт), шпионаж, подрыв работы системы и др.
Пострадавшими от такой атаки становятся пользователи финансовых приложений, SaaS-предприятий, коммерческих сайтов и иных веб-сайтов, для входа в которые требуется авторизация.
Сегодня с помощью MITM-атаки можно совершить следующие общественно опасные деяния: неправомерный доступ к компьютерной информации (ст.272 УК РФ); создание, использование и распространение вредоносных компьютерных программ (ст.273 УК РФ); нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст.274 УК РФ); неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст.274.1 УК РФ); нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ст. 38 УК РФ) [1].
Необходимо пояснить, что для преступлений, совершаемых в сфере компьютерной информации способом MITM-атаки, свойственна трехзвенная структура совершения преступления.
Такие преступления тщательно готовятся (собирается информация, подготавливается программное обеспечение, подыскиваются соучастники и т.д.), в момент подготовки также продумываются способы сокрытия преступления [4, с. 94].
MITM-атака имеет большой вариатив методов в зависимости от целей и задач. Рассмотрим наиболее распространенные методы манипулирования системами связи с помощью MITM-атаки.
1. Evil Twin - создание киберпреступником контролируемой копии беспроводной точки доступа пользователя, благодаря чему он может отслеживать, собирать, манипулировать любой информацией, которую отправляет пользователь.
При обычном Wi-Fi-соединении клиентское устройство связывается с точкой доступа (рис. 2).
Рис. 2. Wi-Fi-соединение
Киберпреступник сканирует эфир в поисках информации об атакуемой точке доступа: имени точки доступа SSID, номера канала, MAC-адреса. После получения необходимых данных он создает точку доступа с такими же характеристиками. Далее киберпреступник отключает пользователя от оригинальной точки доступа, вынуждая его подключится к ложной точке доступа. Как только пользователь подключится к фальшивой точке доступа, киберпреступник получит полный контроль над его сеансом Wi-Fi. После этого киберпреступник сможет перехватывать пакеты пользователя, внедрять вредоносное программное обеспечение и т.д.
Киберпреступник также может использовать инструменты для дублирования популярных форм входа на разные сайты или платформы хостинга электронной почты, при этом перехватывать учетные данные в виде обычного текста, пересылать их на реальные вебсайты и самостоятельно авторизовывать пользователя. Пользователь, в свою очередь, будет думать, что вошел в учетную запись своей электронной почты, но на самом деле все данные были перехвачены киберпреступником.
2. Email Hijacking (взлом электронной почты) - метод MITM-атаки, при которой киберпреступник получает доступ к учетной записи электронной почты пользователя. Далее киберпреступник незаметно отслеживает обмен данными пользователя и использует информацию в преступных целях.
Ярким примером описанного выше метода MITM-атаки послужит случай, произошедший в 2019 году, который позволил киберпреступнику похитить 1 млн долл. [5]. Он изменил электронную переписку и, написав в общем итоге 32 электронных письма в обе стороны, смог перенаправить крупный денежный перевод от китайского фонда израильскому стартапу на свои реквизиты.
Владелец израильского стартапа смог договориться с китайским фондом о перечислении на его банковский счет 1 млн долл. в качестве финансирования начального этапа разработки проекта.
Глава китайского фонда совершил перевод на счет израильского стартапа в своем личном кабинете онлайн-банка.
Через некоторое время после совершения платежа представители банка, обслуживающего китайский фонд, уведомили их, что возникла проблема с одной из транзакций. А владелец израильского стартапа так и не получил ожидаемого денежного перевода. После этого обе стороны связались между собой по телефону, а не как ранее через электронную почту, и поняли, что транзакция была совершена, но не по фактическому назначению, а значит, 1 млн долл. был каким-то образом похищен третьей стороной. информационный коммуникационный киберпреступность
Оказалось, что некоторые их электронные письма, отправленные из фонда в стартап, были изменены и не соответствовали тем, которые реально получили в стартапе. А некоторые письма какая-то из сторон вообще не писала, но на них отвечал кто-то еще.
После скрупулезного сбора оригинальных электронных писем между компаниями стало понятно, как киберпреступник смог осуществить эту атаку.
По-видимому, за несколько месяцев до совершения первой большой денежной транзакции преступник смог заметить в электронной почте одной из компаний письма, касающиеся предстоящего многомиллионного контракта, и решил использовать эту информацию в своих целях. Вероятно, что все началось именно с наличия у преступника данных о почтовом сервере или пользователе одной из компаний.
Киберпреступник зарегистрировал два новых домена в сети, первый домен был практически таким же, как домен израильского стартапа, но с дополнительными символами в конце имени домена. Второй домен так же был очень похож на домен китайского фонда.
Затем преступник отправил два электронных письма с теми же заголовками, что и в исходной ранее увиденной им переписке. Первое электронное письмо было отправлено китайской компании с поддельного израильского домена, письмо было якобы от генерального директора израильского стартапа.
Второе электронное письмо было отправлено уже в сторону израильского стартапа с поддельного домена китайского фонда, в письме была указана вся необходимая информация, которую ранее в переписке использовал один из менеджеров китайского фонда, занимающийся этим инвестиционным проектом.
Таким образом, киберпреступником была успешно создана сетевая инфраструктура для начала проведения атаки «Man In The Middle». И через некоторое время вся переписка между компаниями стала проходить через домены преступника. А каждое электронное письмо, отправленное одной из компаний, в действительности доставлялось преступнику, который затем просматривал информацию в этом электронном письме, решал, нужно ли редактировать какой-либо контент, а затем пересылал измененное по его усмотрению электронное письмо по нужному месту назначения.
На протяжении всей этой атаки киберпреступник смог успешно отправить (и не быть раскрытым) восемнадцать электронных писем китайской стороне и четырнадцать электронных писем - израильской стороне. Его беспредельное терпение, скрупулезное внимание к деталям и хорошая осведомленность в ситуации позволили сделать эту атаку успешной.
Однажды, уже во время проведения атаки, глава китайского фонда и владелец израильского стартапа запланировали очную встречу в Шанхае. В последний момент преступник смог отменить это мероприятие. Он отправил электронные письма в каждую из компаний об отмене встречи, предоставив разные правдоподобные причины каждому из руководителей компаний, из-за которых они действительно не смогли встретиться друг с другом. Ведь именно во время такой встречи возможно фактическое совершение транзакции на банковский счет израильского стартапа, для преступника это означало, что его преступный замысел не осуществится.
На данный момент нет информации о том, был ли киберпреступник идентифицирован, пойман или найдены его сообщники, если такие были.
3. Session Hijacking - захват сеанса, также известный как взлом cookie-файлов, еще один метод MITM-атаки, который дает полный доступ к учетной записи пользователя. Когда он входит в свою учетную запись, например, учетную запись в «Сбербанк Онлайн», приложение возвращает cookie-сеанс (фрагмент данных), который идентифицирует пользователя на сервере и дает ему доступ к его учетной записи. Пока пользователь использует токен сеанса, сервер разрешает пользоваться приложением. Как только пользователь покидает приложение или после определенного периода бездействия со стороны пользователя, сервер аннулирует сеанс, и данные уничтожаются из выделенного пространства памяти. Ранее каждый запрос выполнялся независимо без каких-либо сведений о ранее выполненных запросах. То есть пользователю приходилось повторно вводить логин и пароль для каждой просматриваемой страницы. Разработчики создали способ отслеживания состояния между несколькими подключениями одного и того же пользователя, чтобы не запрашивать повторную аутентификацию между каждым переходом в веб-приложении (рис. 3).
Идентификатор сеанса является ключевой частью работы сеанса. Данная строка случайная, буквенно-цифровая, она пересылается между пользователем и сервером. Если киберпреступник получает идентификатор сеанса, он может самостоятельно войти в учетную запись на веб-сайте вместо пользователя.
Рис. 3. Работа сеанса
После того как преступник захватил сеанс, он обладает всеми правами реального пользователя. Например, покупка товаров онлайн, доступ к личной информации, хищение конфиденциальных данных компании, в которой работает пользователь или хищение денежных средств со счета и т.д. Также преступник может запустить атаку социальной инженерии - «вымогатель», которая зашифрует все ценные данные пользователя.