Основатель и генеральный директор Groom Lake ФДР, известный в криптовалютных кругах как «ФДР», был назван «самым страшным человеком в цепочке», а для опытных хакеров и групп киберпреступников, преследующих громкие протоколы и VIP-персон, это, вероятно, не слишком далеко от истины.
По сути, компания Рузвельта выступает в качестве «силы Дельта» криптобезопасности: если вы попытаетесь взломать и ваша цель призовет их на помощь, знайте, что они будут безжалостно преследовать вас. Быстро и решительно. С командой высококвалифицированных бывших американских военных и разведчиков, специализирующихся на наступательной безопасности, методах судебно-медицинской экспертизы и возможностях ведения психологической войны, которые могут быть развернуты по всему миру в течение 24 часов, одной незначительной ошибки может быть достаточно.
Рузвельт превосходно умеет с самого начала подвергать хакеров, независимо от того, работают ли они в одиночку или пользуются поддержкой нации, немедленный стресс. Используя высочайшие знания в области кибербезопасности и непреклонное упорство, вполне вероятно, что группа суровых агентов правоохранительных органов силой ворвется в ваше помещение, одолеет вас и конфискует ваши незаконные доходы еще до того, как у вас появится возможность их забрать.
В чем его секрет? Мы поговорили с ним напрямую и выяснили причину, по которой, как хакеру, вы бы предпочли избегать того, чтобы он преследовал вас по пятам…
1: Groom Lake описывает себя как «частную военную корпорацию» для Web3, что предполагает, что ваша компания работает по принципу, сравнимому с военным. Но зачем компаниям/протоколам/инвесторам Web3 нужна безопасность военного уровня?
В Грум-Лейк они выполняют как наступательные, так и оборонительные функции, принимая меры по прекращению или противодействию таким угрозам, как кибератаки и взломы, часто решительным образом. Как правило, эти атаки исходят изнутри организации (инсайдерские угрозы) или от спонсируемых государством субъектов. Группа «Лазарь» — один из примеров последней категории, представляющей значительную угрозу.
В ходе нашей недавней операции, получившей название «Операция «Уральский спектр», мы выявили сложную группу киберугроз (APT), известную как «Лазарь», действующую на Дальнем Востоке России. Используя цифровую криминалистику и разведку из открытых источников, мы смогли раскрыть их методы и начать эффективную контратаку. Эта группа воспользовалась уязвимостями в конфигурациях VPN и использовала кошельки, находящиеся под экономическими санкциями США (OFAC), для отмывания активов. Это открытие подчеркивает основную мотивацию северокорейских государственных субъектов, осуществляющих взлом криптовалюты, несмотря на ужесточение санкций и их ограниченный доступ к глобальной финансовой системе.
Исторически сложилось так, что эти атаки — не разовые инциденты, а скорее часть нарастающей схемы, когда организации государственного уровня нацелены на протоколы, биржи и богатых людей. По мере роста рынка финансовая мотивация этих групп усиливается, что делает их цели более ценными. Интересно, что в данных, по-видимому, существует сильная связь между крайне нестабильными, шумными рынками и количеством активов, которые становятся жертвами угроз со стороны национальных государств.
Как аналитик, я заявляю, что работа в Грум Лейк предполагает стремление соответствовать или превосходить стандарты безопасности военного уровня. Это связано с тем, что такая ситуация требует наличия передовых разведывательных способностей, быстрого реагирования и стратегии превентивной защиты – тактики, которую мы отточили во время нашей работы в АНБ или киберкомандовании армии. Эти навыки сыграли важную роль в уничтожении таких существ, как Лазарь.
2. Насколько вероятно, что один из ваших среднестатистических клиентов столкнется с какой-либо критической угрозой безопасности?
Это вполне вероятно по следующей причине: акцент в безопасности в Web3 традиционно делался исключительно на рисках смарт-контрактов. Решениями были статичные, одноразовые продукты, такие как аудит. Это часто заставляет людей терять надежду, когда эти проверки не выявляют критических уязвимостей, рассматривая дальнейшее восстановление и расследование как задачу для медлительных бюрократов в правоохранительных органах.
Как криптоинвестор, я пришел к выводу, что наши цифровые активы не застрахованы от различных угроз. Эти риски охватывают несколько фронтов, таких как попытки фишинга, подмена SIM-карт, инсайдерские опасности и даже использование обычных смарт-контрактов. Чтобы обеспечить безопасность моих инвестиций, крайне важно, чтобы протоколы применяли комплексный подход. Это означает интеграцию как традиционных мер безопасности, так и надежных методов обеспечения безопасности смарт-контрактов — области, в которой Groom Lake добилась значительных успехов с помощью инновационных продуктов, таких как Drosera.
3. В вашей презентации неоднократно подчеркивается необходимость наличия плана действий и быстрой скорости реагирования на инциденты, связанные с безопасностью, и утверждается, что вы можете иметь оперативника на месте в любой точке мира за 48 часов или меньше. Почему это так важно и какое влияние такое быстрое реагирование оказывает на успех ваших расследований по сравнению с их проведением через несколько дней?
В нашем обычном распорядке мы работаем в течение 24 часов, но когда дело доходит до реагирования на инциденты, 48 часов могут показаться вечностью. В этом контексте время имеет решающее значение, поскольку чем дольше жертва ждет принятия мер, тем выше риск необратимых финансовых потерь или сопутствующего ущерба. Этот принцип сродни телешоу «Первые 48 часов», где детективы и сотрудники правоохранительных органов неустанно работают над раскрытием убийств в течение первых часов. Свежесть места преступления, повышенная вероятность ошибок со стороны преступника, а также психологические факторы, такие как шок, трепет и молчаливое давление преследования, — все это важные элементы для победы в этой игре.
В Лондоне во время операции «Скрытая кузница» мы продемонстрировали наши возможности в сотрудничестве с британскими официальными лицами. Наша команда возглавила расследование, чтобы отслеживать средства, идентифицировать виновника и контролировать его деятельность до прибытия правоохранительных органов. Если бы не быстрые действия, предпринятые клиентом или Грумом Лейком, исход мог бы быть другим, и трудно сказать, куда бы скрылся подозреваемый.
4: В вашем примере Operation Wavefront говорится, что вы использовали OSINT, чтобы выследить разработчика, который только что выпустил миллионы новых токенов и продал их на биржах. На какой OSINT вы полагались? Какие шаги были предприняты для идентификации этого человека, сколько человек было вовлечено в этот процесс и сколько времени это заняло?
В Groom Lake они не делятся открыто своими методами (тактиками, приемами и процедурами), но в данном конкретном случае мы использовали информацию из открытых источников (OSINT) вместе с методами расследования блокчейна, чтобы выследить разработчика. Инцидент, связанный с утечкой API GitHub, выявил адрес электронной почты подозреваемого, который затем был связан с его кошельком Ethereum. Этот след привел нас к публичным бизнес-обзорам, которые выявили личность преступника, которую мы перепроверили с помощью LinkedIn и других социальных сетей. Анализируя внутрисетевые транзакции, мы отслеживали украденные токены по мере их перемещения по биржам и цифровым кошелькам, создавая комплексный профиль. Наша команда быстро пришла к важным выводам после начала операции, и действия последовали незамедлительно.
Как правило, решение этих задач на стратегическом этапе осуществляется сотрудниками нашего разведывательного подразделения на этапе 1. Когда мы готовимся к выполнению операции, мы отправляем основного агента в соответствующий регион. По прибытии этот агент поддерживает связь со вторичными активами, базирующимися в Грум-Лейк, которые уже присутствуют в принимающей стране.
5: Помимо поимки виновника, предлагали ли вы проекту в вышеупомянутом случае какую-либо помощь с точки зрения смягчения последствий произошедшего (наводнение бирж токенами, что привело к падению цены)? Если да, то что вы сделали?
В аналогичных ситуациях Groom Lake часто сотрудничает с биржами, чтобы остановить транзакции, получить средства и остановить дополнительные продажи токенов. Они также могут оценивать влияние на ликвидность и направлять проекты при разработке планов восстановления для стабилизации цен на токены. По сути, они служат группой быстрого реагирования или подразделением «шока и трепета», а не функционируют в основном как юристы или переговорщики.
6: Ваши тематические исследования посвящены тому, как вы содействовали протоколам, но вы также предлагаете услуги VIP-персонам и китам. Насколько различна природа угроз, с которыми сталкиваются VIP-персоны и киты, и как их защитить от этих угроз?
Как исследователя, занимающегося вопросами безопасности, меня особенно беспокоит обширный ландшафт рисков для VIP-персон и китов. Основные опасности, с которыми они сталкиваются, коренятся в традиционных областях безопасности, таких как целевой фишинг, замена SIM-карт и атаки социальной инженерии. К счастью, наш опыт в Groom Lake хорошо подходит для решения этих проблем, но мы пошли еще дальше, создав такие уникальные инструменты, как REAPER — настраиваемый канал анализа угроз в режиме реального времени для наших клиентов. Эта инновационная технология позволяет нам сохранять бдительность и активно защищать наших клиентов от неизбежных рисков.
7: Помогали ли вы каким-либо китам/VIP-персонам, которых раньше взломали? Если да, можете ли вы рассказать нам об этом?
Действительно, хотя подробности держатся в секрете, известно, что Groom Lake эффективно вернул ценные активы для выдающихся клиентов, используя быстрое отслеживание активов, партнерство с биржами и используя обширные глобальные разведывательные ресурсы. Однако обмен подробностями отдельных случаев зависит от согласия каждого клиента.
Я могу вам ясно дать понять, что наша работа вращается вокруг информации. В различных ситуациях мы разными способами помогали как китам (крупным инвесторам), так и VIP-персонам. Иногда это предполагает начало расследования, обобщение результатов в отчете и передачу его властям. Это заставляет их отслеживать биржи, на которые переводятся средства. В исключительных случаях мы координируем работу с правоохранительными органами для проведения совместных операций, в результате которых были задержаны.
Эти операции требуют уникальных стратегий, включающих в себя такие тактики, как психологическая война и сбор неофициальной разведывательной информации, чтобы собрать все доступные данные о предмете. Мы также помогали высокопоставленным лицам, которые подверглись нападкам или угрозам со стороны конкурентов, раскрывая конфиденциальную информацию о целях и помогая клиентам эффективно реагировать на эти недавно приобретенные знания.
В большинстве случаев такие ситуации заставляют нас продолжать предоставлять профилактические услуги, что значительно снижает вероятность рецидива.
8. Каковы наиболее эффективные методы обеспечения безопасности, которые следует использовать каждому протоколу и киту, и какие, если таковые имеются, на самом деле не так уж и полезны?
Крайне важно с самого начала включать меры безопасности по мере продвижения проектов разработки. Такие платформы, как Twitter, Discord, GitHub, Google Workspace и другие, которые несут высокий уровень риска, часто упускаются из виду командами, поскольку они отдают приоритет разработке, а не безопасности существующих систем. Основные меры безопасности включают настройку многофакторной аутентификации (MFA) с использованием приложений для проверки подлинности, а не MFA на основе SMS из-за риска замены SIM-карты, тщательную проверку ссылок перед нажатием на них, выполнение регулярных проверок доступа и соблюдение принципа наименьших привилегий. (POLP), чтобы свести к минимуму появление «теневых ИТ» — пользователей, злоупотребляющих чрезмерными разрешениями.
Для китов ландшафт угроз существенно различается. В отличие от типичных предприятий, их основной уязвимостью не являются сложные системы; скорее, это они сами. Известные личности часто становятся жертвами вишинга (голосового фишинга) и обычных схем фишинга. Чтобы свести к минимуму эти угрозы, всегда подтверждайте личность любого, кто обращается к вам, поскольку номера телефонов могут быть подделаны. Если вы не уверены, отключитесь и перезвоните им напрямую, поскольку инициирование вызова сложнее подделать, если номер не был заменен SIM-картой. Повышение безопасности с помощью вашего мобильного оператора может еще больше снизить риски замены SIM-карты. Кроме того, для китов разумно защищать свои цифровые владения, используя MFA (многофакторную аутентификацию) через приложения для аутентификации вместо методов проверки по SMS.
Как аналитик, я не могу переоценить важность соблюдения основ, и если потребуется дополнительное усиление, Грум Лейк готов предоставить помощь как в упреждающих мерах, так и в сценариях чрезвычайного реагирования.
9: Есть ли какой-нибудь сценарий, в котором Грум Лейк может с трудом расследовать/поймать плохих парней? Если да, то что вы пытаетесь сделать, чтобы устранить этот недостаток?
В тех случаях, когда первоначальная атака уже давно прошла, восстановление становится более сложным из-за таких факторов, как потраченные средства, хорошо скрытые следы злоумышленника или высокоанонимные атаки, особенно те, которые подозреваются в поддержке государства. Однако Грум Лейк тесно сотрудничает с правоохранительными органами и такими организациями, как Интерпол, и использует уникальные инструменты, помогающие преодолеть эти препятствия.
В Грум-Лейк мы применяем аналитические стандарты и методы, аналогичные тем, которые используются в разведывательном сообществе США, в частности ссылаясь на МКБ 203. Эта структура была создана в ответ на ошибки разведки, связанные с оценками ОМУ во время войны в Ираке 2003 года, обеспечивая наши оценки и Отчеты в режиме реального времени (отчеты с места) достигают максимального уровня достоверности.
Как член нашей специализированной исследовательской группы, я с гордостью могу сказать, что нам повезло иметь в нашей команде людей, прошедших обучение в Агентстве национальной безопасности. Этот уникальный опыт дает им исключительную методологию, которую они усердно применяют в своей работе. Результатом является уровень точности и подотчетности, который отличает нас от других, превосходя то, что обычно встречается во многих гражданских организациях.
Следуя строгим спецификациям военного уровня, мы предоставляем решения безопасности, предназначенные для решения сложных и сложных задач, с которыми сталкиваются среды Web3.
Колода: https://bit.ly/groomlakeintro
Смотрите также
- Распутываем умопомрачительный поворот в финале второго сезона «Бункера»!
- Прогноз курса: доллар к бату
- Республиканцы, опасающиеся Трампа, дают Хегсету главный пропуск
- Пять песен 1970-х, которые не могут быть настолько хороши, насколько они есть
- Дата листинга Zoo Airdrop: Какова будет цена токена ZOO при запуске?
- Новый российский регион предлагает убежище калифорнийцам
- Райан, младший ребенок певца O’Jays Эдди Леверта, умер в возрасте 22 лет, спустя годы после смерти братьев.
- Цены на сиба-ину готовы к масштабному 10-кратному росту в первом квартале
- Японский доброволец объясняет, почему он воюет на стороне России против Украины
- Binance сотрудничает с Paymonade, оптимизируя прямые продажи криптовалют
2025-01-17 14:56