Основатель и генеральный директор Groom Lake ФДР, известный в криптовалютных кругах как «ФДР», был назван «самым страшным человеком в цепочке», а для опытных хакеров и групп киберпреступников, преследующих громкие протоколы и VIP-персон, это, вероятно, не слишком далеко от истины.
По сути, фирма Рузвельта действует во многом как элитное подразделение, такое как Delta Force, в сфере безопасности криптовалют. Если вы попытаетесь взломать и ваша цель обратится за помощью к Рузвельту, будьте готовы к быстрому возмездию. Эта компания может похвастаться высококвалифицированными бывшими американскими военными и агентами разведки, которые специализируются на наступательной безопасности, судебно-медицинских расследованиях и методах, которые можно применить в любой точке земного шара примерно в течение 24 часов. Единственная ошибка могла вызвать их реакцию.
Рузвельт превосходно умеет создавать немедленные проблемы для хакеров, независимо от того, работают ли они в одиночку или при поддержке правительства. Используя первоклассную военную стратегию и неустанную настойчивость, вполне вероятно, что грозная команда правоохранительных органов штурмует ваши помещения, задерживает вас и конфискует ваши незаконные активы еще до того, как у вас появится возможность снять их со своих счетов.
Как именно ему удается этот подвиг? Мы поговорили с этим человеком напрямую и выяснили причины, по которым любой хакер предпочел бы не нападать на него по пятам…
1: Groom Lake описывает себя как «частную военную корпорацию» для Web3, что предполагает, что ваша компания работает по принципу, сравнимому с военным. Но зачем компаниям/протоколам/инвесторам Web3 нужна безопасность военного уровня?
Как исследователь, я считаю, что Groom Lake служит двойной цели: он одновременно упреждает и реагирует на киберугрозы и взломы. С моей точки зрения, потенциальных виновников этих инцидентов можно разделить на две основные группы – инсайдерские угрозы и субъекты государственного уровня. Например, группа «Лазарь» представляет последнюю категорию и представляет собой серьезную угрозу, за которой нам необходимо внимательно следить.
В ходе нашей недавней операции под кодовым названием «Операция «Уральский спектр»» мы обнаружили сложную киберугрозу (APT), организованную группой «Лазарь», базирующейся на Дальнем Востоке России. Мы использовали цифровую криминалистику и разведку с открытым исходным кодом (OSINT), чтобы раскрыть их стратегии, что позволило нам провести эффективную контратаку.
Злоумышленники воспользовались ошибками конфигурации VPN и отмыли активы через кошельки, попавшие под санкции OFAC. Это демонстрирует основную мотивацию северокорейских государственных субъектов, которые настойчиво совершают крипто-ограбления, несмотря на ужесточение санкций и ограничений на доступ к глобальной банковской системе.
Исторически очевидно, что эти атаки не являются отдельными инцидентами, а, скорее, частью растущей схемы, когда организации государственного уровня нацелены на протоколы, биржи и богатых людей. По мере того как рынок переживает подъем, финансовая мотивация этих групп усиливается, что делает их цели более ценными. Интересно, что в данных, по-видимому, существует тесная взаимосвязь между крайне нестабильными, шумными рынками и ресурсами, эксплуатируемыми угрозами со стороны национальных государств.
Когда Грум Лейк обеспечивает военную защиту высокого уровня, это означает, что для эффективной борьбы с такими угрозами вам необходимо соответствовать или превосходить эти возможности с точки зрения технологий, скорости и стратегических оборонительных маневров. Наш опыт работы в АНБ и киберкомандовании армии показал нам, как противодействовать организациям, подобным Лазарю, используя сложную разведку, быстрые действия и стратегии превентивной защиты.
2. Насколько вероятно, что один из ваших среднестатистических клиентов столкнется с какой-либо критической угрозой безопасности?
Как исследователь, занимающийся безопасностью Web3, я считаю все более вероятным, что мы в первую очередь занимаемся устранением рисков смарт-контрактов, а нашими решениями являются статические аудиты — однократный подход на определенный момент времени. Эта стратегия, к сожалению, часто приводит к тому, что люди теряют надежду, когда в ходе проверок не обнаруживаются критические уязвимости, рассматривая дальнейшее восстановление и расследование как задачу бюрократов в правоохранительных органах, которые, как правило, медлительны.
По сути, клиенты сталкиваются с опасностями с различных точек зрения, такими как фишинг, замена SIM-карт, инсайдерские угрозы и типичные уязвимости смарт-контрактов. Поэтому крайне важно, чтобы протоколы учитывали оба конца спектра — традиционные методологии безопасности и безопасность смарт-контрактов. Компания Groom Lake стала пионером в этом подходе, предложив такие инновации, как Drosera.
3. В вашей презентации неоднократно подчеркивается необходимость наличия плана действий и быстрой скорости реагирования на инциденты, связанные с безопасностью, и утверждается, что вы можете иметь оперативника на месте в любой точке мира за 48 часов или меньше. Почему это так важно и какое влияние такое быстрое реагирование оказывает на успех ваших расследований по сравнению с их проведением через несколько дней?
Как криптоинвестор, я понимаю необходимость быстрых действий при реагировании на инциденты. Обычно мы работаем в течение 24 часов, но 48 часов могут показаться вечностью. Чем дольше человек ждет принятия мер, тем выше риск безвозвратной потери средств или сопутствующего ущерба. Это очень похоже на телешоу «Первые 48», где детективы и специалисты правоохранительных органов спешат достичь решающих целей в течение первых 48 часов после убийства. Новизна инцидента, повышенная вероятность ошибок со стороны преступника и неослабевающее психологическое давление преследования — все это жизненно важные элементы для победы в этой игре. В нашем мире криптовалют эти принципы также справедливы: скорость, точность и устойчивость являются ключом к успеху.
В Лондоне во время операции «Скрытая кузница» мы продемонстрировали свои возможности вместе с британскими властями. Наша команда возглавила расследование, чтобы отследить средства, установить виновного и следить за его деятельностью до вмешательства правоохранительных органов. Если бы клиент или Грум Лейк не предприняли быстрых действий, неизвестно, что могло бы произойти или куда мог сбежать преступник.
4: В вашем примере Operation Wavefront говорится, что вы использовали OSINT, чтобы выследить разработчика, который только что выпустил миллионы новых токенов и продал их на биржах. На какой OSINT вы полагались? Какие шаги были предприняты для идентификации этого человека, сколько человек было вовлечено в этот процесс и сколько времени это заняло?
В Groom Lake они не делятся открыто своими методами (тактиками, приемами и процедурами), но для нашего расследования мы объединили сбор данных с открытым исходным кодом (OSINT) с анализом блокчейна, чтобы точно определить разработчика. Утечка API GitHub выявила электронную почту преступника, которая была отслежена до кошелька Ethereum главного подозреваемого. Это электронное письмо совпало с онлайн-обзорами компаний, раскрывающими личность преступника, и этот факт мы подтвердили с помощью LinkedIn и других социальных сетей. Изучая блокчейн, мы отследили поток украденных токенов через биржи и цифровые кошельки, создав комплексный профиль. Наша команда быстро сделала важные выводы в течение нескольких часов после начала операции и незамедлительно приступила к ее осуществлению.
Обычно эти задачи выполняются на стратегическом уровне персоналом нашего разведывательного подразделения на этапе 1. Когда мы готовимся к вмешательству, мы отправляем главного оперативника в определенное место. Затем этот оперативник подключается к вторичным ресурсам, размещенным в Грум-Лейк на территории принимающей страны.
5: Помимо поимки виновника, предлагали ли вы проекту в вышеупомянутом случае какую-либо помощь с точки зрения смягчения последствий произошедшего (наводнение бирж токенами, что привело к падению цены)? Если да, то что вы сделали?
В аналогичных ситуациях Groom Lake часто сотрудничает с платформами, чтобы остановить транзакции, вернуть средства и запретить дополнительные продажи токенов. Они также могут оценивать эффекты ликвидности и предлагать планы восстановления проектов для стабилизации цен на токены. По сути, их роль заключается скорее в том, чтобы действовать быстро и решительно, выступая в роли сдерживающего фактора или первого реагирования, а не в первую очередь в роли юристов или переговорщиков.
6: Ваши тематические исследования посвящены тому, как вы содействовали протоколам, но вы также предлагаете услуги VIP-персонам и китам. Насколько различна природа угроз, с которыми сталкиваются VIP-персоны и киты, и как их защитить от этих угроз?
В Groom Lake мы устраняем широкий спектр потенциальных опасностей для VIP-персон и китов, уделяя особое внимание традиционным проблемам безопасности, таким как фишинг, замена SIM-карт и атаки социальной инженерии. Наш опыт в Groom Lake особенно полезен в этом отношении, но мы также создали уникальные инструменты, такие как REAPER — настраиваемый канал анализа угроз в режиме реального времени — для прогнозирования этих рисков и эффективной защиты наших клиентов.
7: Помогали ли вы каким-либо китам/VIP-персонам, которых раньше взломали? Если да, можете ли вы рассказать нам об этом?
Действительно, я был причастен к операциям в Грум Лейк, и ясно, что они преуспевают в возвращении активов уважаемых клиентов. Их стратегии включают быстрое обнаружение средств, стратегическое партнерство с биржами и использование всемирных разведывательных сетей. Однако в соответствии с соглашениями о конфиденциальности с клиентами информация о конкретных случаях может быть раскрыта только при наличии явного согласия участвующих сторон.
Я могу поделиться с вами тем, что наша работа вращается вокруг информации. Мы помогали китам и VIP-персонам разными способами. Иногда это приводит к более простому решению: мы проводим расследование, обобщаем результаты в отчет для властей и выявляем биржи, на которые переводятся средства. В некоторых исключительных случаях мы координируем усилия с правоохранительными органами, что приводит к совместным операциям, которые в конечном итоге приводят к арестам.
Эти операции требуют применения разнообразной тактики: от психологических стратегий до сбора разведывательных данных за пределами платформы для раскрытия как можно большего количества информации о предмете. Мы также помогали высокопоставленным лицам, которые подверглись преследованиям и угрозам со стороны конкурентов, раскрывая конфиденциальные подробности о целях и помогая клиентам эффективно реагировать на недавно полученные данные.
В большинстве случаев эта ситуация заставляет нас продолжать принимать профилактические меры, чтобы значительно снизить вероятность рецидива.
8. Каковы наиболее эффективные методы обеспечения безопасности, которые следует использовать каждому протоколу и киту, и какие, если таковые имеются, на самом деле не так уж и полезны?
Крайне важно интегрировать безопасность на протяжении всего процесса разработки, а не рассматривать ее как второстепенную мысль. Некоторые критически важные, потенциально опасные платформы, такие как Twitter, Discord, GitHub, Google Workspace и другие, часто упускаются из виду, поскольку команды концентрируются на прогрессе, а не на защите существующих систем. Важные действия включают настройку многофакторной аутентификации (MFA) с помощью приложений-аутентификаторов (а не SMS MFA из-за угрозы замены SIM-карты), тщательную проверку ссылок перед нажатием, выполнение регулярных проверок доступа и соблюдение принципа наименьших привилегий (POLP). ) для предотвращения «неофициальных ИТ» — пользователей, злоупотребляющих чрезмерными разрешениями.
Для китов или состоятельных людей условия безопасности значительно различаются по сравнению с обычными пользователями. Поскольку они не полагаются на корпоративные системы, основными уязвимыми точками этих людей являются они сами. Они часто становятся объектами вишинга (голосового фишинга) и традиционного фишинга. Чтобы уменьшить эти риски, крайне важно подтвердить личность любого, кто к вам обращается, поскольку номерами телефонов можно манипулировать. Если есть какая-либо неопределенность, отключите вызов и свяжитесь с человеком напрямую, используя новый вызов, а не отвечая на входящий, поскольку исходящие вызовы труднее подделать, если не произошла замена SIM-карты. Усиление мер безопасности вашего мобильного оператора может помочь снизить риск замены SIM-карты. Более того, «китам» желательно защищать свои цифровые активы, используя MFA (многофакторную аутентификацию) через приложения для аутентификации, а не методы на основе SMS.
Основные фонды имеют решающее значение, и если потребуется дополнительная помощь, Грум Лейк готова предложить помощь как в упреждающих мерах, так и в кризисном регулировании.
9: Есть ли какой-нибудь сценарий, в котором Грум Лейк может с трудом расследовать/поймать плохих парней? Если да, то что вы пытаетесь сделать, чтобы устранить этот недостаток?
Старые преступления, особенно те, начальная фаза которых уже давно прошла, зачастую труднее раскрыть, что снижает шансы на выздоровление. Деньги могли быть потрачены или направлены не по назначению, преступники могли фактически стереть свои следы, а нападения могли быть анонимными или даже спонсироваться государством. Тем не менее, Грум Лейк тесно сотрудничает с правоохранительными органами и международными организациями, такими как Интерпол, и использует специализированные инструменты, чтобы помочь преодолеть эти препятствия.
В Грум-Лейк мы придерживаемся тех же строгих аналитических методов и практик, что и разведывательное сообщество США, уделяя особое внимание протоколам МКБ 203. Эта методология была разработана после упущений разведки в отношении оценок ОМУ во время войны в Ираке 2003 года. Таким образом, наши оценки и краткие отчеты (называемые «спецпредложениями») соответствуют самому строгому уровню доверия.
В нашей команде собраны люди, прошедшие обучение в Агентстве национальной безопасности, которые строго придерживаются очень тщательного подхода к своим задачам. Эта преданность своему делу приводит к исключительной степени точности и ответственности, превосходящей стандарты, обычно встречающиеся в невоенных организациях.
Следуя строгим стандартам, подобным тем, которые используются в армии, мы предоставляем решения безопасности, специально разработанные для борьбы со сложными и разнообразными рисками, с которыми сталкиваются среды Web3.
Колода: https://bit.ly/groomlakeintro
Смотрите также
- Распутываем умопомрачительный поворот в финале второго сезона «Бункера»!
- Прогноз курса: доллар к бату
- Республиканцы, опасающиеся Трампа, дают Хегсету главный пропуск
- Пять песен 1970-х, которые не могут быть настолько хороши, насколько они есть
- Дата листинга Zoo Airdrop: Какова будет цена токена ZOO при запуске?
- Новый российский регион предлагает убежище калифорнийцам
- Райан, младший ребенок певца O’Jays Эдди Леверта, умер в возрасте 22 лет, спустя годы после смерти братьев.
- Японский доброволец объясняет, почему он воюет на стороне России против Украины
- Binance сотрудничает с Paymonade, оптимизируя прямые продажи криптовалют
- Почетный караул покинул пост, чтобы помочь раненому ветерану у мемориала Второй мировой войны (ВИДЕО)
2025-01-17 14:43