Цифровые следы в даркнете: как хакеры невольно помогают следствию

Тысячи пользователей даркнета, связанных с распространением CSAM-материалов, могут быть разоблачены благодаря информации, похищенной киберпреступниками. Компания Recorded Future опубликовала исследование, в котором проанализировала данные инфостилеров для выявления и идентификации потребителей CSAM-материалов.

Пользователи сайтов, чьи подключения анонимизируются за счет многократных пересылок через зашифрованную сеть Tor, могут быть разоблачены благодаря данным из логов инфостилеров. Логи содержат учетные записи с реальными именами на открытых платформах (например, Facebook*), что предоставляет правоохранительным органам возможность расследовать действия преступников и защищать детей

Собранные данные также включают имена пользователей, IP-адреса и системную информацию, что помогает правоохранительным органам понять инфраструктуру сайтов CSAM и выявить методы, используемые для маскировки личности.

Зарегистрированные логи, проиндексированные в период с 27 августа 2023 года по 27 февраля 2024 года

Было обнаружено 3 324 уникальных пользователей, имеющих учетные записи на известных сайтах-источниках CSAM. Примечательно, что 4,2% из них имели учетные данные для доступа к нескольким таким ресурсам, что свидетельствует о высокой вероятности их участия в преступной деятельности. Все данные переданы в правоохранительные органы для дальнейших действий.

В трех примерах из доклада исследователи смогли идентифицировать двух реальных лиц, которые, вероятно, совершали или могли бы совершить преступления против детей. В одном случае человек уже был осужден за эксплуатацию детей. В другом случае данные автозаполнения браузера позволили идентифицировать полное имя, физический адрес и несколько телефонных номеров пользователя, что привело к обнаружению некролога, упоминающего его активное волонтерство в детских больницах.

Артефакты из журналов инфостилера, связанных с определенным пользователем

Исследование Recorded Future показывает, что логи инфостилеров могут быть эффективным инструментом для выявления потребителей CSAM и изучения тенденций в сообществах CSAM. С ростом спроса на логи инфостилеров и экосистемы «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS), специалисты ожидают, что наборы данных инфостилеров будут продолжать предоставлять актуальную информацию о потребителях CSAM.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.