Закрыть
Компьютерная криминалистика

Компьютерная криминалистика

На днях нам удалось взять интервью у Артёма Артёмова, ведущего специалиста по компьютерной криминалистике компании Group-IB. Кто борется с хакерами, как задерживают киберпреступников и почему русский детективный стартап Group-IB превзошёл западных конкурентов в разработке технологий для предотвращения и расследования киберпреступлений…

Артём уже семь лет работает в Лаборатории компьютерной криминалистики и исследования вредоносного кода компании, Group-IB.

— Артём, если конкретнее, что входит в твои обязанности?

— Наша основная задача — исследование цифровых носителей. Ноутбуки, смартфоны, диски, флешки… все что угодно. Даже умный холодильник, подключенный к интернету, тоже оставляет цифровые следы. Вот вы можете не знать, как следят потихоньку за тем, что вы едите (смеётся). Проще говоря, наша задача — найти улики, следы преступников в цифровом мире. Если раньше криминалистика занималась расследованием преступлений в материальном мире, офлайне: эксперты снимали отпечатки пальцев, анализировали следы пепла или пороха, образцы тканей и т. д., то в век развития информационных технологий появилось новое направление. Теперь мы ищем цифровые «отпечатки» в киберпространстве.

— Давай по порядку. Кто ты по образованию?

— Инженер-математик. Закончил МИРЭА по специальности «Прикладная математика».

— Как тебя занесло в информационную безопасность?

— На старших курсах института нас начали вербовать по различным спецточкам, но мне совершенно случайно подвернулась другая возможность. Знакомый знакомого работал на Петровке, 38 (ГУ МВД по г. Москве) в отделе криминалистики. Он говорит: «У нас есть отдел, который занимается компьютерной криминалистикой. Зайди, пообщайся». Я зашел, посмотрел… Сидят молодые ребята, работают за компьютерами, на стенах расклеены разные мемы, типа: «Превед медвед» — он тогда ещё был актуален. Мне понравилась атмосфера, и я подумал: «почему бы здесь не поработать?» Это был 2007 год.

— На что это тогда было похоже, что вы делали?

— Основная задача, которую мы получали, была: «Найдите нам такие-то документы». Часто расследование было связано с какой-нибудь чёрной бухгалтерией. То есть мы должны были среди всего объема информации на цифровых носителях найти конкретный документ, с ключевыми словами, который можно было бы использовать как доказательство совершённого преступления. Иногда требовалось восстановить данные.

— То есть по нынешним меркам что-то примитивное?

— Да, примитивное! На самом деле, мои бывшие коллеги и сейчас этим занимаются. Такие задачи по-прежнему актуальны, и есть люди, исполняющие эту работу.

— Итак, ты работал на Петровке в отделе компьютерной криминалистики, а что потом?

— Дальше я перешёл из органов в Group-IB. Было страшно уходить в частную компанию, которая тогда еще была стартапом. Тут у тебя служба, всё стабильно, много обещаний, государство любит обещать. А там — небольшая компания, молодые сотрудники. Но в Group-IB я увидел совершенно другой уровень криминалистики. Парни из Group-IB работали вообще не как в полиции. Вот мне дали одно дело, я сидел, копался: «Что я тут вообще делаю?». Я практически ничего не понимал: какие-то хакерские группы, хищения через интернет-банкинг… Для меня это было чем-то новым, резким переходом от того, что мы делали в органах на следующий уровень (а мы думали, что занимаемся чем-то крутым). Помимо методик, которые использовали в Group-IB, в компании зарождались технологии слежения за киберкриминальным миром. Это позволяло ускорять расследования, быстро сопоставлять полученные результаты с эпизодами в прошлом…

— Ты тогда не подозревал, что технологии настолько развиты?

— Подозревал, конечно, но не знал, как с этим можно работать. То есть к нам, в полицию, тоже поступали запросы вроде «тут интернет-банкинг, что-то случилось», но мы не представляли, что с этим делать. И уже в Group-IB мне открыли глаза, как можно с этим работать. Это был 2011 год, хакеры тогда были слабее и медленнее, а методы борьбы с ними — примитивнее. С тех пор мы не просто параллельно развиваемся с ними, но и обгоняем с помощью наших технологий. Это высший пилотаж — предотвращать киберпреступления ещё на этапе их подготовки.

— Чем тебе нравится эта работа?

— Это удовольствие, которое ты получаешь после каждой раскрытой загадки. Любое новое дело — задачка, а математики любят задачки (смеётся). И иногда бывает сложно остановиться, не докопавшись до истины. И постоянно присутствует мысль «Вдруг я что-то упустил? Вдруг где-то не доработал?». Какого-то элемента в твоем пазле не хватает, и это сводит тебя с ума.

Что происходит в мире информационной безопасности в России и за рубежом, есть ли разница?

— Прекрасный вопрос! Когда я начал работать в Group-IB, первые год-два, мы ориентировались всегда на зарубежные наработки, тактики, ведь там, например, в Англии, Америке уже были признанные лидеры на мировом рынке информационной безопасности. Для нас были авторитетами специалисты, работающие в зарубежных компаниях. Мы думали, что вот там, у них, всё круто, продвинуто. А потом мы начали сталкиваться с ними в некоторых проектах. Оказалось, что мы не хуже, а в каких-то аспектах даже лучше. Был случай, когда мы приехали в один банк, где произошел инцидент, (это называется Incident Response — мероприятие по реагированию на инцидент информационной безопасности). До нас там уже поработала команда реагирования из зарубежной компании. Они что-то нашли, но очень мало, какие-то крохи. Мы взялись за дело, думая, что нам здесь, вероятно, тоже ловить нечего. Но за первую неделю мы полностью нашли и восстановили всю цепочку следов — как началось заражение, с какими инструментами работали преступники… Заказчик был в шоке. Так мы поняли, что мы не просто можем, мы лучше. И такие ситуации происходят всё чаще. Иногда мы слышим отзывы о себе от тех же иностранных компаний:«А, здесь работали Group-IB. Скорее всего, они всё уже нашли». Здесь возникает чувство, что никаких авторитетов больше нет, что мы можем сами и гораздо лучше.

— В России тогда таких компаний не было вообще?

— Таких как мы больше нет. Были антивирусные компании, «Касперский», «Доктор Веб», например. Они занимались, в основном антивирусами, и компьютерная криминалистика была у них не в приоритете. Полноценные расследования и, тем более, предотвращение киберпреступлений — это то, чего они не касались.

— Почему русский стартап стал профессиональнее, чем солидные игроки зарубежного рынка?

— Мне кажется, что в зарубежных компаниях специалисты привыкли работать по стандартам и шаблонам. То есть у них есть уже какое-то программное обеспечение, с которым они работают, проверенные алгоритмы. И они придерживаются одной стратегии. А у нас такой, более свежий взгляд, мы с самого начала стремились нетривиально решать все проблемы, с которыми сталкивались. Когда у нас спрашивали: «Вы можете это сделать?», мы всегда говорили: «Да, можем». А потом уже разбирались, как. И делали. Мне кажется, мы более гибкие, и отсюда эта разница. Кроме того, Group-IB — компания с уникальной структурой. Такой реально больше нет нигде в мире: у нас есть Лаборатория компьютерной криминалистики, отдел расследований киберпреступлений, киберразведка, CERT (Центр круглосуточного реагирования на инциденты ИБ), разработка, R&D…

— У вас за последнее время появились конкуренты на российском рынке информационной безопасности?

— Один из крупных российских банков создал свою компанию, вкладывает деньги, хантит сотрудников на рынке. Но все понимают, что это детище банка, а мы — независимая компания. Мы постоянно обогащаем наши системы данными, полученными в ходе реальных расследований, именно поэтому мы знаем «врага в лицо» и способны делать конкурентноспособные продукты. В частности, наш Secure Bank — обеспечивает сейчас безопасность 70 млн клиентов Сбербанка.

— А как работает Secure Bank?

— Мы можем проактивно выявлять банковское мошенничество на всех устройствах и платформах клиента в режиме реального времени. Модуль Secure Bank в виде JavaScript загружается вместе с веб-страницами банка или мобильным банковским приложением и позволяет своевременно уведомить банк о заражении какого-либо устройства клиента. Например, смартфона. Secure Bank силён именно в деле поведенческого анализа, позволяющего распознать мошенническую сессию и понять, что некто выдает себя за реального пользователя и пытается провести транзакцию от его имени. Кроме этого алгоритма, мы используем «комплексную биометрию»: анализ клавиатурного почерка пользователя или почерка движения мыши. То есть, когда ты входишь на сайт банка, эта программа «наблюдает» за твоим поведением. И если «видит» какие-то несвойственные пользователю действия, то посылает в систему сигнал, что клиент возможно заражён. Или что кто-то, пользуясь удалённым управлением устройства клиента, пытается зайти на сайт вместо него. Банк может приостановить какие-то платежи или позвонить клиенту и уточнить: «Это вы сейчас, в три часа ночи осуществляете этот перевод в Уганду?».

— Давай теперь конкретнее поговорим о возможностях хакеров. На что это сейчас похоже?

— Тут далеко ходить за примерами не надо. В прошлом году полмира было атаковано вирусами-шифровальщиками: WannaCry, NotPetya, BadRabbit — были огромные потери, настоящая эпидемия. За три дня вирус-шифровальщик WannaCry атаковал 200 тыс. компьютеров в 150 странах мира. Ущерб от WannaCry оценили минимум в $1 млрд. Случилось вот что, через 2 недели после публикации эксплойта на хакерских форумах, Microsoft выпустил патч, устраняющий уязвимость системы. А еще через 2 недели произошла атака, не все поставили обновления. Это показательная атака, её ещё называют уязвимость «тридцатого дня» (в отличии от уязвимости «нулевого дня»). В общем, при наличии денег, киберпреступники сейчас могут купить себе любой хакерский инструментарий, вплоть до разработок спецслужб. Взломать можно что угодно, а возможности хакеров зависят от того, сколько денег они готовы вложить. Большинство организаций, госучреждений, частных компаний сильно отстают по уровню защиты.

— То есть единственная причина, по которой сейчас нет вала хакерских ограблений, это то, что у них недостаточно средств?

— На самом деле компьютерное преступление сейчас наиболее вероятное преступление. Пока происходит всего одно ограбление квартиры, в мире фиксируется 3 000 различных компьютерных атак. Просто не все кражи денег с телефона, списания со счетов или выводы денег попадают в статистику. Например, мы расследовали дело хакерской группы Cron, которая смогла заразить 1 млн смартфонов и похищала деньги небольшими суммами. За последние годы вообще все сильно изменилось. Теперь группы хакеров более быстрые и технологичные, они не ограничены в перемещениях, могут находиться в любой точке земного шара и атаковать жертву на другом конце планеты. Стало гораздо меньше одиночек, всё больше группами работают, объединяются. Кроме того, хакеры чаще начинают пользоваться легальными инструментами, которые используют аудиторы, пентестеры, системные администраторы — они пытаются маскироваться, чтобы как можно дольше оставаться незамеченными.

— А как они их используют?

— Например, через фишинговую рассылку — фейковое письмо, содержащее вредоносную программу. Вы сотрудник банка, вам что-то пришло на почту, вы по глупости или из интереса открыли, а там загрузчик, программа, которая закрепившись в системе вашей организации, затем позволит залить «полезную нагрузку», сам троян, и тот начнет выполнять команды своего автора. В один прекрасный момент, это может привести к тому, что в одном городе или в нескольких банкоматы вдруг «выплюнут» определенные суммы денег. Их заберут специальные люди, дропы или мулы. Примитивно взлом банка выглядит примерно так.

— А это может быть файл любого формата или только .exe?

— Нет, сейчас, например, у злоумышленников очень популярны файлы типа .docх. Он выглядит абсолютно идентично обычному вордовскому файлу, внешне никак не отличишь, но внутри вшит эксплойт. Особенно если Windows не обновлен, то пользователь даже не заметит, что уже заражён. А дальше, как я и говорил, взломщики уже двигаются внутри сети, пользуются инструментами, чтобы получить права системного администратора. Им достаточно найти один логин-пароль и все, дальше они свободно могут все, что им нужно — воровать деньги, секретные данные и т.д.

— А в чём, собственно, польза регулярного обновления системы?

— В каждом обновлении продуктов Windows, WordPress, Apple есть заплатки уязвимостей. Над безопасностью всегда работает много штатных и внештатных пентестеров (bug-хантеров), которые ищут уязвимости и сообщают о них. Затем компания исправляет ошибки и «выкатывает» обновление.

— Так, ты рассказал, какие сейчас возможности у хакеров. А что со стороны противодействия, как всё выглядит?

— У каждой группы есть свой почерк, набор инструментов, способы атаки. И если мы почерк узнаем, то уже можем определить алгоритм действий. Хакеры знают, что мы их ищем, поэтому пытаются лучше скрывать свои следы, подчищать за собой все, что можно подчистить.

— Если с их стороны это вредоносные программы, то с вашей, что?

— У нас есть система раннего предотвращения киберугроз. Это, например, Threat Intelligence (киберразведка), система TDS, которая постоянно мониторит трафик данных и выявляет угрозы, а в это время 24 часа в сутки наш центр оперативного реагирования на инциденты информационной безопасности (CERT) наблюдает за этим вживую и реагирует в случае угрозы. Есть песочница (TDS Polygon), которая проводит анализ поведения подозрительных файлов в безопасной среде. Всё, что исполняется на компьютере, вложение из почты, например, попадает в песочницу и показывает своё истинное лицо. И если это вирус, то песочница выносит вердикт, говорит: «Ай-яй-яй, там что-то исполняется, надо блокировать».

— Учитывая стоимость, этим, наверное, пользуются только банки?

— Это банки, финансовые организации, предприятия, корпорации, госучреждения — все, кто находится в группе риска. При этом мы зачастую можем проверить, заражены ли они уже или были заражены раньше до установки наших решений.

— Следы остаются даже от уже состоявшихся атак?

— Да, у нас было дело — мы приехали на реагирование, провели анализ инцидента и в процессе обнаружили, что у них уже был другой инцидент раньше. Работала другая группа и собирала информацию. И мы говорим: «Вот, смотрите, у вас на самом деле есть еще второй инцидент, такого-то числа, произошло всё таким-то образом, и, благодаря ему, к вам проникли уже новые ребята, из-за которых вы нас позвали». Клиент, конечно, в шоке. Или был случай, на реагировании мы обнаружили, что на сервере, куда у компании стекались все логины и пароли, месяц назад сработал антивирус, но никто этого не заметил. После была успешная атака. Мы им сказали: «Вот был бы у вас наш TDS, за этим бы проследили наши эксперты, и инцидента бы не было».

— Как ты считаешь, такой уровень защиты может быть в будущем доступен не только для компаний, но и для частного пользования?

— Это было бы конечно очень здорово — TDS в каждый дом (смеётся). Есть идея, чтобы организовать защиту пользователей на уровне провайдеров. Чтобы провайдер умел анализировать трафик клиентов и уведомлял бы их об инцидентах.

— Как сейчас вообще может защитить себя обычный пользователь, помогают ли антивирусы?

— Я как криминалист ответственно заявляю, что на всех машинах, которые попадают ко мне во время расследования, стоит антивирус. И без разницы, какой он, как называется, какого он цвета — все эти компьютеры были заражены.

— Почему тогда существует этот рынок, для чего нужны антивирусные программы?

— От чего-то они спасают, от каких-то элементарных угроз. А если что-то серьезное будет работать, например, социальные инженеры, шифровальщики или какая-то группа решит вас взломать, то антивирус уже не поможет. У нас был интересный случай, несколько хакеров заразили компьютер бухгалтера в юридической компании и запустили кейлоггер (он считывает всё, что делает клавиатура, мышь). Потом прошло время, они свое дело сделали, их кажется позднее даже арестовали… И вот, новая группа атаковала эту компанию спустя год. Они по удалёнке сидели и общались на этом компьютере. Один пишет другому, а это фиксируется кейлогером: «Что-то у меня тут не запускается, надо посмотреть, что там стоит… А, тут Касперский Эндпойнт». И они прямо в чате обмениваются кусками кода, который успешно обходит антивирус. А потом им при обвинении предъявили их же переписку, в которой они обсуждали взлом. Ребята были в шоке. То есть, пока они кого-то ломали, за ними следили! (смеётся) Первая группа, не зная этого, помогла нам очень сильно.

— Красиво вышло! А есть ли разница между встроенным Windows Defender и сторонней антивирусной программой?

— Конечно есть. Вообще стоит обращать внимание на то, что за файл вы скачали, какой у него формат. Если вам нужен был документ, а перед вами формат .exe, то это явно не документ. И проверять заголовки сайтов — фишинговые сайты копируют страницу оригинала так, что вы ничего и не заподозрите. Различие, в первую очередь, в адресной строке, они пытаются сделать похожий домен, но идентичным он быть не может. Сертификаты еще можно проверить. Whois использовать, если страница «молодая», она могла быть создана злоумышленниками.

— Я знаю, ты иногда участвуешь в задержаниях, есть ли какие-то яркие истории?

— Много забавных историй было. Ну, вот одна часто описывается в СМИ. Это было ранее утро, мы заходим к преступнику через дверь, а в это время спецназ с крыши, на альпинистских тросах, врывается в окна. В квартире темно, а нам надо было действовать максимально быстро, чтобы злодей не успел выключить компьютер. Пока мы входили, на балкон к нему там уже прорвались, кругом разбитое стекло, красные лазеры от оружия светят в лицо, шарят по всем поверхностям, прямо фантастика. Негодяй, конечно, был в шоке, ползал по полу и кричал нам отнюдь не «доброе утро».
Что ещё… были у нас негодяи — два брата. Первый раз их задержали в 2011 году. Они занимались фишинговыми сайтами под банки. Клиенты вводили логин и пароль, думая, что это настоящий сайт их банка, а хакеры тут же выводили деньги. В то время не было распространено смс-подтверждение. В общем, их поймали и осудили на 6 лет условно. Условно! Они вышли и практически сразу начали заниматься тем же самым. Но переехали в новую квартиру, с большой железной дверью, купили электромагнитную пушку (она накапливает заряд и при нажатии кнопки разряжается в то, к чему подключена, допустим к жесткому диску – он тут же размагничивается), поставили её на балкон. То есть, если вдруг что, то они уже готовы. Где-то 4 года они работали после первого задержания. И вот на них снова вышли. Так получилось, что первого брата мы поймали на лестничной клетке между этажами. Он успел отправить второму смс с кодовым текстом «Я люблю тебя Лола», кажется. Тот заперся в квартире, на призывы открыть отвечал «Не-не-не», размагнитил пушкой жёсткий диск с уликами. После этого побежал сливать в унитаз и флешки, и всё остальное, даже деньги, видимо от паники его переклинило. Унитаз засорился, он не приспособлен для такого, и я представляю радость сантехников, которые потом доставали оттуда пятитысячные купюры. Тут будет к месту выражение «Деньги не пахнут» (смеётся).

— Чем всё закончилось?

— Совсем недавно завершился суд, долго всё это длилось. Дали им по 8 лет, уже серьезно.

Как так выходит, что вас привлекают к задержаниям?

— По нашему законодательству при изъятии техники должен присутствовать технический специалист. Являешься ли ты специалистом, экспертом, определяет следователь — смотрит, где ты работаешь, твоё образование, опыт. Нас они уже знают, поэтому часто обращаются. Ну или иногда бывает так, что мы расследуем инцидент по запросу клиента, банка, например. Находим всё, что нужно, предоставляем материалы. А дальше, поскольку мы уже в курсе всего, нас привлекают в качестве специалистов при задержании или допросе преступников.

— А в судах происходит что-то запоминающееся?

— Суды — это всегда прекрасно. Адвокаты работают с почасовой оплатой и поэтому говорят очень много, порой доходя до полного абсурда. А мы там как эксперты, защищаем свои экспертизы. Самый интересный, наверное, случаем было дело по инсайдеру (про него много писали тоже, «Авангард против Тамбовцева»). Обиняемый был системным администратором в банке. И в ходе расследования по инциденту в этом банке мы обнаружили много деталей, указывающих на то, что системный администратор был замешан в деле по самые уши. Он, конечно, свою вину отрицал, как и хакерская группа, и его адвокат. И когда уже шёл третий год судебных заседаний, возник вопрос, откуда у человека столько денег на дорогого адвоката. Сторона защиты привлекла специалиста из очень известной антивирусной компании и позволила ему в процессе задавать нам вопросы. Нам пришлось отвечать и адвокату, и этому специалисту, что странно, ведь обычно либо адвокат задает вопросы своему специалисту, либо стороне обвинения. А специалист всё утверждал, что эта хакерская группа ранее не работала с инсайдерами, значит и тут не работала, а обвиняемый — не инсайдер. И это всё несмотря на представленные улики.

— В итоге удалось доказать вину?

— Да, в итоге всё удалось. И при чём, чем больше времени проходило, тем больше мы находили информации, указывающей на его виновность. Мы не могли добавить это в дело, но для себя всё больше убеждались. Вообще бывает, что на некоторых судах против тебя по 8 адвокатов, то есть несколько обвиняемых и у всех по адвокату. У каждого свои вопросы, каждый хочет отработать свои деньги. И ты всё говоришь, говоришь, отвечаешь. Очень долго.

— Остальные участвующие в суде разбираются в технологиях и вопросах касающихся ваших экспертиз?

— Уже появились следователи, судьи, которые хорошо разбираются в делах по киберпреступлениям. В закон внесены соответствующие поправки, работает 272 и 273 статья УК РФ, есть дополнение к 159 статье. А раньше, в 2010-2011 годах, часто приходилось всё подробно объяснять, что такое компьютер, диски.
Мы стараемся работать над тем, чтобы общество лучше понимало, кто такие киберпреступники, чего они добавится и насколько существенна угроза. Сегодня к этому уже нельзя относиться несерьёзно.

Автор: Кристина Горчилина
Редактор: Кира Федосова
Фото: @cap.artem@group_ib

Закрыть