Viatcheslav (viatcheslav) wrote,
Viatcheslav
viatcheslav

Случай в интернете

Первое в России агентство киберрасследований, основанное студентами Бауманки 13 лет назад, научилось раскрывать самые сложные преступления в сети, но по-прежнему не знает, что делать с пристальным вниманием государства. Записала Настя Черникова. Фотограф Юрий Чичков.

Игорь Катков

Случай в интернете



Илья Сачков

Случай в интернете

Дмитрий Волков

Случай в интернете

Все начинается с полиграфа. Тест на детекторе лжи для новых сотрудников проводит Валерий Соколов, в прошлом — старший оперуполномоченный майор Соколов. Обычно он несколько раз повторяет вопросы, чтобы проследить реакцию: выполняете ли вы задание конкурента, планируете ли подорвать деятельность компании, как часто употребляете тяжелые и легкие наркотики. Некоторые соискатели отказывались от теста, а руководитель нью-йоркского отделения, узнав, что ему тоже придется пройти полиграф, улетел в Париж и не вернулся. Однако в борьбе с киберпреступностью такие меры предосторожности не считаются излишними.

Сегодня десятки компаний предлагают защиту от хакеров и вирусов, а кибербезопасность стала придаточной частью любого крупного бизнеса вроде службы уборки или бухгалтерии. Но расследованием сетевых преступлений и киберразведкой занимаются немногие. В России первым детективным агентством нового типа стала Group-IB, основанная четырьмя студентами МГТУ им. Баумана в 2003 году. Сейчас в компании работают 136 человек, открыты еще 40 вакансий, а средний возраст сотрудника — 25 лет. Эксперты консультируют МВД и ФСБ, вместе с сотрудниками правоохранительных органов выезжают на задержания хакеров; Group-IB продает собственное программное обеспечение и занимается поддержкой крупнейших банков. Стены офиса компании на Дубровке украшают грамоты от Сбербанка и Первого канала, а также фотографии генерального директора Ильи Сачкова с заместителем директора Европола и президентом Путиным. Это тоже неудивительно: в 2016 году Сачков стал одним из трех россиян, попавших в список перспективных предпринимателей до 30 лет американского Forbes, и единственным в рейтинге жителем России: двое других развивают свои проекты в США.

Взломы

Илья Сачков принимал участие в киберрасследованиях еще в школе: одно дело касалось незаконного подключения к интернету в компьютерном классе, второе — анонимных писем, приходивших учителям. Кроме информатики другие предметы в московской физико-математической школе №444 Илью не занимали, да и хорошим поведением он не отличался. В шестом классе он подделал отметки в журнале — нарисовал всем пятерки по литературе и русскому языку. Обошлось выговором, но через несколько месяцев Илья сломал однокласснику нос и получил второе и последнее предупреждение. Когда в шутку он подлил приятелю в чай хлорофиллин и тот попал в реанимацию, терпение учителей лопнуло — Сачкова исключили. Через год, правда, приняли назад, и теперь Илья уверяет, что случай с отравлением изменил его жизнь: «Мне впервые стало по-настоящему страшно. Я получил психологическую травму, после которой стал другим человеком».

Кафедру информационной безопасности в МГТУ им. Баумана он выбрал просто по названию, вспомнив о детском увлечении детективами. Уже на первом курсе Илья решил, что ничему полезному в университете не научат, и пошел работать — сначала в нефтяную компанию ТНК BP, а затем в банки ВТБ24 и «Интеза». Исследовал схемы, по которым хакеры похищали данные клиентов, и вскоре понял: взломы — это самое интересное. Сачков хотел даже устроиться в управление «К» — подразделение МВД по борьбе с киберпреступлениями, — но оказалось, что для этого нужен диплом школы МВД. После первого курса Илья оказался в больнице, и в руки ему попала книга основателя агентства Mandiant Кевина Мандиа «Расследование компьютерных преступлений». Идея создать собственное киберагентство преследовала Сачкова несколько месяцев — так в октябре 2003-го появилась компания Group-IB (Investigation Bureau). Партнерами Ильи Сачкова стали однокурсники Дмитрий Волков, Александр Писемский и Игорь Катков; кафедра выделила помещение, столы и компьютеры, а старший брат одолжил пять тысяч долларов. «Надеюсь, если у тебя ничего не получится, ты сможешь снова устроиться на работу?» — в качестве напутствия сказал отец Сачкова, доцент кафедры физики в МАДИ.

Первые дела

Поначалу заказы приходили от частных клиентов, которые натыкались на сайт Group-IB в поисковиках. «Одна женщина просила найти американского военного в Ираке, — вспоминает Илья Сачков, — он обещал жениться и для оформления разрешения на брак просил перевести деньги. Когда она получала пятнадцатый кредит, он исчез. Другой россиянин передал 70 тысяч евро человеку, представившемуся посланником нигерийского короля в Москве». С такими делами в Group-IB решили на связываться. Но в банках и корпорациях на студентов смотрели с раздражением: «Для безопасников важны опыт, матерость, связи». Наконец, через старшего брата Сачкова Group-IB получила серьезное предложение — найти человека, шантажировавшего топ-менеджера нефтяной компании. На корпоративную почту клиента приходили письма с угрозами опубликовать компрометирующие снимки — обращаться в службу безопасности он не хотел. Письма отправлялись с разных IP-адресов за пределами России, сервер и хостинг у почтового адреса был американский. Сачков и партнеры вычислили реальный IP-адрес отправителя, а затем — город и район, где он живет. Когда клиенту сообщили эту информацию, он понял, что письма отправляет бывшая любовница.

Случай в интернете

«В России рынок киберрасследований по сути создали мы сами», — говорит сооснователь Group-IB Дмитрий Волков, отвечающий за предотвращение преступлений и киберразведку. В середине 2000-х, вспоминает он, многие не верили, что сыщики будут нужны частным компаниям: считалось, что достаточно милиции и антивирусов. Но с каждым годом количество угроз и хищений росло.

В марте 2004 года Group-IB уже расследовала «слив» в интернет книг крупного издательства, а в апреле — кражу домена инвестиционной компании из Петербурга. В том же году они получили еще одно дело об анонимных угрозах, теперь в адрес банкира, а затем взялись за DDoS-атаки и похищение денег с банковских счетов — расследования вели параллельно с учебой. В 2006 году в Group-IB обратилась европейская фармацевтическая компания: она теряла миллионы долларов на сайтах-клонах, которые продавали поддельные таблетки под ее брендом. Партнерская сеть Glavmed, крупнейший в мире дистрибьютор поддельной фармацевтики, за три года достигла прибыли в 150 миллионов долларов: ежедневно без участия человека робот создавал несколько тысяч сайтов, которые полностью повторяли внешний вид и товары настоящего магазина, и автоматически рассылал спам с зараженных компьютеров с предложением купить популярные препараты со скидкой 90%. «Мы шесть лет над этим работали, целая эпоха, — вспоминает Илья Сачков. — Сначала думали, что это дело рук одной московской семьи, а оказалось, что это новый класс преступников: не совсем хакеры, скорее идеальные интернет-маркетологи».

Group-IB анализировала, как рассылают спам и создают домены, искала взаимосвязи, выявляла партнерские сайты. Сотрудники компании написали программу, которая идентифицировала только что созданные сайты с почтовыми адресами, и через регистраторы добивались их блокировки. Вскоре, однако, детективы догадались зайти с другой стороны — они поняли, что правила платежных систем запрещают работать с киберпреступниками. Онлайн-магазины с контрафактом и порносайты принимают платежи только потому, что с ними сотрудничают некоторые банки, зарабатывающие на процентах со всех покупок. И вместо того, чтобы добиваться блокировки домена, детективы просто начали передавать информацию системам Visa и MasterCard, а те выписывали банкам огромные штрафы за обслуживание спамеров. К тому моменту, когда Group-IB удалось вычислить главных игроков, между ними началась жестокая борьба за передел рынка, в результате которой весь бизнес сошел на нет. Этот конфликт стал первой в истории войной внутри компьютерной преступности.

Логика киберрасследований

«Любое расследование строится на ошибках», — говорит Сачков. Group-IB выслеживает мошенников через системы мониторинга и киберразведки, сопоставляя найденные в сети данные. В связке с криминалистами работают вирусные аналитики — они помогают разобраться в программах, с помощью которых группы хакеров атакуют своих жертв. Важны детали: бывает, что компьютер заражен многими вирусами, но только один из них имел отношение к преступлению. Впрочем, главное в работе киберследователя не программы и технические средства, а логика.

Илья Сачков приводит в пример недавний случай. Мошенник продавал базу данных компаний, использовал одноразовый email, нигде не светил свой ник, на техническую провокацию — перейти по ссылке или скачать фотографию — не реагировал. Но на его аватаре стояла картина, которая нашлась только в одном месте в интернете, на личной странице неизвестной художницы. Друг этой художницы, в свою очередь, работал системным администратором — через него специалисты Group-IB смогли выстроить цепочку связей.

Еще одно дело, когда расследование строилось на дедукции, — взлом британского оператора TalkTalk Tele- com. Базу данных клиентов выложили в интернет, британские следователи подозревали русских хакеров. Однако Group-IB представила свою экспертизу, в которой опровергала эту версию: отечественные хакеры никогда не работают бесплатно, а на этом взломе никто не заработал, к тому же если бы его заказывал конкурент, русских нанимать не стали бы — в таких делах важно доверие. Эксперты сделали вывод, что это было хулиганство для привлечения внимания, и, скорее всего, совершил его подросток из Соединенного Королевства: вряд ли кто-нибудь из других стран будет взламывать TalkTalk, потому что хвалиться здесь нечем — никто из сверстников просто не знает такого оператора. Позже расследование британской полиции показало, что за взломом стоял 15-летний школьник из Северной Ирландии.

Несколько месяцев назад на радарах системы киберразведки часто появлялись активисты запрещенной в России группировки ИГИЛ. «Это низкоквалифицированные хакеры, серьезного ущерба они нанести не могут, но у них много последователей, так что проблема в их количестве», — рассказывает Дмитрий Волков. Киберисламисты не скрываются, при взломах сайтов они оставляют заставку со своим логотипом в надежде привлечь новых последователей. Но даже их атаки зачастую можно предугадать логически, говорит Волков: «Например, конфликт между Израилем и Палестиной привязан к важным датам, и новые кибератаки начинаются в одно и то же время. У нас есть календарь иудейских и мусульманских праздников, так что мы заранее предупреждаем наших израильских клиентов».

Случай в интернете

Впрочем, активисты интересуют Group-IB меньше, чем мошенники, которые хотят взломать их клиентов. Цены на услуги компании зависят от того, какие данные нужны, но в среднем приближаются к нескольким десяткам тысяч долларов. Главный конкурент здесь — «Лаборатория Касперского», которая недавно, помимо антивирусов, также занялась киберразведкой. «Экспертиза в киберразведке и расследованиях Group-IB действительно уникальна. Они первыми из России вошли в обзор рынка исследовательской компании Gartner, на оценки которой ориентируются все крупные заказчики. Что касается их лаборатории криминалистики, то она самая большая в России», — говорит руководитель проекта Securitylab.ru Александр Антипов.

Ключевые дела

В 2011 году название Group-IB впервые появилось на страницах всех деловых изданий: с помощью агентства следственный департамент МВД смог предъявить обвинения в мошенничестве хакерам Максиму Глотову и Андрияну Степанову, которые одними из первых в стране перешли от кражи со счетов физических лиц к хищению у крупных компаний, использующих интернет-банкинг. Деньги хакеры переводили на счет фирм-однодневок, а затем обналичивали — иногда, из-за спешки, с комиссией 50%. В 2009 году в Екатеринбурге был выдан ордер на арест Максима Глотова, но он бежал в Курск, где купил поддельные документы на другое имя, а оттуда уехал в Тюмень и сделал пластическую операцию, избавившись от характерной приметы во внешности — оттопыренных ушей. Group-IB обнаружила Глотова, когда он снова занялся преступным бизнесом: вместе со Степановым они написали программу OSMP Grabber, собиравшую логины и пароли пользователей системы моментальных платежей ОСМП и E-Port (сейчас называется QIWI). Прежде чем детективы собрали необходимые улики, мошенники успели вывести десять миллионов рублей. Тем не менее суд приговорил Глотова и Степанова к незначительным срокам и с учетом времени, проведенного в следственном изоляторе, обоих освободили в зале суда. Одним из самых сложных дел в истории Group-IB стало дело братьев-близнецов Дмитрия и Евгения Попелышей. Они выросли в Петербурге в состоятельной семье, получили специальность менеджеров-экономистов и все свободное время проводили в интернете, без особенного успеха изучая языки программирования в надежде заработать на какой-нибудь мошеннической схеме. Затем на хакерском форуме они познакомились с калининградским студентом Александром Сарбиным, который помог им создать копию сайта интернет-банкинга ВТБ24 и написать вредоносную программу. Зараженные ей компьютеры перенаправляли пользователей с настоящего сайта на поддельный, где те оставляли логин и пароль. Братья Попелыши собирали эти данные и вводили на настоящем сайте банка, выводя со счетов максимально дозволенные 15 тысяч рублей, а чтобы узнать разовый СМС-пароль для перевода средств, звонили клиентам банка, представляясь работниками технической поддержки. К моменту ареста в феврале 2011 года Попелыши научились взламывать счета в системе «Яндекс-деньги» и выводить крупные суммы. Всего они успели похитить 13 миллионов рублей.

До самого задержания оперативники были уверены, что имеют дело с одним человеком: Попелыши всегда использовали в интернете один псевдоним и представлялись одним человеком. Во время расследования МВД сотрудничало с Центром информационной безопасности ФСБ, а экспертизу и помощь предоставила сначала «Лаборатория Касперского», а затем и Group-IB. Детективы собрали все необходимые улики, однако Чертановский районный суд Москвы прислушался к аргументам адвоката о молодости подсудимых, которым едва исполнилось 25 лет, и приговорил их к условному заключению. Братья вернулись в Петербург и вскоре продолжили похищать деньги. Понадобилось еще несколько лет, чтобы возобновить расследование и снова арестовать их. «Такие дела можно закрывать за один день: есть информация — пошли, арестовали и осудили. Но из-за бюрократии нам пришлось потратить два года», — объясняет Сачков.

Самое крупное из последних дел Group-IB началось весной 2015-го. 27 февраля курс доллара на московской бирже рухнул с 61 до 55 рублей, затем поднялся до 66 и вновь вернулся к 61. Скачки были вызваны действиями небольшого казанского «Энергобанка» — он совершил ряд ставок на более чем 500 миллионов долларов по нерыночному курсу. В тот же день было возбуждено уголовное дело. «Энергобанк» оценил ущерб от сделок в 244 миллиона рублей и заявил, что в трейдинговую систему проникли посторонние лица. В хакерскую атаку никто не поверил: первый зампред Центробанка Сергей Швецов склонялся к версии о «сознательном манипулировании валютой» или просто «низкой квалификации трейдеров», другие банкиры подозревали правление «Энергобанка» в выводе средств. Расследование ЦБ не выявило манипуляций на валютном рынке, но МВД все равно обратилось в Group-IB, и ее эксперты установили, что сделки совершала хакерская группировка Corkow. Использовавшийся вирус открывает на компьютере канал удаленного управления и заставляет систему выполнять команды хакеров: по данным Group-IB, программа уже проникла в 250 тысяч компьютеров по всему миру и заразила более 100 финансовых институтов. Расследование до сих пор не завершено.

Месть

Каждый сотрудник Group-IB понимает, что его работа сопряжена с рисками. «Несколько лет назад, когда киберпреступников редко ловили, они чувствовали себя настолько вальяжно, что не боялись звонить, предлагать деньги нашим сотрудникам и переманивать их на свою сторону», — говорит Илья Сачков. Генеральному директору и сейчас приходят письма с угрозами: «Если человек хочет что-то сделать, он не будет об этом писать, так что я стараюсь не обращать внимания». В его машине выбивали стекла, а в старом офисе на Электрозаводской разбивали окна. На хакерской бирже даже происходил сбор средств, чтобы заказать убийство от лица сотрудника Group-IB.

Случай в интернете

В ноябре 2015 года в Риге было совершено нападение на Павла Крылова, руководителя направления по развитию продуктов Bot-Trek. После участия в профильной конференции он сел в такси, чтобы успеть на рейс в Москву, но на середине пути таксист брызнул в него баллончиком с перцовым газом, отобрал ноутбук и ключи. Позднее с этого ноутбука злоумышленники пытались подключиться к корпоративной сети Group-IB — сейчас эксперты компании ведут собственное расследование.

Киберполиция и государство

«По обороту киберпреступления напоминают наркобизнес и торговлю людьми, — говорит Илья Сачков, — это глобальная преступность, для которой нужно создавать общую киберполицию». Но пока правоохранители предпочитают просто обращаться к Group-IB за помощью. В 2010 году у офиса компании в Мажорном переулке остановилась машина, водитель выгрузил из нее компьютеры и жесткие диски и передал поручение: проверить, лицензионные ли на них программы. Кто-то в правоохранительных органах решил, что дружественной компании можно просто так, без предупреждения, ставить задачи. Партнеры отправили машину обратно: «Мы не знали, как работает система. Думали, что какое-то время будем помогать бесплатно, и постепенно люди поймут, что за работу нужно платить, но они, к сожалению, считают, что если ты предприниматель, то должен им помогать».

В расследованиях Group-IB неизбежно идет на контакт с органами безопасности. «Мы не можем задерживать людей, изымать записи с камер видеорегистраторов и банкоматов. Зато можем разбирать вредоносные программы, смотреть, откуда и кто ими управляет», — поясняет Дмитрий Волков. Если правоохранители задержат организатора киберпреступления, но не докажут хищения, его будут судить лишь по статье 273 УК за распространение вредоносных программ. «Главное в нашей профессии — это терпение, — говорит Волков. — Мучительно ждать, когда мы найдем преступников. Потом ждать, пока их задержат. Иногда приходится ждать годами, это очень утомляет».

Group-IB часто помогает силовикам экспертизой, но деньги за это получает редко. Изменить ситуацию могла встреча Ильи Сачкова с президентом. В июле 2015 года Владимир Путин приехал на молодежный форум «Территория смыслов на Клязьме», а за несколько дней до этого молодого генерального директора готовили к встрече в Фонде развития интернет-инициатив. «Нужно было за минуту понятно изложить, что он вообще делает. Мне понравилось, как он все схватывал на лету», — вспоминает заместитель директора Фонда по коммуникациям Сергей Скрипников. После той встречи на стенах офиса Group-IB и в кабинете Сачкова появилась памятная фотография: правда, по словам бизнесмена, некоторые западные клиенты попросили убрать их логотипы с сайта. Подхода правоохранителей встреча тоже не изменила — большинство структур по-прежнему хотят получать работу бесплатно. Недавно одно ведомство предложило Group-IB контракт: за 30 тысяч рублей в месяц проводить примерно десять экспертиз — при рыночной цене одной экспертизы в несколько тысяч долларов.

Эксперт в сфере безопасности, хорошо знающий Илью Сачкова, говорит, что внимание со стороны руководства страны влечет за собой большую ответственность и может только повредить бизнесу. «Теперь за ним пристально наблюдают, и если он будет немил, его легко выкинут из страны, как это сделали с Дуровым» (основатель «ВКонтакте» Павел Дуров уехал из России в 2014 году).

Международная преступность

Из-за кризиса и девальвации рубля переориентироваться на зарубежные рынки стали не только компании, но и киберпреступники. «Злоумышленники из России и стран СНГ фокусируются на Западе, благодаря этому масштабы хищений внутри страны за последний год сократились в 3,7 раза», — утверждает Сачков. Помимо центрального офиса в Москве и дополнительного в Казани, у Group-IB есть сотрудники в Нью-Йорке, на Ближнем Востоке и в Лондоне. Недавно Сачков встречался с премьер-министром Таиланда, и тот предложил ему открыть офис в своей стране.

Два года назад Сачков поинтересовался у знакомого из Европола, не хочет ли полиция Европейского союза познакомиться с Group-IB. Через несколько месяцев его пригласили в Гаагу. «У нас в полиции нет такого драйва, мало молодых людей, к которым хочется обратиться за помощью», — вспоминает он. В просторном зале штаб-квартиры Европола Сачков три часа рассказывал о том, на что способна его команда. После презентации Европол начал многоуровневую проверку компании, которая заняла около года. В июне 2015-го, в разгар политического кризиса между Россией и ЕС, Илья Сачков и заместитель директора по операциям Европола Вил ван Гемерт подписали соглашение о сотрудничестве. «Когда я буду умирать, вспомню этот момент», — смеется предприниматель. До июня 2016 года он рассчитывает подписать соглашение с Интерполом.

Сейчас основатель Group-IB ставит цель войти по выручке в первую десятку мировых агентств в сфере кибербезопасности. Для сравнения, американская Fireye зарабатывает 630 миллионов долларов в год, Trustwave, купленная сингапурской Singtel, — 216 миллионов, а Group-IB — около пяти. Инвестиции, необходимые для выхода на зарубежные рынки, привлечь непросто — венчурные инвесторы смотрят на российские компании с большим скептицизмом, хотя и признают, что они хороши в своей области. «У российских специалистов по информационной безопасности сильная экспертиза и репутация, а в профессиональном сообществе, которое менее политизировано, это имеет большее значение, чем происхождение», — говорит инвестиционный директор венчурного фонда Runa Capital Дмитрий Гальперин. Впрочем, некоторые эксперты, попросившие не называть их имени, полагают, что выводить за границу продукты в сфере безопасности сейчас крайне сложно: «Group-IB должна выбрать, где развиваться: в России или за рубежом».

Илья Сачков называет себя космополитом и утверждает, что хочет продавать свои продукты везде, независимо от настроения властей и геополитической обстановки. Еще одна мечта — построить популярный бренд, «как ФБР, чтобы люди носили футболки и пили кофе в кружках с нашей эмблемой». Но конкуренция с международными корпорациями — сложная задача для любой российской компании, а в сфере безопасности она кажется и вовсе непосильной. Впрочем, и десять лет назад амбициозного студента Бауманки предупреждали, что ничего у него не получится и нужно найти нормальную работу.

Tags: интернет
Subscribe

Recent Posts from This Journal

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments