Илья Сачков — генеральный директор российский компании Group-IB, работающей в сфере информационной безопасности. Он выглядит и ведет себя как настоящий интеллектуал в сфере программирования: блестящие манеры, обходительность, невозмутимость — даже тогда, когда сообщает шокирующую информацию в самом разгаре интервью для The Hindu. Он достает ноутбук, загружает защитную программу, разработанную его компанией, и показывает экран автору статьи, а там… информация о последней успешной атаке хакеров и кража ими учетных данных пользователя из Министерства иностранных дел на домене, принадлежащем правительству Индии.
Group-IB, основанная господином Сачковым 14 лет назад, недавно участвовала в преследовании злоумышленников, и это был 120-й случай совершения киберпреступления, которым она занималась. Последнее преступление оказалось наиболее тяжким — преступники были осуждены на 20 лет за мошенничество, от которого пострадали люди в 60 странах.
Выдержки:
The Hindu: Похоже, что сейчас наблюдается резкий рост числа киберпреступлений. Почему?
Илья Сачков: Организованная киберпреступность в основном имеет целью получение денег. Здесь распространено мошенничество в банковской сфере. Когда хакеры атакуют корпоративные аккаунты, они могут также повлиять на работу критически важной инфраструктуры. Однако если разобраться, цель взлома — получить деньги. Соотношение случаев взлома ради получения денег к количеству взломов, совершаемых с другими целями (доступ к политической информации или кибертерроризм) — 99 к одному. Когда инструменты, которые используют для взломов ради наживы, начинают применять для кибершпионажа, — это опасно. В обоих сценариях одни и те же инструменты и вирусы работают эффективно. Вот почему важно, чтобы кто-то вроде нас преследовал и тех и других преступников, ведь у них одинаковые методы «работы». Методы, которые изначально применялись организованными преступными группировками, были «переработаны» и использовались спецподразделениями Северной Кореи для кибершпионажа. След в деле о хищении 81 миллиона долларов из Банка Бангладеш уходит четко в Северную Корею, это данные нашего исследования.
— Какова ваша специализация?
— В первую очередь, наш опыт работы и бизнес в целом связаны с расследованием преступлений в цифровой среде и компьютерной криминалистикой. Мы являемся крупнейшей криминалистической лабораторией в Восточной Европе, занимаемся как «классическими» цифровыми технологиями, так и расследованиями случаев применения вредоносного ПО. Мы осуществляем защиту инфраструктуры очень высокого уровня — на уровне интернет-провайдеров в некоторых странах, с помощью ботнетов и т. д. Кроме того, мы предлагаем услуги киберразведки.
Мы участвуем в тысяче хакерских форумов по всему миру. Большинство из них имеют закрытый характер, и попасть туда не так просто. Мы также обеспечиваем защиту российских доменов.ru,.rf,.su и т. д.
— Как вы обеспечиваете чью-то защиту, если не знаете киберпреступника?
— У вас совместное предприятие с госкорпорацией Ростех. Это маловероятное сочетание?
— Мы являемся стартапом, а Ростех — крупная государственная корпорация с диверсифицированным бизнесом «под одной крышей». Посредством Ростеха мы становимся участниками очень крупных проектов. В свою очередь, они нуждаются в технологиях высокого уровня. Поэтому и было создано совместное предприятие. Мы применяем технологии для защиты критически важной инфраструктуры и намерены экспортировать такие технологии в разные страны. Например, для начала работы с очень крупным государственным ведомством в другой стране необходимо три года — это только базовый подготовительный этап. Мы предпочитаем продвигаться быстрее. И Ростех нам в этом помогает.
— Каких необходимых элементов не хватает для защиты критически важной инфраструктуры во всем мире?
— Всем странам нужны законы о киберпреступности. Хотя безопасность критически важной инфраструктуры чрезвычайно важна, хакеры в основном нацелены на деньги. Нам всем кажется, что такая инфраструктура защищена; но это потому, что ее не слишком часто атакуют. Если такие атаки происходят, у нас возникают проблемы с этой инфраструктурой. Тем, кто отвечает за ее защиту, кажется, что все нормально, тогда как на самом деле это не так. Здесь можно привести такой пример: когда боксер один на ринге, он уверен в своем мастерстве, однако для того, чтобы в этом убедиться, нужен другой боксер.
— Осуществляете ли вы продажи в Индии?
— Мы налаживаем инфраструктуру продаж в Индии. Мы создаем базу в Дубае, которая также будет охватывать Индию. Мы ищем торговых партнеров, или интеграторов, в Индии, и Ростех может быть заинтересован в том, чтобы предложить услуги по защите правительства, военных объектов или инфраструктуры и т. д.
Мы видим огромный потенциал в банках, финансовых и страховых компаниях Индии, а Ростех видит потенциал в защите индийских военных и правительственных активов. Индийский рынок услуг по обеспечению безопасности начинает стремительно расти. Мы также намерены предлагать услуги провайдера в сфере управления информационной безопасностью на абонентской основе, а не только продавать продукцию.
— Вы показали нам пример взлома. Как это работает?
— При отслеживании кражи данных важно отслеживать сетевую коммуникацию безо всяких установок и делать это удаленно. Мы отслеживаем все это и затем связываемся с клиентами, если обнаружен взлом.
Для получения данных о счетах хакеры используют фишинговые сайты и вредоносное ПО. Обычно они охотятся за регистрационными данными, хранящимися во внутренних системах компаний или внешних клиентских сервисах, таких как интернет-банкинг. Вредоносные программы загружают украденные данные на командные серверы (C&C), контролируемые хакерами. Такие серверы являются центральными пунктами сбора данных. Мы отслеживаем скомпрометированные данные, анализируя сетевые протоколы, которые использует вредоносное ПО для коммуникации с командным сервером.
Для такого мониторинга Group-IB применяет специальные датчики, находящиеся в разных сегментах сети. Датчики определяют командные серверы и сканируют контакты вредоносного ПО с этим сервером на предмет скомпрометированных данных. Благодаря совместным расследованиям с правоохранительными органами и сотрудничеству с провайдерами хостингов Group-IB получает копии хакерских серверов, которые нередко содержат большие объемы скомпрометированных данных.
В случае фишинговых атак перехваченные журналы регистрации данных могут временно или постоянно храниться локально или пересылаться на электронные адреса хакеров. Специалисты компании отслеживают фишинговые ресурсы и собирают файлы конфигурации таких сайтов для определения методов, применяемых хакерами для хранения журналов с украденными данными и затем локализуют их с целью выявления всех скомпрометированных пользователей.
— Какой случай был самым сложным в вашей практике?
— Самые сложные преступления, которыми мы занимались, были связаны с Carberp, Anunak и Cron. Anunak была российской группой киберпреступников, которая атаковала финансовые учреждения и в 2014 году всего за год украла почти 25 миллионов долларов. Cron заражал до 3,5 тысяч мобильных устройств в день, а всего от него пострадали около миллиона пользователей таких устройств.
Вымогатель WannaCry — хороший урок для компаний. В 2017 году следует иметь резервные копии данных. Без этого даже не пользуйтесь интернетом на компьютере. Хорошо, что СМИ придали этому такое большое значение. С технической точки зрения Wannacry не является чем-то особенным для нас. Но повышение осведомленности весьма нас порадовало. Все говорили о кибербезопасности. Если теми же методами воспользуются кибертеррористы, последствия могут быть куда хуже.
— По вашим оценкам, в каких странах кибербезопасность находится на высоком уровне?
— Япония и Германия занимают первые места по защите своих систем. Я полагаю, это часть их культуры. Пользователи из других стран начинают думать об информационной безопасности уже после того, как инцидент произойдет. Это можно понять. Обычно люди начинают думать о здоровье тогда, когда оно подводит.
