"Лаборатория Касперского" известна, прежде всего, своими антивирусными продуктами. Больше года назад в структуре компании появился Отдел расследования компьютерных инцидентов (ОРКИ). Специалисты нового подразделения по заказу клиентов помогают правоохранителям вычислять киберзлоумышленников и при необходимости оказывают информационную и техническую поддержку расследования уголовных дел.
О своей работе в интервью порталу ЮГА.ру рассказал руководитель Отдела расследования компьютерных инцидентов Руслан Стоянов.
ОРКИ – одно из самых наименее известных для обычных пользователей подразделений в "Лаборатории Касперского". Чем именно занимается ваш отдел?
– Наверное, о нас знают меньше, потому что мы самые молодые. Фактически, наша группа реализует тактическое и техническое превосходство над преступниками.
В "Лаборатории Касперского" работают около 1,5 тыс. технических специалистов, которые занимаются разными вещами, связанными с IT-безопасностью. Наше подразделение – это своего рода линза, которая усиливает технические познания специалистов на одну конкретную цель: исследование и противостояние киберпреступности.
А как это воплощается на практике?
– По заказу наших клиентов мы занимаемся расследованием инцидентов, связанных с деятельностью киберпреступников . Уточню: мы не субъекты оперативно-розыскной деятельности, мы не правоохранительные органы и не занимаемся расследованием преступлений. В нашу задачу входит установление технических аспектов произошедшего, выявление стоящей за инцидентом криминальной инфраструктуры, и содействие правоохранителям в установлении личности. Мы работаем для того, чтобы помочь бизнесу и обществу в противодействии киберпреступности.
Количество сотрудников вашего отдела – это закрытые данные?
– У нас небольшое подразделение, но мы пользуемся всей мощью "Лаборатории Касперского" и всеми ресурсами компании.
Какого рода киберпреступления вы расследуете?
– Мы не расследуем киберпреступления, непосредственным расследованием занимаются правоохранительные органы. Мы с технической точки зрения расследуем инциденты – то, что произошло. Наше подразделение занимается поиском, сбором и анализом информации о произошедшем инциденте. Наиболее частые инциденты происходят в банковской сфере. Мы анализируемнарушения доступа в корпоративные сети, DDoS-атаки и вообще все компьютерные инциденты, которые наносят вред и могут принимать различные формы.
Киберпрестуники проявляют интерес только к крупному бизнесу? Как обстоят дела у малого и среднего бизнеса, которые гораздо менее защищены?
– Сегодня кибепреступники обращают внимание на всех. Часть из них занимается корпоративным шпионажем, зарабатывая деньги на продаже инсайдерской информации конкурирующим организациям. Другие заражают компьютеры десятков тысяч людей для атаки на системы ДБО.
Вы работаете только по контракту, когда поступил конкретный заказ?
– Не обязательно. С одной стороны, мы ежедневно занимаемся исследовательской работой, а объектом наших исследований является киберпреступность. Эта работа ведется постоянно. С другой стороны, нас нанимают по контракту, чтобы мы расследовали тот или иной инцидент.
Как быстро с вами заключаются контракт? Ведь такие инциденты, наверное, лучше расследовать по "горячим следам"…
– Подобного рода контракты заключаются долго, потому что они требуют всестороннего анализа юридических служб обоих сторон. Поэтому часто мы продаем подписку – контракт заключается в начале года и проходит долгое согласование, после ничего не требуется. Зато у клиента есть гарантии быстрой реакции на сообщение об инциденте. Обычно это действует для крупного бизнеса, который старается контролировать свои риски и заранее к ним готовится.
Первый этап расследования инцидента происходит очень быстро – за две-три недели. Наши специалисты проводят оперативный анализ, собирают первичную информацию, ищут вредоносное ПО. Следующий за ним этап – само расследование, здесь наша основная цель – определить данные, по которым можно установить вовлеченных в инцидент лиц.
Такое расследование занимает несколько месяцев, а потом начинается этап сопровождения уголовного дела, и это могут быть годы.
Как именно ваш отдел сотрудничает с госструктурами и правоохранительными органами?
– Правоохранительные органы иногда обращаются к нам за помощью в расследовании компьютерных инцидентов и подготовке соответствующей экспертизы. У нас есть специальный экспертно-криминалистический отдел, который как раз занимается проведением подобных экспертиз. Это делается бесплатно. Помимо этого, мы регулярно проводим семинары для представителей правоохранительных органов.
Были ли в вашей практике случаи, когда с конкретной проблемой к вам обращались частные лица, а не бизнесмены?
– Достаточно часто. У нас есть общий почтовый ящик и форма на сайте, которую может заполнить кто угодно. Стоимость наших услуг одинаковая и для физических, и для юридических лиц. Часто организации работают по подписке, а граждане обращаются к нам непосредственно после произошедшего инцидента.
География работы вашего отдела ограничена только Россией? Или вы можете работать по всему миру?
– "Лаборатория Касперского" – международная организация, у нее есть представительства в разных странах и подразделения, которые работают по международным направлениям. Мы же сейчас фокусируемся на русской киберпреступности, так как сегодня она является одной из доминирующих во всем мире. Поэтому пока наш сервис предоставляется только на территории РФ и стран СНГ.
Есть какая-то статистика оказанной вами помощи?
– Мы не ведем статистику. Я вообще не люблю это слово: все, что обычно представляется как статистика относительно киберпреступности – это оценочные суждения отдельных компаний или специалистов.
Посчитать злоумышленников нельзя. Они не участвуют в переписи населения и не ставят галочку: "Да, я ворую деньги у банков или у их клиентов", не объявляют о своем роде деятельности "взломщик сайтов". Это крайне скрытые люди и организации, которые большую часть времени и усилий тратят на обеспечение своей собственной безопасности. Поэтому я не доверяю существующим методикам расчета и их результатам.
Какие устойчивые группировки в сфере киберпреступности вам удалось установить?
– Одно из последних дел, где мы помогли правоохранителям, это раскрытие преступной группировки, которая занималась финансовым фродом (мошеннические действия с целью кражи тех или иных финансовых активов, управление которыми осуществляется с помощью информационных систем). Один из преступников долгое время предоставлял услуги эксплуатации уязвимости с применением пакета вредоносных программ Blackhole. Автор Blackhole был известен в Сети под ником Paunch и помимо сдачи эксплойт-паков в аренду предоставлял киберкриминалу услуги по шифрованию и проверке вредоносного ПО на устойчивость к антивирусам. Отличный пример, но не все понимают, что Paunch не был главным, и в деле присутствуют конечные бенефициарии. Всем им вменили статью 210 УК РФ (организация преступного сообщества или участие в нем), а сделать это очень сложно.
А были случаи международного сотрудничества?
Не так давно мы провели совместную операцию с правоохранителями Украины против группы разработчиков троянского приложения Carberp. Это распространенная среди киберпреступников троянская программа, известная в разных модификациях с 2009 года. Она собирает информацию о пользователе и системе и отправляет на сервер злоумышленников.
Операцию против разработчиков Carberp поддерживали все компании, которые занимаются IT-безопасностью.
В группу Carberp входили программисты, работавшие удаленно в Киеве, Запорожье, Львове, Херсоне и Одессе. Хакеры создали вирус, который проникал в компьютеры при скачивании фотографий или просмотре видео в Интернете. Он получал доступ к данным бухгалтерии, программе 1С, паролям и электронным ключам, после чего передавал их мошенникам. Вредоносная программа постоянно модифицировалась, поэтому антивирусные средства защиты ее не всегда идентифицировали. При заражении компьютерных сетей злоумышленники тратили немало времени на изучение деятельности предприятия и формирование электронных платежей на счета фиктивных предприятий.
Как относятся киберпреступники к вашему отделу?
– Я надеюсь, что они не обращают на нас никакого внимания, чем менее они сфокусированы на параноидальных мыслях: "А не подбирается ли к ним "Лаборатория Касперского", тем лучше. Мы довольно редко широко афишируем результаты своей работы.
Хотя у нас был очень успешный кейс против братьев Евгения и Дмитрия Попелыш из Санкт-Петербурга, которые использовали вредоносную программу и фальшивую копию страницы системы интернет-банкинга ВТБ 24 "Телебанк". Хакеры с помощью вредоносной программы похитили около 13 млн рублей. В итоге они были приговорены к 6 годам лишения свободы условно с испытательным сроком 5 лет и штрафу по 450 тыс. рублей в пользу государства с каждого. Вместе с Попелышами к 4 годам условно и штрафу в 200 тысяч был приговорен помогавший им студент из Калининграда Александр Сарбин.
После этого случая ВТБ 24 стал неким табу для кибепреступников, потому что многие понимают, что выйдет себе дороже.
Если попытаться представить усредненный портрет современной российской киберпреступности, то каким он будет?
– В настоящее время киберпреступность – это массовое явление, куда вовлекается большое количество новых кадров, в большинстве своем это молодые амбициозные люди, стремящиеся получать высокий доход. Они хотят раскидывать вокруг себя доллары и жить, как показывают в видеоклипах на MTV.
Сейчас хакером стать настолько легко, что кибепреступность потеряла свою элитарность. Да, существуют серьезные старые группы, но сейчас ты приходишь на любой IT-форум и можешь прочитать, как заражать компьютеры. На соседней ветке ты скачиваешь примитивную троянскую программу, тут же тебе предлагают защитить свою личность анонимайзером и так далее. Выкладывающие эту информацию в свободный доступ не совершают преступления, их можно судить только по статье "Распространение вредоносного кода", но это другие сроки – не такие высокие у статьи "Мошенничество".
Интернет перестал быть безопасным местом, это опасное место. Здесь множество людей, которые хотят делать деньги из воздуха, не выходя из комнаты, и все это легкодоступно.
Были моменты, когда вам удавалось закрывать места обмена информацией такого рода?
– Это не наша задача контролировать и что-то закрывать. У нас есть Роскомнадзор, который занимается фильтрацией информации в Интернете, оценивать сайты на их безопасность. Мы делимся своими навыками и информацией. Если люди из госструктур не обладают достаточными знаниями в этой области, они могут прийти к нам и обратиться за помощью.
Есть разница между российскими киберпреступниками и зарубежными?
– Безусловно. У каждой страны есть свои особенности, свои лидеры. Основные черты российской киберпреступности – массовость, наглость и агрессивность.
Например, в Англии основной промысел киберзлоумышленников – отмывание денег, в нем участвуют так называемые дропы (дроп – низшее звено мошеннической группировки, занимающейся кражами реквизитов кредитных карточек в Интернете). Например, человеку приходит письмо, такого содержания: "Мы пытаемся оптимизировать наши налоги, примите на свой счет такую-то сумму. Часть оставьте себе, часть перешлите туда-то".
У нас же в стране создаются целые фабрики по созданию вредоносного софта (такого, как Carberp со средой разработки), и это гораздо более серьезная проблема.
Существует определенная тенденция по сращиванию традиционной организованной преступности и киберпреступности, но здесь все не всегда однозначно. Обычным преступникам ведь сначала нужно найти этих молодых амбициозных хакеров, которые, в свою очередь, не горят джеланием с кем-то делиться своими доходами. Но когда у этих двух ветвей получается как-то вольно или невольно пересечься, начинается их довольно успешное взаимодействие. Одни занимаются хищением денежных средств, другие – их отмыванием.
__ujbaxpt.jpg)
__rhi5t5r.jpg)