По просьбе читателей Хабра публикуем без купюр интервью с руководителем Лаборатории цифровой криминалистики и исследования вредоносного кода компании F6 Антоном Величко.
Лаборатория цифровой криминалистики и исследования вредоносного кода – одно из старейших подразделений компании F6. Более 70 000 часов реагирований на инциденты по всему миру, свыше 3500 экспертиз и исследований – это всё про специалистов Лабы (так уважительно называют подразделение внутри компании). Лаба – один из главных поставщиков данных для решений F6 о тактиках, техниках и процедурах, которые используют в своих атаках киберпреступные группировки: эти сведения специалисты добывают во время реагирований на инциденты и при проведении различных исследований. Больше месяца мы ждали, когда в графике руководителя Лаборатории Антона Величко появится свободный час для того, чтобы рассказать об особенностях национального кибербеза: «Сейчас очень много работы, и она только прибавляется. Последние два года мы неделями не вылезаем из реагирований».
«Откатать пальчики могу и сейчас»
Я был первым в классе, у кого появился свой комп. Под управлением операционной системы MS DOS, без мышки – ничего лишнего. Это было в третьем классе. С этого времени интерес к компьютерам стал расти. После универа пошёл работать по специальности, дорос до должности замначальника отдела автоматизации. Когда призвали на срочную службу, в армии меня быстро подрядили: то сеть настроить, то автоматизировать что-нибудь. До самого дембеля работал в довольно напряжённом режиме, и мне это нравилось.
У меня в роду – все офицеры. Поэтому от предложения остаться в армии по контракту отказался: хотел стать офицером и не нарушать семейную традицию. К сожалению, с невоенным образованием можно было дослужиться лишь до старшего прапорщика, но я не к этому стремился и хотел большего. Вернулся на гражданку.
Мой путь в криминалистике начался с разбитой раковины. Стечение обстоятельств довольно смешное, но что было, то было! Однажды в магазине сантехники встретил друга, который служил в экспертно-криминалистическом центре. Решил ему помочь донести до машины купленную им раковину в коробке. Он взялся за саму раковину, я за пьедестал, и тут всё это вывалилось из коробки на пол. Вдребезги. Между делом, пока справлялись с последствиями, спросил, нужны ли в ЭКЦ специалисты-компьютерщики. Там как раз были вакансии.
Службе в МВД отдал десять лет жизни. В какой-то момент понял, что потерял интерес. Задачи были довольно похожие. Делаешь экспертизы, отвечаешь на поставленные вопросы, исследуешь разнородную технику. Главная задача – поиск чего бы то ни было среди информации в цифровом виде. И всё. Время от времени выезжал на следственные действия, обыски. Откатать пальчики, провести осмотр места происшествия и сейчас могу – руки помнят.
Расследование первого инцидента открыло мне мир кибербеза. Однажды мне поручили экспертизу по уголовному делу, которое было связано с использованием программы-вымогателя. Я впервые увидел в подробностях, как развивается человекоуправляемая атака. Провёл комплексное исследование: реконструировал атаку, выяснил, как действовал злоумышленник, изучил большое количество серверов, пропустил через себя, проанализировал, написал заключение эксперта. И мне понравилось. Почувствовал, что это моё. И с того момента начал с интересом смотреть в сторону кибербезопасности.
Со звёздами на погонах попрощался после успешного выполнения тестового задания. Наша компания как раз искала специалиста по реагированию. Прошёл собеседование, дали тестовое задание – там был интересный южноафриканский кейс CTF (Capture the Flag, соревнования по практико-ориентированной информационной безопасности – прим.). Меня так захватило это задание, подошёл к нему с энтузиазмом, за два дня полностью разобрался. Потом было техническое собеседование, мне всё понравилось, и я всех устроил. Вот так попал непосредственно в мир реагирования на инциденты.
«Помогать – вот в чём самый кайф»
Первые недели в компании стали временем стремительного развития и открытий. Как и в полиции, я снова защищал мир от преступников, но делал это совсем на другом уровне. Каждый день – что-то новое. Одна из первых моих задач в Лаборатории была реагирование на инцидент в зарубежной компании. Разница во времени – плюс 9 часов. Порой мы ещё только просыпаемся, а они звонят: у нас снова горит, помогайте.
История заключалась в том, что на протяжении года компанию планомерно уничтожали. Злоумышленники плотно закрепились в инфраструктуре и раз в четыре месяца «выносили» клиента: удаляли информацию, разрушали дисковые массивы – словом, занимались диверсиями, не требуя выкупа. А компания никак не могла понять, как их постоянно ломают. В конце концов позвали нас на помощь.
Выбить злоумышленников из инфраструктуры, на которой они закреплялись целый год – та ещё задача. Точку входа мы на первом этапе нашли, но оставались многие другие устройства, которые находились под контролем атакующих. Большую часть систем, которые участвовали в инциденте, изолировали, однако атаки продолжались. В итоге выяснили, что злодеи закрепились на сетевом оборудовании. Мы отбили атаку, успешно обнаружили всё скомпрометированное сетевое оборудование. Помню, как было удивительно слышать в телефонном разговоре восторженные голоса представителей клиента. Для них это было из области фантастики, что из-за какой-то точки доступа Wi-Fi вся компания оказалась под угрозой: точка доступа фактически была для атакующих шлюзом во внутреннюю сеть.
Раньше я смотрел кино как зритель, а теперь сам в нём участвовал. Это был один из первых проектов по реагированию на инциденты, когда ты в реальном времени отбиваешь атаку и делаешь всё, чтобы победить зло здесь и сейчас. В экспертно-криминалистическом центре это наблюдал постфактум: моя задача была лишь исследовать носители информации, задокументировать, зафиксировать следы. Помогать – вот что самый кайф в нашей работе, по крайней мере для меня. Когда защищаешь клиента и видишь его мгновенную реакцию, обратную связь.
Стараюсь не пропустить ни одно реагирование. Пусть будешь там вторым, третьим номером, но участвуешь, узнаёшь, повышаешь качество экспертизы. И быстро набираешь опыт. Во время службы в полиции я понятия не имел про киберпреступные группировки, кто на чём специализируется, какие инструменты применяет. Пришлось навёрстывать семимильными шагами то, чего не знал, впитывать всё новое, что появляется. Это вошло в правило. Читая, ты понимаешь, как атакуют те или иные злоумышленники. Появляется насмотренность: ты начинаешь видеть аномалии и многое другое. Замечаешь изменения в ландшафте киберпреступности.
С точностью до миллиона
Киберпреступность развивается стремительно. На наших глазах появляются новые тренды в кибератаках. Например, мы впервые зафиксировали симбиоз вредителей и вымогателей – это Shadow. Назвали её группой «двойного назначения». Когда Shadow попадала на периметр коммерческих компаний, её участники преследовали цель наживы, требовали выкуп. Если жертва отказывалась платить, то злоумышленники публиковали похищенные данные в даркнете. Если эта группа попадала в компании, связанные, например, с критической инфраструктурой, государственными организациями и ведомствами, то в этом случае выступала под псевдонимом Twelve и уничтожала инфраструктуру этих организаций, в том числе шифруя данные, проводила кибердиверсии. Впервые об этой новой группе рассказала наша компания.
Самый большой выкуп, который требовала Shadow – 321 млн рублей. Этот рекорд 2023 года ещё держится. Прежний рекорд жадности среди групп-вымогателей принадлежал OldGremlin, которые были мотивированы исключительно деньгами. В 2021 году они требовали у жертвы 250 млн рублей за восстановление доступа к данным, а в 2022 году их ценник поднялся до 1 млрд рублей. Можно сказать, что Shadow были скромнее в аппетитах, но они брали количеством атак.
Суммы выкупа берут не с потолка. В процессе реконструкции того или инцидента мы неоднократно видели, как вымогатели перед атакой проводили разведку не только техническую, но и финансовую. Знакомились с публично доступной информацией об обороте компании, её учредителях, формировали профиль жертвы. И уже отталкиваясь от него, выставляли счёт – обычно 3-5% от выручки. Shadow чаще всего атаковала организации в сфере производства и инжиниринга, среди атакованных также были компании из сферы логистики, IT, строительства.
Злоумышленники консервативны: если инструмент эффективен в атаке, пользуются им дальше. С момента появления группы в 2023 году для шифрования данных Shadow используют программы-вымогатели семейств Lockbit 3 и Babuk. Используемые экземпляры вредоносных программ готовятся злоумышленниками под каждую атаку с помощью утёкшего билдера Lockbit 3, а также на основе утекших исходных кодов Babuk. С помощью Lockbit 3 злоумышленники шифруют данные, хранимые на системах под управлением ОС Windows, а с помощью Babuk – на системах с unix-подобными ОС. В 2024 года и по настоящее время особо ничего не поменялось, однако видно, что группа развивается, применяются новые техники и процедуры в развитии атак, в их арсенале появляются новые инструменты.
В 2024 году визитной карточкой Shadow стали атаки через различных IT-партнеров. Сначала они атаковали IT-компании, а затем собирали у них аутентификационные данные для доступа к их клиентам. После чего, используя скомпрометированные аутентификационные данные, проводили атаки на клиентов IT-компаний, среди которых довольно часто встречались очень крупные игроки на рынке.
Выжигают всё, до чего дотянутся
До февраля 2022 года в плане кибербезопасности, на мой взгляд, Россия находилась в тепличных условиях. Да, были атаки на корпоративный сектор, которые совершали разные группировки, те же OldGremlin, Buhtrap, различные группировки с Ближнего Востока, такие как LokiLocker/BlackBit, RCRU64, Proton и др. Атак и ущерба от них было меньше в сравнении с тем, что происходит сейчас. Атаковали в основном Запад. С началом СВО правило «Не работаем по .ru» для многих выходцев из постсоветского пространства перестало действовать. И они начали атаковать Россию.
Сейчас в нашей стране под угрозой, наверное, каждая компания, включая малый бизнес. Небольшие организации атакуют, как правило, только для наживы. Что касается средних и крупных предприятий, зависит от специализации. Если на атаке такой компании можно заработать и ажиотажа вокруг её взлома не возникнет – будут атаковать, чтобы нажиться. Если организация связана с госкомпаниями, персональными данными, скорее всего, злоумышленники попытаются похитить её данные, а затем уничтожить инфраструктуру – в последнее время стало больше именно таких атак. В общем, сейчас у нас очень много работы, и она только прибавляется. Последние два года мы неделями не вылезаем из реагирований.
Статистика первых месяцев 2025 года подтверждает прогноз нашей компании по кибератакам на Россию: продолжается их неуклонный рост. Львиную долю из них составляют атаки с использованием программ-вымогателей. Текущая геополитическая обстановка привлекла профессиональных киберпреступников и желающих воспользоваться этой ситуацией ради собственной наживы. В таких условиях все сложнее становится предсказать конечные цели преступников.
За последние 2 года наиболее популярными у атакующих стали программы-вымогатели LockBit 3 и Babuk, нередко злоумышленники используют их совместно для атак на различные программные платформы. Шифровальщик LockBit 3 стал уже своего рода автоматом Калашникова в среде вымогателей. Создатели этого «оружия» вряд ли могли предположить, что оно когда-то будет активно использоваться против России.
Эти программы-вымогатели используются атакующими для шифрования данных в различных целях: ради наживы или уничтожения инфраструктуры жертвы. При этом требование выкупа совершенно не означает, что целью атаки была только финансовая выгода. В том или ином случае деятельность предприятия нарушается, а вырученные финансовые средства могут идти враждебным России силам. Нередко сведения о совершенных атаках публикуются на популярных платформах, таких как социальная сеть X, Telegram и прочие. Похищенная информация продается и распространяется на площадках, посвященным утечкам, а содержащиеся в них персональные данные используются против граждан России. Растущая доступность «мануалов» и инструкций по проведению атак, а также инструментов и исходных кодов вредоносных программ еще больше способствуют стремительному росту количества злоумышленников. Все эти факторы усложняют атрибуцию преступных групп и определения преследуемых ими целей.
С начала 2025 года растёт количество политически мотивированных атак против России. Если в прошлом году мы видели много атак, где злоумышленники использовали программы-вымогатели для уничтожения данных, то в этом фиксируем больше атак, где злоумышленники не шифруют, а удаляют их, порой затирая дисковое пространство, разрушая дисковые массивы и тому подобное. Образно говоря, выжигают всё. Понятно, почему они это делают: во-первых, удалённые данные сложно восстановить, во-вторых, довольно сложно восстановить следы атаки. В процессе реагирования ты можешь найти виртуальную машину, которую использовали злоумышленники, просишь её предоставить для анализа – а её нет, удалили.
Киберпреступные группировки пытаются нанести не только материальный ущерб, но и репутационный. Вдобавок к атаке, которая нацелена на разрушение инфраструктуры компании, они проводят информационную атаки. Причём могут и дезинформировать: например, вбросить информацию об утечке данных такой-то компании, скомпилировав утечку. Потом эта компания начинает собственное расследование, проводит верификацию опубликованных данных и так далее. Да, хорошо, что жертва незамедлительно проводит расследование и действительно обнаруживает проблемы с безопасностью и латает их. Но бывает и так, что утечки действительно не было, а компания вынуждена тратить значительные ресурсы, чтобы отчитаться перед регулятором. Создают ещё и на этом направлении проблемы.
Не оставляйте данные без присмотра
Злоумышленники используют для атаки все слабости: и человеческие, и технические. Грамотно применяют приёмы социальной инженерии в фишинговых рассылках. Вводят в заблуждение сотрудников компании-жертвы, попадают на периметр, а дальше пытаются с использованием имеющегося уровня привилегий утащить ту или иную информацию.
Многие группы вымогателей работают по стандартной схеме. Они «пробивают» компанию, проникают внутрь и развивают атаку, после чего ищут чувствительные данные, важные документы, копируют их себе. Далее «разливают шифровальщик» и требуют выкуп и за дешифровку, и за непубликацию вот этих чувствительных данных. Обнаружить действия заурядной группы не так уж и сложно. Продвинутые группы действуют более грамотно и обнаружить их сложнее.
Атаки продвинутых киберпреступных групп могут быть замечены обычными антивирусами только на начальных или заключительных этапах. Однако это произойдет лишь в том случае, если жертва внимательно следит за предупреждениями антивирусных систем и анализирует их причины. Если атака обнаружена и остановлена на ранней стадии, ущерб будет минимальным. Чем позже выявляется атака, тем больше потенциальный ущерб. На определенном этапе защитные системы могут перестать быть препятствием для злоумышленников. После того, как они получают доступ к привилегированным учетным записям, атакующие обычно отказываются от использования легко обнаруживаемого вредоносного ПО и методов. Вместо этого они перемещаются по сети, используя легальные инструменты, которые есть в любой инфраструктуре: протоколы удаленного управления, командные интерпретаторы, скрипты и другие стандартные средства, которые сложно отличить от обычной активности пользователей.
Следующий этап — это тщательная разведка инфраструктуры и её уничтожение. Как только злоумышленники получат необходимый уровень привилегий, соберут информацию об архитектуре сети и выявят ключевые узлы, включая места хранения резервных копий, они выбирают момент для нанесения удара. На этом этапе они отключают антивирусные системы и распространяют программу-вымогатель или вайпер (инструмент для уничтожения данных).
Атакующие заметают цифровые следы, но могут проколоться в мелочах. Многие злоумышленники обладают компетенциями высокого уровня, могут красиво атаковать, используя различные техники, включая уклонение от обнаружения, противодействие криминалистике, чтобы инциденты с их участием было сложно расследовать и реагировать на них. Но они тоже люди и им свойственно ошибаться. Например, в начале нашего исследования Shadow мы заметили, что злоумышленники случайно ввели команду PowerShell, используя украинскую раскладку клавиатуры. Этот факт нас навел на определённые мысли, которые подтвердились, когда мы обнаружили фрагменты их переписки в одном из расследований. Кроме того, при анализе их инфраструктуры выяснилось, что некоторые серверы размещены на хостинге украинских провайдеров. Это лишь немногие данные, которых уже, на мой взгляд, вполне достаточно, чтобы сделать вывод о происхождении атакующих и их мотивов в современных реалиях.
Как и в реальном мире, при кибератаках всё, что плохо лежит, может быть украдено. Мы наблюдали практически во всех инцидентах, когда многие пользователи инфраструктуры – включая сисадминов, специалистов по информационной безопасности – небрежно относились к защите данных. Хранили логины и пароли к корпоративным и личным ресурсам в открытом виде, в текстовых файлах. И когда злоумышленники собирали эти данные и находили, например, логин и пароль от криптовалютной биржи, то пользовались этим. То есть наносили ущерб не только компаниям, но и их сотрудникам.
Без перехода на личности
Чем больше развивается кибербез, пропорционально этому растёт уровень киберпреступности. Появляются защитные инструменты, которые кто-то использует во благо, а кто-то во вред (такие как фреймворки Metasploit Framework, Cobalt Strike, Sliver и другие). Например, разрабатываются программы для проведения тестов на проникновение – и тут же их подхватывают злодеи. И самих злоумышленников становится больше, потому что растёт доступность инструментов для них.
Наше противоборство с киберпреступниками всегда происходит удалённо. Личный контакт – например, когда нас привлекают как специалистов для обысков – это скорее исключение из правил. Мы узнаём злоумышленников, а они – нас, по «почерку»: действиям, применяемым инструментам. В одном из кейсов с группировкой двойного назначения Shadow оказался скомпрометирован Telegram-аккаунт одного из сотрудников атакованной организации, злоумышленники видели, что за помощью обратились к нашей компании, и передали нам «привет».
Злоумышленники отговаривали своих жертв связываться с нами. Бывало, что те же Shadow писали атакованной организации: если будете работать с ребятами из этой компании, то стоимость выкупа для вас будет такая-то, а если без них, то в 10 раз меньше. А сумму требовали существенную. В какой-то степени это можно расценить как признание с их стороны. Да и наш отчёт по Shadow их комьюнити отмечало, на мой взгляд, позитивно, реагировало на него. По крайней мере, без перехода на личности.
В другом случае хакеры посоветовали обратиться именно к нам. Компанию атаковала группировка OldGremlin и они сами отправили жертву в нашу компанию со словами: эти специалисты знают, кто мы такие, и могут подтвердить наш уровень. Мы включились в реагирование на инцидент: тушили этот пожар, помогали в локализации и устранении последствий атаки, залатать дыры в безопасности.
Киберпреступники пытались атаковать и обладателей наших продуктов – через их партнёров. Были случаи, когда во время реагирования на подозрительную активность в защищаемой нашим Центром кибербезопасности сети клиента обнаруживались и немедленно выбивались Shadow. Двигаясь к точке входа и перехватив инициативу в реагировании, мы выявили, что злоумышленники развили атаку, находясь вне поля нашего зрения в доверенной клиенту сети. Однако своевременное обнаружение злоумышленников способствовало защите от катастрофических последствий не только для нашего клиента, но и для его партнера.
Злоумышленники могут находиться в инфраструктуре, как вирус в теле жертвы, и ждать своего часа. После череды ребрендингов, когда Shadow стала действовать под именем DarkStar, атак стало поменьше, их жертвы уже не такие крупные – это что мы видим сейчас. Возможно, они по сей день сидят в инфраструктурах различных IT-компаний, а в своём сообществе наверняка делятся доступами к очередным жертвам.
Атака с использованием программы-вымогателя – ЧП для любой компании. Когда проводится атака вымогателей, бизнес-процессы останавливаются, нарушается логистика, могут возникать задержки с выплатой зарплаты, могут появиться претензии со стороны надзорных органов. Словом, ущерб колоссальный, компания парализована. Есть примеры, когда простой компании из-за атаки вымогателей достигал нескольких недель.
«Если меня нет в офисе, офис всегда со мной»
В чём сила нашей команды? В борьбе с киберпреступностью – так мы видим нашу миссию. А наша цель – помочь компаниям построить защиту и обеспечить безопасность данных. Когда помощь нужна здесь и сейчас, наша Лаборатория всегда готова помочь: обнаружить потенциальных злоумышленников в инфраструктуре, провести реагирование на инцидент, оценить готовность к реагированию, провести киберучения в формате Purple Teaming, и многое другое умеем. Всё делаем оперативно, качественно, с душой и в любое время суток. Без шуток, много случаев, когда в нашу компанию обращаются за час до полуночи. Естественно, все ребята, кто на дежурстве, кто на связи, включаются в работу до победного конца.
Взаимовыручка у нас в ДНК. В сутках 24 часа, и атака может начаться в любой момент. Нередко к нам в Лабораторию приходят, когда у компании, скажем так, уже всё «сгорело». Но всё чаще просят помочь, когда атака ещё в процессе и злоумышленники не достигли конечной цели. И мы включаемся – и ночью, и в выходные. Поэтому, если меня нет в офисе, офис всегда со мной. Телефон – на связи, ноутбук – под рукой. Конечно, в горы или в лес я ноутбук не беру. Обычно он ждет меня в «лагере». Там, где есть интернет, я всегда готов включиться в работу.
Однажды в полпервого ночи, когда был в отпуске на рубиновой свадьбе моих родителей, позвонил сейл: у клиента инцидент. Раз нужна срочная помощь, праздник закончен. Достал ноутбук и всю ночь вместе с ребятами, кто ещё не спал, отбивали атаку, помогли. Если так сложились обстоятельства, что никто не может включиться в реагирование по тем или иным причинам, например, кто-то за городом без связи, кто-то в дороге, а я дома – конечно, включаюсь. Потом этот кейс я передам свободному специалисту, но весь первый объём данных отработаю сам, дам рекомендации клиенту, помогу локализовать инцидент и сделать всё необходимое.
По итогам реагирований мы с коллегами готовим отчёты, которые ориентированы на специалистов широкого круга. Включая руководителей служб безопасности, специалистов по информационной безопасности и реагированию на инциденты, аналитиков SOC, занимающихся проактивным поиском угроз, а также IT-специалистов и других. Отчёт позволяет познакомиться с мотивацией той или иной группы, узнать используемые ими тактики, техники, процедуры, а также инструменты, по которым можно обнаружить их активность.
«Не вы поймали, а вас»
Мой прогноз на мир кибербеза через 10 лет – преступлений станет больше, но их мотивы не изменятся. Вымогательство, кражи, шпионаж и другие. Возможно, появятся новые виды преступлений благодаря развитию технологий. Количество атак во многом зависит от геополитической обстановки, сейчас вряд ли кто-то сможет дать уверенный прогноз на этот счёт.
Тем, кто начинает интересоваться реагированием на инциденты, я рекомендовал бы в первую очередь прочитать книгу Олега Скулкина «Шифровальщики». Она даёт прекрасное понимание, погружение, как это работает. Ну а потом уже можно прочитать книгу Ребекки Браун и Скотта Робертса «Реагирование на инциденты на основе аналитических данных» («Intelligence-driven incident response»). Ну да и много всего нужно читать: наши профильные блоги по атакам, аналитику – просто чтобы владеть текущей обстановкой, знать, каким образом современные злоумышленники атакуют компании. Чтобы не получилось, как с теми серьёзными, уважаемыми в определённых кругах специалистами, от которых порой слышишь: мы поймали шифровальщика. Да не вы поймали, а вас поймали! Это человекоуправляемая атака, она не сама по себе откуда-то взялась.
Для того, чтобы у нас работать, нужно быть достаточно эрудированным и стрессоустойчивым. Если кратко, то кандидатам необходимо обладать знаниями в цифровой криминалистике, понимать, как устроены операционные системы, в результате каких действий может быть оставлен тот или иной след, из чего состоит жизненный цикл атаки и тому подобное. Большой плюс для кандидата – понимание устройства корпоративной ИТ- инфраструктуры: как работает домен, какие протоколы могут использоваться и так далее. Вместе с тем важно, когда кандидат стремится к новым знаниям и опыту, у него глаза горят. Команда, которая у нас сейчас сложилась, именно такая: все ребята заряженные, мы нацелены на результат – помочь и защитить.
Мой рецепт цифрового детокса: я стараюсь не читать то, что отвлекает и раздражает. Поэтому я очень неактивный житель социальных сетей. Отстраняюсь, дистанцируюсь от информационного шума. Оставляю доступ только тем данным, которые важны для меня. Включая всё, что касается актуального ландшафта угроз. Чтобы конкурировать с компетентными конкурентами, нужно всегда быть на острие. Конечно, для того, чтобы выдержать такой ритм, нужно постоянно находить для себя источники внутренней силы, вдохновения.
Меня вдохновляют горы. Их величие. То ощущение, которое испытываешь в горах, когда перед тобой такая громадина, а ты всего лишь песчинка на её фоне. Вдохновляют океаны – это невероятная красота. А в работе вдохновляет больше всего то, что смог помочь.
