Профайл:
Имя: Артем Артемов.
Должность: Руководитель Лаборатории компьютерной криминалистики в европейской штаб-квартире Group-IB (Амстердам).
Профессия: Digital Forensics Analyst
Образование: Инженер-математик. Окончил МИРЭА по специальности «Прикладная математика».
Возраст: 37 лет.
Чем известен: 14 лет опыта в цифровой криминалистике, в расследовании компьютерных инцидентов и реагировании на сложные инциденты по всему миру. Принимал участие в расследовании деятельности таких преступных групп, как Carberp, Anunak, Buhtrap, Corcow, Cobalt, MoneyTaker, Cron. Артем выступал ведущим криминалистом во многих резонансных делах. Из тех, что известны всем, например, расследовании накруток голосов в шоу «Голос.Дети». До отъезда в Амстердам вел авторские курсы по цифровой криминалистике в МГТУ им. Баумана, ВШЭ, МИРЭА, РАНХиГС и Академии МВД. Теперь читает лекции в европейских учебных заведениях, например, в University of Twente и Caland Lyceum.
Про компьютерную криминалистику, математиков и цифровые следы
С ноября прошлого года я руковожу Лабораторией компьютерной криминалистики в нашем европейском офисе в Амстердаме. В Европе работать и легче, и сложнее одновременно. С одной стороны, здесь меньше бюрократии — если происходит инцидент, например, атака программы-шифровальщика, клиенту достаточно прислать нам письменное подтверждение: “Согласны на ваши условия — начинайте работать!” и все сразу закрутится-завертится без долгих этапов согласований. С другой стороны, в Европе сильнее конкуренция и более строгие требования к Incident Response (Incident Response – это мероприятия по реагированию на инцидент информационной безопасности). Ещё один плюс в том, что полиция европейских стран работает быстрее и, как мне кажется, больше заинтересована в раскрытии каждого дела, поэтому довольно легко идет на взаимодействие с нами. Это ситуация win-win: если мы на месте получаем новые данные о локальных киберугрозах, группах и инструментах, то улучшаем наши продукты для сбора данных об атакующих, проактивной охоты за хакерами и защиты сетевой инфраструктуры, а, значит, можем предотвращать ещё больше новых преступлений.
Любое новое дело для меня это — задачка, а математики любят сложные задачи. Если какого-то элемента в моем пазле не хватает, это сводит меня с ума: «Вдруг я что-то упустил? Вдруг где-то не доработал?». Важно собрать пазл целиком — до последнего кусочка. Каждая найденная цифровая улика приносит новую дозу адреналина, и дофамина, и эндорфина. Разгадывать загадки — всегда интересно, но еще большее удовольствие доставляет, когда доводишь дело до конца.
Моя основная задача как компьютерного криминалиста — исследование цифровых носителей. Ноутбуки, смартфоны, диски, флешки… все, что угодно. Даже умный холодильник, подключенный к интернету, тоже оставляет цифровые следы. Вот вы можете не знать, как за вами следят потихоньку, что вы едите. Проще говоря, наша задача — найти улики, следы преступников в цифровом мире. Если раньше криминалистика занималась расследованием преступлений в материальном мире — офлайне: эксперты снимали отпечатки пальцев, анализировали следы пепла или пороха, образцы тканей и так далее, то в век развития информационных технологий появилось новое направление. Теперь мы ищем цифровые «отпечатки» в киберпространстве. Мы - киберкриминалисты.
Представьте, что произошла атака на большое промышленное предприятие. Мотив — шпионаж. Мы копаемся на хостах и в сети, день, второй копаемся — и не понимаем, как увели информацию. На третий день хватаемся за небольшую зацепку, от нее попадаем на какой-то левый сервер, начинаем копать и буквально минут за сорок находим следы заражения и куски знакомого кода. Несколько дней ты находишься буквально в прострации, и вдруг наступает озарение! Начинаешь искать данные, чтобы доказать свою же теорию, поднимаешь записи видеокамер. И все совпадает: к офису подруливает машина, человек внутри открывает ноутбук и в это время идет подключение к сети организации через их wi-fi точку. Да, да, хакеры любят wi-fi. Атакующие пробиваются внутрь, в определенное время вся коммуникация заканчивается, машина уезжает. Щелк. Пазл сложился. Мы сделали это!
Group-IB и "Люди в черном"
Первое мое впечатление от Group-IB — “люди в черном”. Вообще я работаю экспертом- криминалистом довольно давно — с 2007 года. Однажды в 2011 году один из моих коллег отправился на выезд в спорткомплекс “Олимпийский” — там прямо во время футбольного матча нужно было решить одну техническую задачу. Параллельно с ним на место приехали какие-то ребята в черных костюмах с чемоданами криминалистического оборудования. У него небольшой шок был: что это еще за “люди в черном”? Через несколько месяцев мой коллега уходит к ним — в Group-IB — на работу, а потом зовет меня: “Тёма, здесь прям круто, давай к нам”.
Честно признаюсь, было страшновато уходить в частную компанию, которая тогда еще была фактически стартапом, но в Group-IB я увидел совершенно другой уровень криминалистики. Пришлось учиться на ходу у коллег и все делать самому: разбираться, как произошло заражение, какие следы оставил вирус, что делали атакующие в сети и как выводили деньги — восстанавливаешь всю картину преступления по шагам. Кроме форенсик-методик, которые использовали в Group-IB, в компании зарождались технологии слежения за киберкриминальным миром. Это позволяло ускорять расследования, быстро сопоставлять полученные результаты с эпизодами в прошлом… Для меня это было кино, Голливуд. При этом появилась свобода в ресурсах: технических, образовательных. И свобода во времени. Ты мог заниматься делом столько, сколько тебе потребуется для его решения.
Я еще застал эту традицию — человеку, который приходил на работу в Group-IB, выписывали определенную сумму на покупку делового костюма. И мы в этих строгих черных костюмах должны были ездить к клиенту. Плюс у нас был большой черный чемодан, в котором лежали устройства для снятия криминалистических образов, жесткие диски, шнуры и переходники. Со временем выездов стало все больше и больше: утром летишь в Самару, вечером возвращаешься обратно в Москву, через день летишь в Бангкок. Мы стали ездить просто с сумками и рюкзаками, потому что это удобнее, чем таскать огромный чемодан, потом от костюмов тоже начали постепенно отходить — потому что нельзя все время держать костюм под рукой. Но такая традиция была и она запомнилась...
Про первые расследования, цифровизацию преступности и главную мотивацию хакеров
Отлично помню одно из моих первых дел — как эксперт-криминалист я участвовал в задержании одного из организаторов группы Carberp. От их действий пострадали клиенты 100 банков по всему миру, только за три первых месяца 2012-го киберпреступники похитили минимум 130 млн рублей. Злоумышленник жил на 15-м этаже 16-этажного дома, на юге Москвы. Раннее утро, примерно половина седьмого. У нас была цель попасть в квартиру таким образом, чтобы у него еще работал компьютер. Для этого часть группы захвата заходила в квартиру через окна. “Мы услышали грохот. Сильный грохот. Дверь квартиры открылась, и мы забежали внутрь. В темноте рыскали красные точки лазерных прицелов, слышался звон падающих на пол осколков разбитых окон, и раздавались крики: «На пол!», «Включите свет!». Подозреваемый ползал по полу коридора в трусах и визжал. Я осмотрелся: на рабочем столе в комнате стояли ноутбук и моноблок, раскиданы флешки и телефоны”, — так я писал в отчете по итогу операции, который потом цитировал Forbes. Задержанный был «дроповодом», то есть руководил людьми, которые занимаются выводом и обналичкой украденных денег. В квартире мы нашли много мобильных телефонов, флешек, — всего, что нужно для дроповодства. Потом я же исследовал его компьютер, это уже было дело чести для меня — мы его вскрыли, нашли виртуальные машины, всю переписку с его подельниками — все, что было нужно следствию. Напомню, что это был 2011 год, хакеры тогда были слабее и медленнее, чем сейчас, да методы борьбы с ними – примитивнее. И с тех пор мы не просто параллельно с ними развиваемся, но и обгоняем их с помощью наших технологий. Это высший пилотаж — предотвращать киберпреступления еще на этапе их подготовки.
Сразу скажу, Group-IB — не полиция, поэтому не имеем права задерживать людей, проводить обыски и тд. Но по российскому законодательству при изъятии техники должен присутствовать технический специалист. Поэтому нас привлекают в качестве экспертов при задержании и обыске у подозреваемых. По УПК в вещдоки нельзя вносить никаких изменений: если было три грамма какого-то вещества, должно остаться три грамма. То же самое с информацией: было какое-то количество байт, то новых появиться не должно. Если просто подключить жесткий диск к чужому компьютеру, останутся следы о подключении и на компьютере, и на жестких дисках. С помощью наших криминалистических инструментов — не остается никаких следов. Мы сняли копию, с которой можно работать, восстанавливать информацию, а оригинал опечатывается и убирается в сейф — как главный вещдок до суда, куда нас также приглашают в качестве экспертов. За все годы, что существует наша Лаборатория компьютерной криминалистики, у суда не было ни одного отвода эксперта из Group-IB.
Есть много историй о том, как классическая преступность перешла в “цифру”. Одна банда в Москве скручивала номера у автомобилей и потом требовала от владельцев выкуп за то, чтобы их вернуть. В какой-то момент, когда все столичные дворы и улицы нашпиговали камерами видеонаблюдения, преступники поняли, что риски выросли. И их скоро поймают. Они переключились на рассылку программ-вымогателей, которые шифруют компьютеры, и требуют от жертвы выкуп в криптовалютах. Другой пример: мошенник-рецидивист занимался рейдерскими захватами, в СИЗО он познакомился с парнем, который разбирается в компьютерах и понял, где можно заработать. Они набрали персонал и сняли офис в Москве под вывеской «Восстановление данных», но на самом деле их работа заключалась в том, чтобы удаленно заходить на компьютеры, зараженные вирусом Carberp, и переводили деньги с чужих счетов на свои счета. Масштабы росли, что они даже задумывались о том, чтобы нанимать разработчиков из Китая или Индии — перевозить их в Москву.
Очень часто — особенно от иностранных журналистов - приходится слышать, что русские хакеры — “самые крутые”. Зачастую это миф, хотя бывают и исключения. Несколько лет назад до 40% заражений по всему миру происходило с помощью экслойт-кита (набор эксплойтов, платформа для незаметного распространения вредоносных программ) под названием Black Hole. Собрал его житель Тольятти, которого называли Punch. У него был очень клиентоориентированный бизнес: в Black Hole постоянно добавлялись новые эксплойты и удалялись старые, которые легко детектировались антивирусами. Была у Punch мечта купить белый Porshe и он ее осуществил. Но потом жаловался на форуме автомобилистов, что из-за большого живота поцарапал пряжкой ремня новенький руль — эта деталь помогла вычислить владельца. Пришлось Punch сесть на диету. В апреле 2016 года он получил 7 лет лишения свободы в колонии общего режима.
Организаторы преступных групп, которых мы задерживаем, очень часто не являются технарями — они сами не пишут код и не взламывают банки. При этом они —организаторы, управленцы, которые стараются в виртуальном мире построить криминальную пирамиду — иерархию из мальчиков-гиков, технических специалистов, заманивая их большими деньгами. Яркий пример — группа Cobalt, которая за 2 года украла около 1 млрд евро у 100 банков по всему миру. Cobalt специализировалась на целевых атаках на банки, а деньги выводили через систему управления банкоматами, систему межбанковских переводов (SWIFT), платежные шлюзы и карточный процессинг. В апреле 2018 в испанском городе Аликанте был задержан один из руководителей этой группировки. Сначала в СМИ прошла информация, что это лидер и что группа ликвидирована. Но буквально на следующий день продолжились фишинговые рассылки от Cobalt. На самом деле был задержан один из лидеров, связанный с обналом (обнальщиков и мулов ловят чаще всего), а технари остались на свободе. То есть группа довольно живучая, с достаточно независимой системой управления. Если кого-то хлопают — подключается другой. Ну а сейчас все такие группы переключились на "партнерки" с операторами шифровальщиков. Но это — другая история.
Случается, что технари-разработчики не знают, что они работают на cybercrime. В мессенджере или на форуме им ставят задачу: нужно написать вот это и вот это. Ребята догадываются, что делают что-то не совсем законное, но не знают, кто и где будет использовать их разработку. Однажды мы участвовали в задержании одного очень непутевого парня из Самарской области. Когда его задержали и начали допрашивать — он сразу во всем сознался: да, я писал инжекты под банковские ресурсы, чтобы эти окна всплывали поверх на страницах сайтов банков. И когда он понял, что ему платили по сто долларов, а на этом зарабатывали миллионы, он был неприятно удивлен и расстроен. Ему, кстати, дали условно.
Раньше киберпреступникам часто давали условные сроки. Тогда, в 2010- 2012 годах еще и судьи не понимали, как с этим работать. Если человек украл 50 000 рублей из ларька — это сразу точно срок. А если несколько миллионов с помощью какой-то "цифровой магии" — то это условно. Сейчас уже появились следователи, судьи, которые хорошо разбираются в делах о киберпреступлениях. В закон внесены соответствующие поправки, работает 272 и 273 статья УК РФ, есть дополнение к 159 статье. А раньше часто приходилось всё подробно объяснять, что такое компьютер, диски.
Жажда денег — это главный мотив киберпреступника. Если он однажды заработал за неделю 20 млн рублей, потом еще 30 млн рублей и ему это сошло с рук, включается жадность. Он уже психологически не может перестроиться на обычную работу за 60 000 рублей. Вот история двух братьев из Санкт-Петербурга. Первый раз их задержали в 2011 году — с помощью фишинга они увели у клиентов российских банков 15 млн рублей. Дали 6 лет, но условно. Они вышли и практически сразу начали заниматься тем же самым. С марта 2013 по май 2015 года их группа получила доступ к сотням счетов клиентов ведущих российских банков и похитила более 12,5 млн рублей. При этом братья уже подготовились к новому аресту: переехали в новую квартиру, с большой железной дверью, купили электромагнитную пушку (она накапливает заряд и при нажатии кнопки разряжается в то, к чему подключена, допустим к жесткому диску – он тут же размагничивается). И вот, на них снова вышли. Так получилось, что первого брата мы поймали на лестничной клетке между этажами. Он успел отправить второму смс с кодовым текстом: «Я люблю тебя, Лола». Тот заперся в квартире, на призывы открыть отвечал: «Не-не-не», размагнитил пушкой жёсткий диск с уликами. После этого побежал сливать в унитаз и флешки, и даже деньги – полмиллиона рублей пятитысячными купюрами намертво забили санузел.
Сложно составить портрет среднестатического киберпреступника, они разные, но их объединяет одно — деньги. Вот один тип: человек лет тридцати, накачанный, играл в хоккей, завсегдатай ночных клубов, где мог потратить за ночь 100 000 рублей. Это был довольно эпатажный человек, он не знал уже, куда тратить деньги. Когда у него отняли права, он просто через окно высовывал ДПС в окно пятитысячные купюры. Другого — пухленького паренька 25 лет, который на несколько минут смог положить DDoS сайт серьезной финансовой организации, задерживали в далеком городе Саянске, от Иркутска км 300. Обычный дом. Позвонили, открывает мама. Заходим к нему в комнату, там компьютер, два монитора: на одном развернута панель управления DDoS-бота, в котором уже вбит адрес потенциальной жертвы. На втором — переписка с заказчиком DDoS. Мы спрашиваем: “Зачем ты это делаешь?”. “У нас можно либо на шахте, либо на птицефабрике работать. Кур не люблю — у меня аллергия. На шахту тоже как-то не хочется”. За DDоS он получил около трех тысяч долларов. Для этого города сумма, как вы понимаете, фантастическая.
За последние годы киберпреступность вообще сильно изменилась. Теперь группы хакеров более быстрые и технологичные, они не ограничены в перемещениях, могут находиться в любом месте планеты и атаковать жертву на другом конце земного шара. Стало гораздо меньше одиночек, все больше группами работают, объединяются. Кроме того, хакеры все больше начинают пользоваться легальными инструментами, которые используют аудиторы, пентестеры, системные администраторы — они пытаются маскироваться, чтобы как можно дольше оставаться незамеченными. Сейчас при наличии денег киберпреступники могут купить себе любой хакерский инструментарий — вплоть до разработок спецслужб. Взломать можно что угодно, а возможности хакеров зависят от того, сколько денег они готовы вложить. Большинство организаций, госучреждений, частных компаний сильно отстают в уровне защиты.
До того, как три волны вирусов-шифровальщиков WannaCry, NotPetya и BadRabbit — а это была настоящая эпидемия — погрузили мир в состояние хаоса, к киберпреступлениям относились так, как будто они не совсем настоящие. Понимание опасности приходит с опозданием, к сожалению. Если до 2018 года шифровальщики использовались, как средство вымогательства денег — то здесь атаке подверглись стратегические объекты: метро, аэропорты, госучреждения, ГИБДД, которое перестало выдавать права. После этой атаки компьютер проще выкинуть, чем восстанавливать. Фактически это было тестирование нового кибероружия — часть инструментов использовалось с утечек АНБ, за которыми стоят прогосударственные хакерские группировки. Сейчас же о шифровальщиках знают практически все. Злоумышленники не только шифруют компании с требованием выкупа, но ещё и похищают критически важные конфиденциальные данные организаций, требуя выкуп ещё и за то чтоб не опубликовать их в открытом доступе. Например на днях, за день до презентации новой продукции Apple группа REvil выложила в открытый доступ чертежи, похищенные у партнера-разработчика - Quanta Computer.
Про будни компьютерного криминалиста и переезд в другую страну
Когда я начал работать в Group-IB, первые год-два, то мы всегда ориентировались на зарубежные наработки, тактики, ведь там, например, в Англии, США уже были признанные лидеры на мировом рынке информационной безопасности. А потом мы начали сталкиваться с ними в некоторых проектах. Оказалось, что мы не хуже, а в каких-то аспектах даже лучше. Был случай, когда мы приехали в один банк, где произошел инцидент. До нас там уже поработала команда реагирования из зарубежной компании. Они что-то нашли, но очень мало, какие-то крохи. Мы взялись за дело, думая, что ну нам здесь, вероятно, тоже ловить нечего. Но за первую неделю мы полностью нашли и восстановили всю цепочку следов — как началось заражение, с какими инструментами работали преступники… Заказчик был в шоке. Так мы поняли, что мы не просто можем, мы лучше. И такие ситуации происходят все чаще. Мне кажется, что зарубежные компании, их специалисты привыкли работать по стандартам и шаблонам. То есть у них есть уже какое-то программное обеспечение, с которым они работают, проверенные алгоритмы. И они придерживаются одной стратегии. А у нас такой, более свежий взгляд, мы с самого начала стремились нетривиально решать все проблемы, с которыми сталкивались.Иногда мы слышим отзывы о себе от тех же иностранных компаний: а, здесь работали Group-IB, ну тогда, скорее всего, они все уже нашли. Здесь возникает чувство, что никаких авторитетов больше нет, что мы можем сами и гораздо лучше.
В группе по реагированию обычно работают 2-3 человека — один криминалист, один вирусный аналитик и как правило, еще один криминалист. Наша работа происходит так: кто-то выдает теорию, пытаемся ее подтвердить или опровергнуть. Это не просто какая-то версия, а именно теория — потому что теорию можно доказать. Если ты даешь теорию — значит, у тебя точно есть варианты, как доказать, что это так. Либо доказать, что это не так. Теория проверилась — идем дальше: либо да, либо нет. Одновременно с этим другой криминалист читает огромные простыни журнальных файлов, пытается зацепиться за какой-то момент, который может быть интересен. Любое действие журналируется — включение компьютера, сбой приложения, удаленное подключение к вам — все это где-то прописывается. И даже факт того, что журналы были удалены или очищены в определенное время — для нас это уже очень о многом говорит. Находим момент, за который как за якорь можно здесь закрепиться. Мы знаем, что здесь удалены журналы — значит, нужно проверить, что было в это время и посмотреть, на каких машинах еще удалены журналы. Это уже будет база.
У каждой преступной группы есть свой почерк, набор инструментов, способы атаки. И, если мы почерк узнаем, то уже можем определить алгоритм действий. Хакеры знают, что мы их ищем, поэтому пытаются лучше скрывать свои следы, подчищать за собой все, что можно подчистить. Кому-то может показаться, что работа у нас очень скучная: мы идем по следам. Но точно также, как работал Шерлок Холмс: ищет факты, на их основе выстраивает теории и подтверждает их или опровергает. Но мы все равно найдем то, что было удалено, либо построим атрибуцию, основываясь на исторических данных.
Мы ищем странное. В этом случае это было событие, зафиксированное в журнале системных событий. Выделяющаяся из остальных. Давай-ка посмотрим, что на этом сервере происходило в этот промежуток времени. Это мы уже умеем делать, как криминалисты — что там, какие программы запускались. И мы видим, что там был определенный доступ. Вирусный аналитик в это время разбирает странный код, который мне не понравился.
Всегда очень интересно находить новые вредоносы, которые никто не знает и нигде не видел. Я вижу программу, которая в определенный момент загрузилась, и начало происходить что-то странное. Но она никем нигде еще не детектируется. Отдаем нашим вирусным аналитикам, они разбирают, говорят: “Да, это 100% новые вредонос. А как мы его назовем? “И в этот момент, когда они спрашивают, как мы его назовем — на их лицах читается абсолютное счастье.
Идея переезда в другую страну зародилась у меня очень давно. Вернее поселил её в моей голове один наш бывший сотрудник. В 2012 году, когда наша Лаборатория еще теснилась в небольшом кабинете, он вошел что-то спросить и на прощание задержался в дверях, обернулся, обвел нас взглядом и сказал с видом оракула: “Смотрю я на вас и вижу в каждом руководителя какого-то зарубежного офиса”. С тех пор эта мысль была со мной где-то на фоне, она превратилась в мечту. А в Group-IB принято визуализировать и исполнять мечты. Нидерланды — прекрасная страна с высоким уровнем жизни. Живописные каналы, много зелени, пенье птиц. Никаких пробок [в городе], все пересели с авто на велосипеды. Здесь легче поддерживать то, что называется модным словом work-life balance. Плюс командировки в Италию, Швейцарию, Германию.
C 2012 примерно года я еще и преподаватель. Мы обучаем по большей части не студентов, а безопасников — тех, кто уже работает в банках или больших организациях, они знают, как у них все выстроено и как все здорово. И вдруг они узнают, как это в мире все сейчас на самом деле происходит. У многих открываются глаза. Вообще, преподавать это приятно. Студентам — приятно вдвойне. После нашего расследования по “Голосу” как-то меня пригласили выступить на конференции МВД — обсуждали компьютерную криминалистику, новые техники взломов, трояны и т.д. А потом ко мне подходил полковник и шепотом спрашивает: “Ну, что там было с “Голосом”? Вбросили?”
Для того, чтобы погрузиться в профессию или прокачаться как Digital Forensics Analyst, советую посмотреть этот небольшой, но весьма полезный список литературы, которую собрал мой коллега Игорь Михайлов, в том числе там несколько книг, которые опубликовал Олег Скулкин (на фото справа). Кроме того, рекомендую внушительную подборку материалов криминалиста Кевина Пагано ( Kevin Pagano), Digital Forensics Analyst at Siemens Healthineers. Тут вы найдете ссылки на полезные криминалистические утилиты, плакаты и постеры, RSS-рассылки и блоги, тестовые образы для тренировки, подкасты и влоги. Очень полезно — берите на заметку!
Как стать Digital Forensics Analyst? Серия практических онлайн-курсов разных уровней погружения по проведению криминалистического анализа зараженных хостов. Чтобы помочь вам и вашим ИБ-специалистам бороться с участившимися атаками, эффективно проводить криминалистические исследования и противодействовать киберинцидентам в будущем, Group-IB запустила серию технических обучающих курсов по компьютерной криминалистике для специалистов разного уровня подготовки — от новичков до экспертов.
И по традиции, начатой в предыдущей публикации нашего проекта о профессиях и специалистах Group-IB, еще одно важное объявление. Group-IB усиливает команду технических специалистов: стань частью команды и меняй мир вместе с нами! Сейчас открыто 120+ вакансий, в том числе 60 – для технических специалистов. Подробности тут. Group-IB — это новое поколение инженеров. Мы воплощаем смелые идеи, создавая инновационные технологии для расследования киберпреступлений, предотвращения кибератак, слежения за атакующими, их тактикой, инструментами и инфраструктурой.
Присоединяйся!
