Соскучились по нашему проекту “Киберпрофессии будущего”? Мы тоже. Возвращаем должок и продолжаем рассказывать о ведущих специалистах Group-IB, об их работе, исследованиях и реальных кейсах, о том, как они пришли в профессию, которой не было, и как научиться тому, что умеют они. В конце материала, как обычно, дадим ссылку на актуальные вакансии Group-IB. И пусть вас не пугает, что пока знаний не хватает и где их получить — непонятно. Наш ответ — в бою. Приходите, учитесь и получайте новую востребованную профессию. Так поступил наш сегодняшний гость — знаковая фигура не только в российской, но и в международной цифровой криминалистике — Олег Скулкин.
Профайл Имя: Олег Скулкин.
Должность: Руководитель Лаборатории цифровой криминалистики Group-IB.
Профессия: Digital Forensics Analyst, Incident Responder, Threat Hunter, Threat Intelligence Analyst.
Возраст: 33 года.
Образование: Окончил Сочинский госуниверситет СГУ по специальности «Иностранные языки» (кандидат филологических наук), а также Восточную экономико-юридическую гуманитарную академию по специальности «Прикладная информатика».
Чем известен: Более 10 лет работает в сфере информационной безопасности, соавтор 4 книг по форензике (скоро их будет еще больше), обладатель престижных сертификатов GIAC Cyber Threat Intelligence и GIAC Certified Forensic Analyst.
Соцсети: https://twitter.com/oskulkin
Вообще довольно трудно предугадать, как сложится день криминалиста. Бывает, что ты утром просыпаешься без будильника, пьешь кофе, собираешься спокойно на работу и в офисе уже определяешься с коллегами, что и кому нужно сделать. Но если происходит атака, то ты хватаешь рюкзак и летишь — в другой город или страну — помогать клиентам. Ты можешь работать несколько дней подряд почти без сна, а можешь закрыть кейс за день или даже пару часов.
В этом году работать я начал в 7 утра 1 января — и да, мне удалось сэкономить заказчику несколько сотен тысяч долларов. Одна очень крупная российская компания пострадала от рук операторов одной из программ-вымогателей. Несмотря на то, что злоумышленники провели в скомпрометированной сети несколько месяцев, нам удалось быстро идентифицировать метод первоначального доступа и инструментарий атакующих, включая оставленные бэкдоры. И самое главное, благодаря моим талантливым коллегам мы смогли расшифровать данные, оставив шифровальщиков без выкупа и сэкономив заказчику несколько сотен тысяч долларов. Так что год начался прекрасно.
Не было ни одного дня, чтобы я пожалел, что связался с кибербезопасностью. Помню, в августе 2018 года мы столкнулись с необычной атакой на российский филиал крупной американской компании. Атакующие накрыли всю сеть — серверы и рабочие станции — программой-вымогателем Ryuk. В то время практически 100% атак с использованием вымогателей начиналось с компрометации публично доступного RDP-сервера, поэтому нас буквально поразил тот факт, что атака началась с фишингового письма. Более того, набор тактик, техник и процедур, который мы увидели, был совершенно не свойственен подобным атакам того времени. Сейчас никого не удивишь, например, использованием ботов для получения первоначального доступа к сетям: об этом пишут все кибербез-компании. Но тогда это было в новинку.
На том респонсе выяснилось, что в сеть атакующие попали через американский офис, причем там так быстро в панике начали перезаливать хосты, что мы едва смогли наскрести достаточно следов, чтобы установить этот факт. Помогла почта, которая, к счастью, хранилась в облаке. Так мы установили, что пользователь одной из машин, которая была источником вредоносной активности, накануне получил письмо с вредоносным документом, использовавшимся для доставки бота Emotet (через него загружали другой бот — TrickBot, а после в ходе пост-эксплуатации распространяли программу-вымогатель Ryuk). Обычно у нас под рукой всегда есть данные киберразведки — либо публичные, либо закрытые — и мы с ними работаем. Но здесь никаких подсказок не было — мы работали фактически с чистого листа.
Мы не участвуем в переговорах с вымогателями
В моей картине мира первыми вымогателями, которые целенаправленно атаковали корпоративные сети, были участники иранской группы SamSam. Они начали в конце 2015 года: эксплуатировали RDP-серверы и накрывали сетку, а потом просили довольно крупный выкуп. К 2018 году эти парни заработали почти 6 миллионов долларов. За ними подтянулись Dharma — они активны и по сей день. В 2017-м операторы Dridex начали атаковать корпоративные сети и распространять BitPaymer. А в 2018 году операторы TrickBot объединились с Emotet — и пошло-поехало. Расцвет пришелся на 2019 год. Пришли люди с деньгами и возможностями, которые принялись работать по “партнеркам” — RaaS (от англ. Ransomware-as-a-Service, «программа-вымогатель как услуга»).
В том же году операторы Maze придумали новую форму шантажа. Они стали выкладывать данные своих жертв на DLS (Dedicated Leak Site) — ресурсы в даркнете, на которых вымогатели публикуют похищенные данные компаний, отказавшихся платить выкуп. В 2020 году в мире начался Big Game Hunting (атаки на крупные компании с целью получения значительного выкупа). Число атак шифровальщиков взлетело на 150%, среди жертв оказались Garmin, Canon, Campari, Capcom и Foxconn. Сумма выкупа увеличилась почти вдвое — до $170 000. Самыми жадными оказались Hive — они потребовали от MediaMarkt выкуп в $240 млн. И вдруг в 2021−2022 годах стало ясно, что лиц, вовлеченных в подобные атаки, можно привлекать к ответственности. Самый показательный пример — арест партнеров REvil в России. Правда, нам пока не до конца понятно, кто эти задержанные: операторы или те, кто организовывал отмыв и обнал. Но теневые форумы застонали — это факт.
Большое заблуждение считать, что после ареста REvil все остальные вымогатели сразу же испугались. За те две недели, что прошли с момента их задержаний, операторы и партнеры LockBit, Cuba, Hive, Snatch, RansomExx, Everest, Avos и Conti выложили на DLS данные примерно 60 компаний. Среди них были жертвы из Великобритании, Китая, Италии, Испании, США, Франции, Германии и других стран. Так что о закате шифровальщиков говорить пока еще рано. 70% инцидентов, над расследованием которых работает наша лаборатория, приходятся на атаки с использованием программ-вымогателей. Думаю, эта тенденция сохранится и в текущем году.
Нам удавалось восстановить зашифрованные данные, но это редкость. Иногда злоумышленники могут не очень корректно написать код, что позволяет нам получить ключ для расшифровки. Если же расшифровать не удалось, резервных копий нет, а данные украли, то многие организации считают, что выход только один — заплатить. Но, думая так, вы должны понимать: таким образом вы финансируете киберпреступность и мотивируете группы продолжать подобную деятельность.
Мы не участвуем в переговорах с преступниками, но можем порекомендовать клиентам “переговорную позицию” для снижения суммы выкупа. На моей практике удавалось скинуть с пары миллионов до нескольких сотен тысяч долларов при условии оплаты в тот же день. При этом нужно помнить, что заплатившая компания может быть вскоре атакована повторно, впрочем, как и незаплатившая, поэтому после расшифровки или восстановления нужно корректно отреагировать на инцидент, чтобы убедиться, что у атакующих больше нет доступа к скомпрометированной ИТ-инфраструктуре. Были случаи, когда компании шифровали дважды за несколько месяцев, поэтому после первого инцидента безопаснику расслаблять булки точно не стоит.
Остановить шифровальщиков сложно, но можно. Пока есть криптовалюта и с ее помощью легко получить выкуп, вывести и обналичить — такие атаки будут продолжаться. А вот когда страны наложат ограничения, крипту будет сложно вывести и отмыть — атак будет меньше. Если преступники не смогут заработать, не будет смысла и в атаках.
Могу снять “пальчики”
Совершенно случайно стал заниматься цифровой криминалистикой. Мое первое образование связано с лингвистикой, с исследованием иностранных языков. Параллельно я интересовался информационной безопасностью. Это было мое хобби. О взломах, троянах я узнал из популярного в нулевые журнала "Хакер" и даже писал туда статьи о цифровой криминалистике. Мне всегда было интересно, как происходят атаки, как заражают машину жертвы, как перемещаются по сети и так далее, и этот интерес в дальнейшем мне очень помог в развитии как Digital Forensics Analyst.
Большую часть жизни я провел в Сочи — там учился, несколько лет служил в полиции, в Экспертно-криминалистическом центре. Многие криминалисты, как и я, начинали работу в правоохранительных органах. Интересно, что там ты зачастую занимаешься не только Digital Forensics, но и классической криминалистикой. Я могу, например, провести осмотр места происшествия, снять “пальчики”, провести изъятие по всем канонами и т.д.
Когда я в очередной раз работал на месте происшествия, где кого-то расстреляли или зарезали, — я понял: пора валить. Самым тяжелым для меня всегда были убийства, особенно бытовые: вот труп девушки с 40 ножевыми, а тебе надо собрать нервы в кулак и сделать свою работу. Мне часто приходилось исследовать самые разные источники цифровой информации: компьютеры, мобильные устройства, видеорегистраторы — но интересных кейсов было мало, а мне очень хотелось заниматься расследованием кибератак и компьютерных преступлений. Когда я покидал правоохранительные органы, я уже написал книгу о цифровой криминалистике. Она вышла на английском языке в британском издательстве и даже была номинирована как Digital Forensic Book of the Year на 2018 Forensic 4:cast Awards. Так что на тот момент я неплохо разбирался в вопросах как цифровой криминалистики, так и реагирования на инциденты, но хотелось больше разнообразного опыта и интересных кейсов.
Первый респонс — это потрясающий опыт
Я пришел в Group-IB в 2017 году, когда в компании было меньше 100 сотрудников. Сейчас нас уже около 600 человек, глобальная штаб-квартира расположена в Сингапуре, европейская — в Амстердаме, а ближневосточная — в Дубае. За это время все сильно поменялось. Вначале основной “территорией” моей работы были Россия и СНГ, а сейчас как минимум половина кейсов, по крайней мере, в которых я участвую, это Азия, немного Европа, а иногда США.
Первым моим кейсом стал инцидент, связанный с хакерской группой Silence. Мы называем ее “Сало": это некогда активная русскоязычная группа, которая долгое время являлась одной из самых опасных угроз для российских и международных банков и финансовых организаций. Group-IB впервые обнаружила следы ее деятельности в 2016 году, а затем выпустила первый в мире отчет по этой группе “Silence: Moving into the darkside”. Буквально на третий день после того, как я вышел на работу в Group-IB, мы с ребятами выехали в один из банков на респонс (Incident Response — реагирование на инцидент информационной безопасности).
Нам были доступны абсолютно любые хосты, любые банкоматы: мы могли снять необходимые цифровые улики откуда угодно. Если нам нужно было снять слепок оперативной памяти — мы его снимали. Если нужно было забрать откуда-то журнал — забирали. Соответственно, мы могли собрать абсолютно всё, чтобы реконструировать максимально полную картину этой атаки, что в итоге и было сделано. Первый респонс — это потрясающий опыт. Там я понял, что принял правильное решение уйти из полиции. И после этого, конечно, было огромное количество не менее потрясающих кейсов, над которыми пришлось работать, и самое главное, не только в России, но и во многих других странах.
Очень часто к нам обращаются уже тогда, когда сеть легла, но бывают случаи, когда компания фиксирует подозрительную активность во время продвижения по сети или выгрузки данных. Несколько раз случалось, что на момент проведения реагирования атакующие все еще были в сети жертвы. В таких случаях очень важно не спугнуть их: пусть они думают, что все под их контролем. В это время нам надо быстро определить, как они закрепились и как получили доступ к скомпрометированной сети, а потом — выкинуть их из нее навсегда, тщательно зачистив всех их “закладки”, то есть бэкдоры и прочие прелести для повторной атаки. Во всем этом нам помогает (тут немножечко рекламы) многолетний опыт, наши первоклассные киберразведданные Threat Intelligence&Attribution и, разумеется, весь стек наших технологий.
Однажды я полетел на респонс в США в самый разгар кризиса, когда отношения были на пике напряженности: ещё свежи были истории с атакой якобы русских хакеров на штаб Демократической партии. Первый квест — получить визу в США, и немногие из моих коллег смогли его пройти. И уже в самолете мы сильно переживали, что мы прилетим в Нью-Йорк и нам скажут на досмотре: "Ребята, извините, но вы никуда не пойдете". Оказалось всё сильно проще — нам задали буквально пару вопросов: "Ребята, привет! Куда вы едете, зачем, на сколько?" Мы даже ничего не скрывали: летим в Остин (штат Техас), в такую-то IT-компанию, на три недели. “Окей, проходите”. Конечно, Техас, мне кажется, это всё-таки такое, немножко отдельное государство. Все знали, что мы из России, но никакого странного или подозрительного отношения к себе я не заметил. Рядовые американцы прекрасно понимают, что есть политика, а есть бизнес, который страдает от кибератак, и если ты можешь помочь и свободно говоришь по-английски — никаких проблем не возникает.
Пандемия, конечно, внесла коррективы: реагирование на инцидент или проактивный поиск угроз можно провести удаленно. Италия, Испания, Германия, США, Египет, Таиланд, Сингапур, Вьетнам, Индонезия — вот лишь некоторые страны, где нам удалось удаленно поработать за время пандемии. Мы можем работать с тем оборудованием, что есть у клиента, но удобнее и быстрее (особенно когда тебе нужно быстро заставить продукт детектировать конкретную угрозу) использовать наше решение Huntbox. Это значительно сокращает время реагирования на инцидент и позволяет не только обнаружить, но и блокировать вредоносную активность. Но есть своя специфика: например, в Саудовской Аравии компании предпочитают видеть специалистов вживую и не дадут вам удаленно что-то поделать — даже им на благо.
В октябре прошлого года я возглавил Лабораторию цифровой криминалистики Group-IB, в которой отработал 5 лет. Мне было бы скучно лишь командовать и распределять задачи. Я играющий тренер, сам постоянно езжу на респонсы, люблю вникать в технические детали, выстраивать стратегию работы по реагированию на кибератаку, а потом с легким сердцем делегировать задачи моим коллегам.
“Лаба”, как мы называем наш отдел, разделена на три группы: группа реагирования на инциденты, группа анализа вредоносного кода и проактивного поиска угроз, а также группа цифровой криминалистики и электронного раскрытия данных.
Активнее пишите посты
У меня пара высших образований и даже ученая степень, но они не дали мне и 10% тех знаний, которые я получил благодаря книгам. Как я уже говорил, по первому образованию я лингвист и довольно неплохо знаю английский, что позволило мне без труда читать иностранные книги по форензике. К сожалению, литература достойного качества по этой теме на русском языке отсутствовала и отсутствует сейчас. Прочитав несколько десятков книг и накопив некоторый опыт, я столкнулся с непреодолимым желанием написать что-нибудь самостоятельно.
Все началось с блога, который мы создали с моим коллегой, а по совместительству одним из самых значимых людей в отечественной форензике — Игорем Михайловым. Его посты можете почитать тут и тут. К сожалению, обычно технические специалисты не очень любят писать отчеты или блоги. А меня этот процесс никогда не ставил в ступор. Однажды, просматривая Twitter по известному всем форензик-специалистам тегу #DFIR я наткнулся на твит Скар (Scar de Courcier), редактора самого крупного и популярного портала, посвященного форензике, «Forensic Focus», в котором она писала, что ищет соавтора для написания книги «Windows Forensics Cookbook» — сборник «рецептов» по форензике. С моим опытом написания постов в блог такой формат подходил мне лучше всего. Весь процесс написания занял у нас около полугода.
Вторая книга была посвящена уже мобильной форензике. Как-то мне в LinkedIn написал менеджер Packt и сказал, что они планируют выпустить третье издание «Practical Mobile Forensics». Книга эта была мне очень знакома, я читал оба издания, и во многом именно они дали отличную базу, которая позволила мне работать с мобильными устройствами. Третья книга “Learning Android Forensics: Analyze Android devices with the latest forensic tools and techniques” должна помочь глубоко погрузиться в анализ подобных мобильных устройств. Четвертая — это дополненное и переработанное издание "Practical Mobile Forensics". Именно эта книга победила в номинации DFIR Book of the Year на 2021 Forensic 4:cast Awards.
Так что могу дать совет начинающим авторам: активнее пишите посты и статьи на профессиональные темы — и издательства вас обязательно заметят!
“Потолка нет”
Сейчас уже многие слышали про Threat Intelligence-экспертов, а вот профессия Threat Hunter — это еще экзотика. Сейчас есть потребность в проактивном поиске угроз, то есть предотвратить атаку до того, как злоумышленники зашифровали всё или вывели деньги. Отличие третхантера от специалиста по респонсам в том, что респондер реагирует на реальный и уже произошедший инцидент, а трэтхантер — на инцидент, который еще не обнаружен, но уже развивается. То есть мы строим гипотезы, как атакующие могли бы попасть к нам в сеть и как проводят пост-эксплуатацию.
Если хочешь к нам в Лабораторию цифровой криминалистики — придется много, очень много работать и постоянно учиться. Все эти истории, когда люди приходят в нашу профессию за деньгами, очень плохо заканчиваются. Сейчас каждый день появляется огромное количество информации по нашей теме, и если ты не следишь за всем постоянно, не перелопачиваешь все эти твиты, новости, блоги — ты никогда не будешь хорошим специалистом. Во-вторых, новичку хорошо иметь какую-то базу. У нас есть примеры людей, у которых нет высшего образования, но они прекрасные специалисты при этом. База у них была, безусловно: основы операционных систем, файловых систем, сетей опять же. При большом желании эту базу можно получить за год, даже меньше. А дальше можно развиваться уже непосредственно в том направлении, которое тебе нравится. Есть специалисты по киберразведке, цифровой криминалистике, проактивному поиску угроз, реагированию на инциденты — посмотрите, например, наши курсы “Обучение киберпрофессиям будущего для технических специалистов”. И у каждой такой профессии свой набор необходимых умений и навыков.
Потолка нет. Ты все время развиваешься: изучаешь новые атаки или исследования коллег — все это вообще бесконечный рост. Чем более опытным ты становишься, тем быстрее ты что-то делаешь, тем более ты ценен для компании и для рынка. Но опять же, чисто финансовая мотивация — это, наверное, не то, чем нужно руководствоваться. По крайней мере, у меня такое мнение. Да, крутой труд должен хорошо оплачиваться. Но я подчеркну: деньги в киберкриминалистике или респонсах вообще не главное.
Для того, чтобы погрузиться в профессию или прокачаться как Digital Forensics Analyst, Incident Responder, Threat Hunter, рекомендуем этот небольшой список литературы: “Книжная полка компьютерного криминалиста: 11 лучших книг по Digital Forensics, Incident Response и Malware Analysis”.
И еще одно важное объявление. Group-IB усиливает команду технических специалистов: стань частью команды и меняй мир вместе с нами! Group-IB — это новое поколение инженеров. Мы воплощаем смелые идеи, создавая инновационные технологии для расследования киберпреступлений, предотвращения кибератак, слежения за атакующими, их тактикой, инструментами и инфраструктурой. Информация об актуальных вакансиях — тут.
Нужно еще больше данных? Подпишитесь на остросюжетный Telegram-канал Group-IB об информационной безопасности, хакерах, APT, кибератаках, мошенниках и пиратах. Расследования по шагам, практические кейсы с применением технологий Group-IB и рекомендации, как не стать жертвой. Подключайтесь! Ну и, конечно, загляните к нам в блог и почитайте исследования наших специалистов — на русском языке и на английском.