«Уборщица говорит — в офисе труп». Как в «Лаборатории Касперского» ловят хакеров за рубежом

Эксперт «Лаборатории Касперского» Голованов рассказал о самых необычных командировках за рубеж

«Газета.Ru»
Главный эксперт «Лаборатории Касперского» Сергей Голованов регулярно отправляется за рубеж, — его услугами интересуются различные компании со всего мира, которые столкнулись с киберугрозами: кражей денег, информации, утечками, вирусами и так далее. Его задача — прийти на место, вычислить проблему и решить ее. В беседе с «Газетой.Ru» он вспомнил самые забавные и необычные истории, которые с ним приключились за множество лет таких командировок.

«У тебя серверная сгорит»

— Как получаете заявку на выезд от компании?

— Во-первых, практически ничего через почту не идет, корпоративная почта сразу отметается. Неважно в какой стране мира, начальник, директор, неважно кто, он берет трубку, звонит в локальный офис «Лаборатории Касперского».

У меня вводные только такие — надо лететь, и ты говоришь начальнику офиса: «Хорошо, я буду в аэропорту, у меня самолет приземляется тогда-то, вот я там буду». И дальше прилетаешь, тебя встречают с табличкой. Опять же никто не знает заранее, что случилось. Это нормально. Даже если в Москве какой-то инцидент, то никто не будет по телефону тебе говорить. Вся информация только на месте.

Сергей Голованов \«Лаборатория Касперского\»

— Ни адреса, ни компании?

— Ты ничего не знаешь. Но можешь догадываться. Ты приезжаешь, здание, переговорная комната, там сидят мужики, и ты говоришь: «Ну, что случилось?» Ты берешь листочек, тебе начинают рассказывать, ты это все записываешь. Только в этой переговорке, никто по телефону не собирается обсуждать.

— Как осуществляется коммуникация между специалистами на таких выездах? Через мессенджеры?

— По умолчанию считается, что все каналы связи в этой переговорной, в этом здании, в этой компании, все скомпрометированы и находятся под контролем злоумышленника.

И дальше ты начинаешь: «Так, у вас какие программки стоят?» Если в Европе, то обычно выбирается Threema, если у нас, то, вероятнее всего, Telegram. На самом деле можешь использовать все, что угодно.

И затем общий чат. Они создаются с названиями типа «Выбираем подарок на день рождения». И туда добавляется 100 человек, и начинается: «Ты иди туда, сделай это».

— Что в основном пишут в этом чате?

— Это оперативный чат, и туда в основном пуляются сразу фотографии. То есть я там-то, вижу вот это. И все в виде фотографий, потому что если кто-то что-то начинает писать, еще и на местном диалекте, это вообще непонятно.

Все начальники присутствуют, но именно в оперативность они не влезают. Оперативность обуславливается начальниками отделов, конкретными специалистами на местах.

Я приглашенный специалист, поэтому не могу ими прямо командовать. Я говорю так: «На вашем месте я бы сейчас пошел в гермозону и дернул вот этот проводок». Они говорят: «Поняли, приняли, пошли делать».

Если компания международная, то они внимательно читают эти чатики, регулярно на связи с локальным офисом, где произошел инцидент. Я очень редко принимаю участие во встречах для обсуждения ситуации, потому что они очень долгие. На столе такая «лягушка» (спикерфон для переговорных комнат. — «Газета.Ru»), и там голоса раздаются.

Причем на таком ломаном английском, что ты не понимаешь, что он у тебя спрашивает. А если они выпьют, то вообще ничего не понятно. Даже если ты будешь в англоговорящей стране, то может быть какой-нибудь индус. То есть, ты его будешь понимать, конечно же, но суть вопроса будет непонятна.

— Были случаи, когда все-таки принимали участие в таких переговорах?

— Я участвую в таких переговорах, только когда понятно, что ситуация критическая. Например, говорю: «Ребят, все, хана, надо сносить вот этот компьютер, ставить заново».

И тут какой-нибудь умник говорит: «Да вы что, это остановит наши бизнес-процессы, это же невозможно выполнить в кратчайшие сроки, нужно согласовать это».

В ответ я говорю: «Хочешь по моей рекомендации действовать — я за. Хочешь по своим правилам действовать — действуй. Но только если пока ты будешь это все делать, у тебя серверная сгорит, то я здесь вообще не при делах». Это меняет ход их мысли.

«Какой-то русский мальчик»

— Было такое, что мешали работать на выезде внутри компании?

— Да, была такая история. Огромная частная компания, у который есть хозяин, очень уважаемый человек. У него много бизнесов, и вот один бизнес как раз связан с финансовой организацией.

Из-за инцидента этот богатый человек обратился к нам, и для выезда выбрали меня. На месте сидели генеральный директор, IT-директор и директор по безопасности. И вот эти три мужика мне начинают все рассказывать.

Там нужно было пройти в комнату для анализа, а она за железной дверью и ключом. Нам нужен ключ, а сотрудник с этим самым ключом уехал. IT-директор пошел в отказ, не хотел открывать дверь.

— Как удалось решить проблему?

— Я ему прямо сказал: «Не хотите — не надо, не собираюсь вам болгаркой дверь выносить». Предложил позвонить хозяину, чтобы уведомить о моем отъезде без результата.

А хозяин был прикольный. Спросил, почему не пускают, а ему ответили: «Какой-то русский мальчик приехал и говорит, что нам делать».

И хозяин спрашивает у IT-директора: «Представь, у тебя дома трубы прорвало. Ты же зовешь сантехника. Он просит открыть стояк, ты ему дома скажешь «нет»?». Хозяин сказал отдать мне ключи и стал слушаться моих рекомендаций.

Айтишник очень негативно был настроен. Это нормально, потому что это в его епархии произошел инцидент, он вроде как не справляется со своими служебными обязанностями.

«Куда вы его отпускаете?»

— Если выезжаете на инцидент, NDA (соглашение о неразглашении. — «Газета.Ru») подписываете?

— Всегда. Любой инцидент — тайна, и в список документов подкладывается и соглашение о неразглашении информации.

— И никогда об этом приглашающая сторона не забывала?

— Был один случай. Я прилетел уже в Москву и после командировки нужно было передать NDA. Это документ, где на нескольких языках было написано обо всем, а он у меня весь такой скомканный, грязный.

И когда документы сдавал, то коллеги спросили: «А что с бумажкой произошло?» А там произошло следующее. После инцидента в компании меня уже все провожают.

Тут выбегает их главный юрист: «NDA не подписали! Куда вы его отпускаете?!» И директор говорит: «Я так и чувствовал, что я должен был что-то сделать!»

И, собственно говоря, стоит машина, идет дождик, он подписывает, я подписываю, а машина грязная. С одной стороны капли, с другой стороны грязь — вот и наш NDA. Он необходим. Я уезжал и забирал с собой несколько дисков на анализ, и нужно было указать, на каком основании я их выношу. Я их забрал, через две недели отдал отчет. То есть сделал все, как договорились.

— Не было проблем с тем, что вы российский специалист?

— Сталкивался ли я с русофобией? Да, сталкивался несколько раз.

— Это в последние пару лет?

— Нет. Это было и раньше, и в 2012, 2014 году. Несколько раз такое было.

Это были две разных англосакских страны. В одной мне прямо сказали: «Ты русский, мы русским тут не доверяем». Второй случай произошел, когда уже завершили работу, а потом сидим пиво пьем. И во время разговора проскакивали пару раз фразочки, что у меня паспорт такого странного цвета.

Но это абсолютно нормально. Я говорю: «Я хотя бы белый». Он говорит: «Это да».

Это все такие шуточки-прибауточки, но они мне запомнились.

«Там был прикол»

— Что запомнилось из поездок по Латинской Америке?

— Там был прикол, потому что злоумышленник оказался точно местным. Есть такой способ атаки — подбрасывать устройство. Например, компьютерную технику в офисы.

И он подбросил это устройство в банк, а потом его ограбил. И руководители банка позвали русского, который бы прилетел и нашел это устройство.

Причем, такой вектор атаки – известная история. Эти же устройства мы и ближе к России находили. Выглядит примерно так. В здании были переговорные комнаты до пункта охраны. Туда можно было свободно прийти, не показывая паспорт. То же самое очень часто и в других организациях есть. И вот в переговорке свое устройство закрепили к проводам.

— А что оно может передавать?

— Эта штучка дает прямой доступ в сеть компании. Смысл в том, что есть маленький компьютер, Raspberry Pi называется, размером с телефон. Туда сим-карту вставляют, а провод втыкают в разъем стола. И получается, что штучка одним концом подключена к интернету, и, соответственно, так злоумышленник подключается к этому устройству, а другим концом эта штука смотрит в корпоративную сеть.

— И как такие устройства вычислить?

— Дальше уже в игру вступаю я. Прихожу к службе безопасности этой организации: «Как тут у вас сеть настроена?» И начинаем разбирать, как хакер обходил меры службы безопасности. В общем, были инциденты, когда мы такие устройства находили, и инциденты все боевые.

Потому что никто это устройство не будет искать до тех пор, пока не будет причины его искать. А учитывая, что зданий много, они высокие, нельзя сразу понять, где эта штука прячется.

Если в расследовании я понимаю, что такое устройство должно где-то быть, то начинаем искать. Берешь фонарик и лезешь под стол. Находишь: «О! Смотри, что я нашел!» И давай это фотографировать. И вот в поездке в Латинскую Америку было очень прикольное место, где эта штука лежала — все в пыли и посередине лежит абсолютно новенькая, без пыли штучка.

На самом деле можно подкинуть и забыть про нее на целый год, а потом уже подключиться, за год она покроется слоем пыли. В тот раз мы посчитали, что чувак к ней подключился, как только положил. В течение нескольких дней максимум.

«У нас труп»

— Какая поездка запомнилась необычным расследованием? Что-то самое нестандартное, чего раньше не встречали?

— Перед ковидом в Западной Европе была очень прикольная история. Что я там увидел в первый раз? Я в первый раз увидел в офисе бассейн. Сейчас расскажу, как я там оказался.

Лечу на инцидент без обратного билета, без гостиницы, потому что я же не знаю, куда именно и зачем лечу, такие правила у этих выездов для соблюдения конфиденциальности.

Позвонили, говорят: «Тебя встретят в таком-то аэропорту, бери ближайший билет». Прилетел, меня встречают с табличкой, затем сажусь в машину и привозят по адресу. В офисе встречает такой дедушка, директор по безопасности, и начинает рассказывать, зачем позвал.

И нас там собирается консилиум экспертов из кучи разных стран. Потому что компания большая, международная. Была организована система по группам, когда два человека работают по 16 часов, из них 8 часов ты работаешь один, потом 8 часов вы работаете вдвоем, потом один идет спать, а второй продолжает работать.

— А где весь рабочий процесс происходит?

— В это время уже создается импровизированный ситуационный центр по анализу. На этом рабочем месте анализируются, например, какие-то журналы, на другом — диски. И так построена работа. Я работал всю пятницу и субботу, а у меня нет гостиницы.

В ночь с субботы на воскресенье я говорю: «Слушайте, пойду посплю, я вырубаюсь, это бессмысленно все становится». А у них гигантский опен-спейс, в котором стоят стеклянные переговорки.

Я захожу в переговорку, там такие диванчики, подушечки, но на них неудобно. Поэтому положил эти подушки на пол и таким образом уложился. Дул кондиционер, а выключить его не получалось. Мне делать нечего, я беру свой черный плащ, наушники вставляю и капюшоном от плаща себя закрыл.

Поставил будильник, чтобы проснуться через три часа. Проснулся, иду в ситуационную комнату, там тот же самый дедушка стоит: «Пойдем, я тебя в душ отведу, у нас и бассейн есть».

И вот мы идем там по коридору, и он такой: «Сереж, можно я тебя попрошу кое-что сделать? Ты в следующий раз, когда будешь спать, пожалуйста, капюшон на голову не натягивай». Я говорю: «А что случилось? Там кондиционер дует, я простужусь еще».

Он говорит: «Понимаешь, сегодня воскресенье, и по утрам приходят уборщицы. И они бегут все ко мне: «У вас там труп в переговорке лежит!» А я им говорю: «Это не труп, это русский отдыхает».

Но с технической точки зрения во время этого инцидента ничего сверхъестественного не было. Точку входа хакера мы нашли, как по этим зданиям двигался, нашли, как прыгал из одной сети в другую, нашли. Все восстановили. Просидел я там неделю, наверное. И на две ночи себе взял гостиницу. У них была служебная машина, она меня возила туда-сюда.

«Ребята, у нас тут полтергейст»

— Чем запомнились поездки в страны Африки?

— Я был в одной стране региона совсем незадолго до «арабской весны». Когда я улетел оттуда, все и началось. Помню, когда показывали «арабскую весну», там была жесть, показывали кадры, как горит, и показывали гостиницу, где я жил.

Скажу только, что там есть несколько государств, которые «ого-го», которые очень много вкладываются в IT, в современные технологии, чтобы страна росла, развивалась. Но потом пришла «арабская весна», и про это забыли. Что сейчас там, я без понятия, поездок у меня с тех пор туда не было.

— Чем отличаются в плане кибербезопасности страны Юго-Восточной Азии?

— Помню, как после одной из поездок в тот регион, я вернулся в Москву, а у меня рабочее место рядом с Евгением Касперским (основатель и глава «Лаборатории Касперского». — «Газета.Ru»).

И он такой: «Ну, чего там? Как вообще защищенность страны, всего?» Я ему говорю: «Знаешь, у нас есть в Москве сеть кафешек, так вот они лучше защищены, чем вот там все».

Потому что это была феерическая чушь. Стоит здание, там сидят уважаемые люди, — ну как они могут пользоваться домашними Wi-Fi-роутерами? Я не понимаю. Если ты рулишь огромными суммами денег, то ты не можешь использовать вот этот Wi-Fi по четырем цифрам.

— И эти пароли из четырех цифр везде одинаковые?

— Конечно! Во всем здании одни и те же, чтобы удобно было. И люди про это даже не думали. Зачем сложные пароли? Вот четыре циферки. Причем там эти циферки даже что-то означали — праздник какой-то.

И там история такая, которая на самом деле одинакова для многих стран. Люди, которые там живут, строят IT, развивают безопасность, они просто не очень пуганые, скажем так. Нет у них инцидентов. Там местному жителю не придет в голову пойти и вставить флешку в банкомат, чтобы банкомат выплюнул все деньги. Зачем? Пойду рыбу половлю.

И вот постепенно находятся люди, которые выйдут в интернет, начитаются всяких инструкций и вытащат деньги из банкомата. А местные такие: «А как он это сделал?» А специалистов, которые знают, как это работает, нет.

Начинают звонить, писать всем подряд: «Ребята, у нас тут полтергейст. Само выплевывает деньги на улицу». Как в фильме «Хакеры».

Соответственно, они начинают искать специалистов, которые этим занимаются. И находят меня.

— Сталкивались с языковым барьером? Или английского хватает?

— Английского и русского хватает. Единственное, в некоторых странах Азии была проблема, мне требовался переводчик, потому что они ни по-русски не говорили, ни по-английски.

— То есть такая история только в Азии была?

— На самом деле даже в некоторых странах бывшего Советского Союза уже надо по-английски говорить, а не по-русски. Там есть старое поколение — да, они прекрасно говорят по-русски языком Тютчева и Фета, а новое поколение — с ними по-английски.

«Единственная проблема — гастарбайтеры»

— Почему редко слышим о каких-то проблемах с кибербезопасностью в скандинавских странах? Удалось там поработать?

— На самом деле там есть свои специалисты, но в этих странах практически ничего не происходит.

Во-первых, интернет дорогой. Там есть определенный ценз на покупку доменов в сети. Домены стоят по €300. Существуют же спамеры, которые покупают десятки тысяч доменов, но никто не собирается приобретать скандинавские домены, потому что в таком количестве они будут стоить €3 млн.

У них существуют местные лаборатории, которые занимаются информационной безопасностью, они реально местечковые, там работает человек 20 максимум, которые занимаются всеми инцидентами. Они публикуют работы свои, рассказывают, чем занимаются.

Там единственная проблема — это гастарбайтеры, «гастролеры», которые приезжают и что-то там делают. Не бывает никаких инцидентов с участием местных.

Даже если мы посмотрим на наши карты, которые публикуем, то там указано, что вероятность поймать вирус в интернете, находясь на территории Скандинавии, крайне мала. Эти территории всегда «зеленые».

— А гастролеры какие действия пытаются провести?

— Там в любом случае будет мошенничество, но не будет никаких вирусов. Пиратский софт? А его там нет, его никто не качает.

В скандинавских странах живут люди, которые покупают компьютеры и загружают на него софт и за все платят. Они уже привыкли, что да, это все дорого, потому что IT. С нашим менталитетом, честно говоря, это трудно понять.