— Сергей, сколько человек насчитывает самая большая хакерская группировка и как она называется?
— Из известных это Lurk — российская группировка, она как была, так и остается на данный момент самой большой в истории. Но и организатор, и участники уже сидят в тюрьме. Преступников арестовали в 2016 году, следствие и суд шли еще пять лет. Участников Lurk привозили в суд целыми автобусами. Уголовное дело состояло из 4000 томов (один том — 250 листов). В этом разбирательстве я участвовал как специалист.
— Сколько же было человек в этой группировке?
— Около двухсот человек, которых арестовывали по всей стране. Некоторые из них были признаны виновными по статье 210 УК РФ — это организация преступной группы. Я помню было видео, как их спецбортами МЧС вывозили из места жительства, чтобы судить. Часть доставляли в Москву, часть отправляли в Екатеринбург, где и состоялся суд.
— Lurk можно считать самой большой группировкой в мире?
— Смотря как считать. Если говорить о группировке, которая руководится из одного центра, — то да. Но существуют и многотысячные группы вроде Anonymous. Это индивидуалисты, которые примыкают к некоему образованию, у которого нет четкой структуры, нет четкой иерархии, нет явного лидера.
— А в Lurk Константин Козловский был лидером, которому напрямую подчинялись эти 200 человек?
— Да. И он получил срок, который тоже можно считать рекордом: 14 лет строгого режима. Это очень серьезное наказание за преступление, совершенное в сфере высоких технологий.
— Если я попрошу вас, как главного эксперта «Лаборатории Касперского», оценить Константина Козловского, как профессионала, — можно ли сказать, что он был выдающейся личностью?
— Если говорить про вредоносную программу, которая у них была основной, то есть вредоносную программу Lurk, то она для своего времени действительно была выдающейся. И самое главное, она практически не оставляла следов на компьютере, — собственно поэтому и получила название Lurk, что означает в переводе с английского «затаиться».
То есть, когда хакеры Lurk получали доступ к атакуемым компьютерам, и совершали на них какие-то несанкционированные действия, — например, переводили деньги со счетов, — то потом найти следы этого было очень проблематично. У экспертов-безопасников, которым доставался этот атакованный компьютер для анализа, было очень мало доказательств работы этой вредоносной программы.
В этом смысле это была «выдающаяся программа». Кроме того, она была очень хорошо написана, грамотно. Поэтому Константин Козловский, если уж мы говорим про рекорды, — однозначно такой вот рекордсмен.
— Вы рассказали про долгое дело в отношении хакеров, а были скоротечные дела?
— Да. У нас было одно дело, когда от момента совершения преступления (слива информации) до удара молотом по столу со словами: «Виновен!» прошло 3 месяца. Почему так получилось? Потому что человек признал себя виновным и получил условный срок. Вот это другой рекорд. Но ничего больше сказать не могу, так как дело было непубличным.
— Программа Lurk, как и любая другая, имеет какое-то определенное количество строк кода. А как называется самый короткий вредонос?
— Самые короткие вредоносные программы, которые актуальны и сегодня, — это Web Shell. Это программы для веб-сайтов, они самые короткие. Такие вредоносные программы обычно используют для массового взлома веб-серверов. Этот незаметный файлик обеспечивает несанкционированный доступ к веб-сайту. Они могут весить около 10 байт.
При этом самая короткая вредоносная программа, которая может существовать, насколько я помню, весит пару байт, это 16 нулей и единиц. Ее функция – запустить бесконечный цикл.
— А самый длинный вредонос?
— Есть гигантские. Сразу вспоминается Stuxnet. Не знаю, самый ли он большой, но точно один из самых больших по объему кода. Это более мегабайта, причем упакованного специальным образом. И сам функционал вредоносной программы был тоже огромен.
Главный эксперт «Лаборатории Касперского» Сергей Голованов
Из личного архива— Что делала эта программа?
— Взрывала заводы. Она подменяла показания технического оборудования — центрифуги, датчиков давления, датчиков частоты и так далее, на производствах. Программа разошлась по миру и вызвала несколько десятков тысяч заражений.
— Сколько такую программу надо писать?
— Думаю, несколько лет. Неважно причем, сколько специалистов будет задействовано. Но ее создавать год минимум, причем в режиме 24/7.
— В интернете сказано о предположении, что Stuxnet представляет собой специализированную разработку спецслужб Израиля и США, направленную против ядерного проекта Ирана. Это похоже на правду?
— Есть такое мнение. Не можем ни подтвердить, ни опровергнуть, но такое мнение существует.
— Расскажите, пожалуйста, о наиболее длительном времени, которое прошло с момента проникновения вредоносной программы на компьютер и до того момента, как она начала работать. Какой тут рекорд?
— Этот рекорд постоянно обновляется. Зимой этого года у меня был инцидент в некоей компании, где злоумышленник выкачал с компьютера пароли и документы. Мы стали его расследовать и поняли, что вредонос попал на компьютер в 2005 году. От момента попадания в компьютерную сеть до получения хакером документов прошло 18 лет.
— С вашей точки зрения, почему так произошло?
— У нас было предположение, что все это время он сидел в тюрьме. А потом активировал закладку.
Такие долгие атаки обычно устраиваются с помощью закладок. В нее вставляется какой-то специальный вредоносный код, который «спит», его ни видно, ни слышно. Злоумышленник должен постоянно продлевать время этой «спячки». То есть сначала он ставит пометку, что закладка «спит» неделю, потом месяц, потом год, потом, — что закладка «спит» 2 года. И так 18 лет.
— А есть какие-то рекордсмены, наоборот, по скорости атаки?
— Обычно такими рекордсменами являются шифровальщики. Это может произойти буквально за 25 минут.
— А, то есть это не происходит мгновенно за одну секунду?
— Ну давайте представим. Злоумышленник удаленно проник на компьютер в чужую компанию, посмотрел, огляделся, пошел покурить, налил себе чайку, вернулся к своему компьютеру и нажал на кнопочку Enter, что привело шифрованию всех дисков в этой компании. Я могу ошибаться, но, по-моему, от первоначального проникновения в компанию до начала шифрования дисков прошло около 25 минут, целью был выкуп для расшифровки.
— А были ли у вас программы – рекордсмены по странности поведения?
— Были странности, которые мы смогли потом объяснить.
Например, был код, который проверял сам себя. Когда программа куда-то попадает, ей нужно оценить свое окружение, и чтобы его проверить, она делает специальный запрос к системе.
И вот я помню, что была программа, которая запускала сама себя на эту процедуру. То есть программа начинала работать и спрашивала у системы: работает ли она? Это звучит примерно так: вы заходите в кафе и спрашиваете: «Я в кафе?»
— Для чего же это нужно?
— Это было очень долго непонятной для нас странностью. Но потом оказалось, что этот вопрос определяется национальными традициями. Можно найти в «Луркоморье» (неформальная википедия) примеры индийского и китайского кода. И становится ясно, что эти странности объясняются национальными традициями, которые реально используют программисты в некоторых странах. То есть для русского программиста это вообще нонсенс, а вот в азиатских странах это прямо нормы программирования.
Еще мы долго не могли понять в одной программе, что именуется словом «Bothans». Там было: «Bothans start» – то есть ботаны начали работать, ботаны закончили работать. И мы очень долго ломали голову над этой командой. Переводчик ничего не говорит, как это прочитать по-русски вообще непонятно. И для нас это была реально загадка.
Потом мы узнали, что в фильмах про звездные войны были инопланетяне, которые похитили чертежи «Звезды смерти». И вот этих инопланетян как раз и упоминали авторы вредоносной программы.
— А рисунок или фото можно вставить в код?
— Да. В этом году я увидел в коде вредоносной программы фотографии голой девушки . Зачем хакер вставил такие фотографии в код программы и тем самым привлек много к ней внимания. Для чего? Это большой вопрос.
Одну из этих фотографий мы потом нашли, она была на OnlyFans (сервис подписки на контент). А у девушки было 3 тысячи платных подписчиков. Видимо, кто-то из них и был автором программы.
— Сколько длилось ваше самое длинное расследование?
— 15 лет. Исследовали вредоносную программу, очень-очень древнюю. Она нам в свое время очень много «крови попила». Все время не хватало каких-то деталей, чтобы сделать выводы. И спустя 15 лет мы получили ответы на все вопросы.
— Хакеры совсем молодого возраста, дети, у нас в России есть?
— В России помню только несколько выдающихся школьников, которые правили себе электронные дневники. А вот в мире недавно была история с группой Lapsus$, которую возглавлял 16-летний подросток из Оксфорда Арион Куртадж. Сейчас этого парня, которому уже исполнилось 18, судят в Лондоне. А с ним и 17-летнего подельника.
— А девушки-хакеры у нас есть?
— Есть, да.
— Они как в сериалах: в худи, с капюшоном на голове и пирсингом?
— Да. Их антиподов – девушек-программистов — можно увидеть на конференциях. Часть из них в ботинках на платформах и черных капюшонах, а есть в костюмах и на каблуках. А также много мальчиков с длинными волосами, с бородами, в очках, с толстыми рюкзаками и ноутбуками.
— А были ли в вашей практике смешные случаи взлома?
— Недавно был. Мы наблюдали за тем, как хакер лез-лез-лез и залез в банк. Прямо в самый настоящий банк. А это трудно!
В банке стоят 2 компьютера, они абсолютно одинаковые. Единственная разница — один компьютер управляющий, а второй «смотрящий». Он видит все транзакции, но не может в них вмешиваться. Эти компьютеры близнецы. Почему их два? Потому что один основной, а другой резервный. Если основной выходит из строя, то включается резервный.
Хакер залез именно на резервный компьютер. И пытался потом на нем забрать деньги. Он не смог понять, что рядом стоит точно такой же, только с реальным управлением, он просто не дошел до него.
В тот момент, когда он начал рыпаться на «смотрящем» компьютере и пытаться украсть деньги, сработало очень много систем безопасности. А там реально расстояние между этими компьютерами 3 см. И на основном — все работает, и пароли одинаковые, все одно и то же, только он до него не дошел. Поэтому я назвал бы этот рекорд так: «пацан к успеху шел, но не фартануло».
— А взламывают ли какие-то необычные предметы?
— Да. Например, роботов. У меня один такой был на анализе, я его прям описывал, исследовал. Это робот-андроид, у него руки были, компьютер - голова. У него есть колокольчик, монитор и доступ в корпоративную сеть. Он работал в переговорной комнате одной компании.
— Зачем робот нужен в переговорной комнате?
— Во-первых, он по сотрудникам рассылает сообщения о том, что сейчас будет встреча. Когда встреча заканчивается, он звонит в колокольчик. На мониторе, который подключен к телевизору, может показать что угодно. Можно к нему обратиться: «Включи свет, выключи свет» и прочее. Его взломали именно из-за того, что у этого робота был доступ в рабочие чаты, он умел читать, показывать что-то на телевизоре, имел доступ в корпоративную сеть.
— Это была успешная атака?
— Злоумышленник не успел сделать все, что хотел. Я приехал на инцидент, мне пришлось этого робота забрать к себе. Теперь уже он возвращен законному владельцу.