Случай в интернете

Все начинается с полиграфа. Тест на детекторе лжи для новых сотрудников проводит Валерий Соколов, в прошлом — старший оперуполномоченный майор Соколов. Обычно он несколько раз повторяет вопросы, чтобы проследить реакцию: выполняете ли вы задание конкурента, планируете ли подорвать деятельность компании, как часто употребляете тяжелые и легкие наркотики. Некоторые соискатели отказывались от теста, а руководитель нью-йоркского отделения, узнав, что ему тоже придется пройти полиграф, улетел в Париж и не вернулся. Однако в борьбе с киберпреступностью такие меры предосторожности не считаются излишними.

Сегодня десятки компаний предлагают защиту от хакеров и вирусов, а кибербезопасность стала придаточной частью любого крупного бизнеса вроде службы уборки или бухгалтерии. Но расследованием сетевых преступлений и киберразведкой занимаются немногие. В России первым детективным агентством нового типа стала Group-IB, основанная четырьмя студентами МГТУ им. Баумана в 2003 году. Сейчас в компании работают 136 человек, открыты еще 40 вакансий, а средний возраст сотрудника — 25 лет. Эксперты консультируют МВД и ФСБ, вместе с сотрудниками правоохранительных органов выезжают на задержания хакеров; Group-IB продает собственное программное обеспечение и занимается поддержкой крупнейших банков. Стены офиса компании на Дубровке украшают грамоты от Сбербанка и Первого канала, а также фотографии генерального директора Ильи Сачкова с заместителем директора Европола и президентом Путиным. Это тоже неудивительно: в 2016 году Сачков стал одним из трех россиян, попавших в список перспективных предпринимателей до 30 лет американского Forbes, и единственным в рейтинге жителем России: двое других развивают свои проекты в США.

Илья Сачков принимал участие в киберрасследованиях еще в школе: одно дело касалось незаконного подключения к интернету в компьютерном классе, второе — анонимных писем, приходивших учителям. Кроме информатики другие предметы в московской физико-математической школе №444 Илью не занимали, да и хорошим поведением он не отличался. В шестом классе он подделал отметки в журнале — нарисовал всем пятерки по литературе и русскому языку. Обошлось выговором, но через несколько месяцев Илья сломал однокласснику нос и получил второе и последнее предупреждение. Когда в шутку он подлил приятелю в чай хлорофиллин и тот попал в реанимацию, терпение учителей лопнуло — Сачкова исключили. Через год, правда, приняли назад, и теперь Илья уверяет, что случай с отравлением изменил его жизнь: «Мне впервые стало по-настоящему страшно. Я получил психологическую травму, после которой стал другим человеком».

Кафедру информационной безопасности в МГТУ им. Баумана он выбрал просто по названию, вспомнив о детском увлечении детективами. Уже на первом курсе Илья решил, что ничему полезному в университете не научат, и пошел работать — сначала в нефтяную компанию ТНК BP, а затем в банки ВТБ24 и «Интеза». Исследовал схемы, по которым хакеры похищали данные клиентов, и вскоре понял: взломы — это самое интересное. Сачков хотел даже устроиться в управление «К» — подразделение МВД по борьбе с киберпреступлениями, — но оказалось, что для этого нужен диплом школы МВД. После первого курса Илья оказался в больнице, и в руки ему попала книга основателя агентства Mandiant Кевина Мандиа «Расследование компьютерных преступлений». Идея создать собственное киберагентство преследовала Сачкова несколько месяцев — так в октябре 2003-го появилась компания Group-IB (Investigation Bureau). Партнерами Ильи Сачкова стали однокурсники Дмитрий Волков, Александр Писемский и Игорь Катков; кафедра выделила помещение, столы и компьютеры, а старший брат одолжил пять тысяч долларов. «Надеюсь, если у тебя ничего не получится, ты сможешь снова устроиться на работу?» — в качестве напутствия сказал отец Сачкова, доцент кафедры физики в МАДИ.

Поначалу заказы приходили от частных клиентов, которые натыкались на сайт Group-IB в поисковиках. «Одна женщина просила найти американского военного в Ираке, — вспоминает Илья Сачков, — он обещал жениться и для оформления разрешения на брак просил перевести деньги. Когда она получала пятнадцатый кредит, он исчез. Другой россиянин передал 70 тысяч евро человеку, представившемуся посланником нигерийского короля в Москве». С такими делами в Group-IB решили не связываться. Но в банках и корпорациях на студентов смотрели с раздражением: «Для безопасников важны опыт, матерость, связи». Наконец, через старшего брата Сачкова Group-IB получила серьезное предложение — найти человека, шантажировавшего топ-менеджера нефтяной компании. На корпоративную почту клиента приходили письма с угрозами опубликовать компрометирующие снимки — обращаться в службу безопасности он не хотел. Письма отправлялись с разных IP-адресов за пределами России, сервер и хостинг у почтового адреса был американский. Сачков и партнеры вычислили реальный IP-адрес отправителя, а затем — город и район, где он живет. Когда клиенту сообщили эту информацию, он понял, что письма отправляет бывшая любовница.

«В России рынок киберрасследований по сути создали мы сами», — говорит сооснователь Group-IB Дмитрий Волков, отвечающий за предотвращение преступлений и киберразведку. В середине 2000-х, вспоминает он, многие не верили, что сыщики будут нужны частным компаниям: считалось, что достаточно милиции и антивирусов. Но с каждым годом количество угроз и хищений росло.

В марте 2004 года Group-IB уже расследовала «слив» в интернет книг крупного издательства, а в апреле — кражу домена инвестиционной компании из Петербурга. В том же году они получили еще одно дело об анонимных угрозах, теперь в адрес банкира, а затем взялись за DDoS-атаки и похищение денег с банковских счетов — расследования вели параллельно с учебой. В 2006 году в Group-IB обратилась европейская фармацевтическая компания: она теряла миллионы долларов на сайтах-клонах, которые продавали поддельные таблетки под ее брендом. Партнерская сеть Glavmed, крупнейший в мире дистрибьютор поддельной фармацевтики, за три года достигла прибыли в 150 миллионов долларов: ежедневно без участия человека робот создавал несколько тысяч сайтов, которые полностью повторяли внешний вид и товары настоящего магазина, и автоматически рассылал спам с зараженных компьютеров с предложением купить популярные препараты со скидкой 90%. «Мы шесть лет над этим работали, целая эпоха, — вспоминает Илья Сачков. — Сначала думали, что это дело рук одной московской семьи, а оказалось, что это новый класс преступников: не совсем хакеры, скорее идеальные интернет-маркетологи».

Group-IB анализировала, как рассылают спам и создают домены, искала взаимосвязи, выявляла партнерские сайты. Сотрудники компании написали программу, которая идентифицировала только что созданные сайты с почтовыми адресами, и через регистраторы добивались их блокировки. Вскоре, однако, детективы догадались зайти с другой стороны — они поняли, что правила платежных систем запрещают работать с киберпреступниками. Онлайн-магазины с контрафактом и порносайты принимают платежи только потому, что с ними сотрудничают некоторые банки, зарабатывающие на процентах со всех покупок. И вместо того, чтобы добиваться блокировки домена, детективы просто начали передавать информацию системам Visa и MasterCard, а те выписывали банкам огромные штрафы за обслуживание спамеров. К тому моменту, когда Group-IB удалось вычислить главных игроков, между ними началась жестокая борьба за передел рынка, в результате которой весь бизнес сошел на нет. Этот конфликт стал первой в истории войной внутри компьютерной преступности.

«Любое расследование строится на ошибках», — говорит Сачков. Group-IB выслеживает мошенников через системы мониторинга и киберразведки, сопоставляя найденные в сети данные. В связке с криминалистами работают вирусные аналитики — они помогают разобраться в программах, с помощью которых группы хакеров атакуют своих жертв. Важны детали: бывает, что компьютер заражен многими вирусами, но только один из них имел отношение к преступлению. Впрочем, главное в работе киберследователя не программы и технические средства, а логика.

Илья Сачков приводит в пример недавний случай. Мошенник продавал базу данных компаний, использовал одноразовый email, нигде не светил свой ник, на техническую провокацию — перейти по ссылке или скачать фотографию — не реагировал. Но на его аватаре стояла картина, которая нашлась только в одном месте в интернете, на личной странице неизвестной художницы. Друг этой художницы, в свою очередь, работал системным администратором — через него специалисты Group-IB смогли выстроить цепочку связей.

Еще одно дело, когда расследование строилось на дедукции, — взлом британского оператора TalkTalk Tele- com. Базу данных клиентов выложили в интернет, британские следователи подозревали русских хакеров. Однако Group-IB представила свою экспертизу, в которой опровергала эту версию: отечественные хакеры никогда не работают бесплатно, а на этом взломе никто не заработал, к тому же если бы его заказывал конкурент, русских нанимать не стали бы — в таких делах важно доверие. Эксперты сделали вывод, что это было хулиганство для привлечения внимания, и, скорее всего, совершил его подросток из Соединенного Королевства: вряд ли кто-нибудь из других стран будет взламывать TalkTalk, потому что хвалиться здесь нечем — никто из сверстников просто не знает такого оператора. Позже расследование британской полиции показало, что за взломом стоял 15-летний школьник из Северной Ирландии.

Несколько месяцев назад на радарах системы киберразведки часто появлялись активисты запрещенной в России группировки ИГИЛ. «Это низкоквалифицированные хакеры, серьезного ущерба они нанести не могут, но у них много последователей, так что проблема в их количестве», — рассказывает Дмитрий Волков. Киберисламисты не скрываются, при взломах сайтов они оставляют заставку со своим логотипом в надежде привлечь новых последователей. Но даже их атаки зачастую можно предугадать логически, говорит Волков: «Например, конфликт между Израилем и Палестиной привязан к важным датам, и новые кибератаки начинаются в одно и то же время. У нас есть календарь иудейских и мусульманских праздников, так что мы заранее предупреждаем наших израильских клиентов».

Впрочем, активисты интересуют Group-IB меньше, чем мошенники, которые хотят взломать их клиентов. Цены на услуги компании зависят от того, какие данные нужны, но в среднем приближаются к нескольким десяткам тысяч долларов. Главный конкурент здесь — «Лаборатория Касперского», которая недавно, помимо антивирусов, также занялась киберразведкой. «Экспертиза в киберразведке и расследованиях Group-IB действительно уникальна. Они первыми из России вошли в обзор рынка исследовательской компании Gartner, на оценки которой ориентируются все крупные заказчики. Что касается их лаборатории криминалистики, то она самая большая в России», — говорит руководитель проекта Securitylab.ru Александр Антипов.

В 2011 году название Group-IB впервые появилось на страницах всех деловых изданий: с помощью агентства следственный департамент МВД смог предъявить обвинения в мошенничестве хакерам Максиму Глотову и Андрияну Степанову, которые одними из первых в стране перешли от кражи со счетов физических лиц к хищению у крупных компаний, использующих интернет-банкинг. Деньги хакеры переводили на счет фирм-однодневок, а затем обналичивали — иногда, из-за спешки, с комиссией 50%. В 2009 году в Екатеринбурге был выдан ордер на арест Максима Глотова, но он бежал в Курск, где купил поддельные документы на другое имя, а оттуда уехал в Тюмень и сделал пластическую операцию, избавившись от характерной приметы во внешности — оттопыренных ушей. Group-IB обнаружила Глотова, когда он снова занялся преступным бизнесом: вместе со Степановым они написали программу OSMP Grabber, собиравшую логины и пароли пользователей системы моментальных платежей ОСМП и E-Port (сейчас называется QIWI). Прежде чем детективы собрали необходимые улики, мошенники успели вывести десять миллионов рублей. Тем не менее суд приговорил Глотова и Степанова к незначительным срокам и с учетом времени, проведенного в следственном изоляторе, обоих освободили в зале суда. Одним из самых сложных дел в истории Group-IB стало дело братьев-близнецов Дмитрия и Евгения Попелышей. Они выросли в Петербурге в состоятельной семье, получили специальность менеджеров-экономистов и все свободное время проводили в интернете, без особенного успеха изучая языки программирования в надежде заработать на какой-нибудь мошеннической схеме. Затем на хакерском форуме они познакомились с калининградским студентом Александром Сарбиным, который помог им создать копию сайта интернет-банкинга ВТБ24 и написать вредоносную программу. Зараженные ей компьютеры перенаправляли пользователей с настоящего сайта на поддельный, где те оставляли логин и пароль. Братья Попелыши собирали эти данные и вводили на настоящем сайте банка, выводя со счетов максимально дозволенные 15 тысяч рублей, а чтобы узнать разовый СМС-пароль для перевода средств, звонили клиентам банка, представляясь работниками технической поддержки. К моменту ареста в феврале 2011 года Попелыши научились взламывать счета в системе «Яндекс-деньги» и выводить крупные суммы. Всего они успели похитить 13 миллионов рублей.

До самого задержания оперативники были уверены, что имеют дело с одним человеком: Попелыши всегда использовали в интернете один псевдоним и представлялись одним человеком. Во время расследования МВД сотрудничало с Центром информационной безопасности ФСБ, а экспертизу и помощь предоставила сначала «Лаборатория Касперского», а затем и Group-IB. Детективы собрали все необходимые улики, однако Чертановский районный суд Москвы прислушался к аргументам адвоката о молодости подсудимых, которым едва исполнилось 25 лет, и приговорил их к условному заключению. Братья вернулись в Петербург и вскоре продолжили похищать деньги. Понадобилось еще несколько лет, чтобы возобновить расследование и снова арестовать их. «Такие дела можно закрывать за один день: есть информация — пошли, арестовали и осудили. Но из-за бюрократии нам пришлось потратить два года», — объясняет Сачков.

Самое крупное из последних дел Group-IB началось весной 2015-го. 27 февраля курс доллара на московской бирже рухнул с 61 до 55 рублей, затем поднялся до 66 и вновь вернулся к 61. Скачки были вызваны действиями небольшого казанского «Энергобанка» — он совершил ряд ставок на более чем 500 миллионов долларов по нерыночному курсу. В тот же день было возбуждено уголовное дело. «Энергобанк» оценил ущерб от сделок в 244 миллиона рублей и заявил, что в трейдинговую систему проникли посторонние лица. В хакерскую атаку никто не поверил: первый зампред Центробанка Сергей Швецов склонялся к версии о «сознательном манипулировании валютой» или просто «низкой квалификации трейдеров», другие банкиры подозревали правление «Энергобанка» в выводе средств. Расследование ЦБ не выявило манипуляций на валютном рынке, но МВД все равно обратилось в Group-IB, и ее эксперты установили, что сделки совершала хакерская группировка Corkow. Использовавшийся вирус открывает на компьютере канал удаленного управления и заставляет систему выполнять команды хакеров: по данным Group-IB, программа уже проникла в 250 тысяч компьютеров по всему миру и заразила более 100 финансовых институтов. Расследование до сих пор не завершено.

Каждый сотрудник Group-IB понимает, что его работа сопряжена с рисками. «Несколько лет назад, когда киберпреступников редко ловили, они чувствовали себя настолько вальяжно, что не боялись звонить, предлагать деньги нашим сотрудникам и переманивать их на свою сторону», — говорит Илья Сачков. Генеральному директору и сейчас приходят письма с угрозами: «Если человек хочет что-то сделать, он не будет об этом писать, так что я стараюсь не обращать внимания». В его машине выбивали стекла, а в старом офисе на Электрозаводской разбивали окна. На хакерской бирже даже происходил сбор средств, чтобы заказать убийство от лица сотрудника Group-IB.

В ноябре 2015 года в Риге было совершено нападение на Павла Крылова, руководителя направления по развитию продуктов Bot-Trek. После участия в профильной конференции он сел в такси, чтобы успеть на рейс в Москву, но на середине пути таксист брызнул в него баллончиком с перцовым газом, отобрал ноутбук и ключи. Позднее с этого ноутбука злоумышленники пытались подключиться к корпоративной сети Group-IB — сейчас эксперты компании ведут собственное расследование.

«По обороту киберпреступления напоминают наркобизнес и торговлю людьми, — говорит Илья Сачков, — это глобальная преступность, для которой нужно создавать общую киберполицию». Но пока правоохранители предпочитают просто обращаться к Group-IB за помощью. В 2010 году у офиса компании в Мажорном переулке остановилась машина, водитель выгрузил из нее компьютеры и жесткие диски и передал поручение: проверить, лицензионные ли на них программы. Кто-то в правоохранительных органах решил, что дружественной компании можно просто так, без предупреждения, ставить задачи. Партнеры отправили машину обратно: «Мы не знали, как работает система. Думали, что какое-то время будем помогать бесплатно, и постепенно люди поймут, что за работу нужно платить, но они, к сожалению, считают, что если ты предприниматель, то должен им помогать».

В расследованиях Group-IB неизбежно идет на контакт с органами безопасности. «Мы не можем задерживать людей, изымать записи с камер видеорегистраторов и банкоматов. Зато можем разбирать вредоносные программы, смотреть, откуда и кто ими управляет», — поясняет Дмитрий Волков. Если правоохранители задержат организатора киберпреступления, но не докажут хищения, его будут судить лишь по статье 273 УК за распространение вредоносных программ. «Главное в нашей профессии — это терпение, — говорит Волков. — Мучительно ждать, когда мы найдем преступников. Потом ждать, пока их задержат. Иногда приходится ждать годами, это очень утомляет».

Group-IB часто помогает силовикам экспертизой, но деньги за это получает редко. Изменить ситуацию могла встреча Ильи Сачкова с президентом. В июле 2015 года Владимир Путин приехал на молодежный форум «Территория смыслов на Клязьме», а за несколько дней до этого молодого генерального директора готовили к встрече в Фонде развития интернет-инициатив. «Нужно было за минуту понятно изложить, что он вообще делает. Мне понравилось, как он все схватывал на лету», — вспоминает заместитель директора Фонда по коммуникациям Сергей Скрипников. После той встречи на стенах офиса Group-IB и в кабинете Сачкова появилась памятная фотография: правда, по словам бизнесмена, некоторые западные клиенты попросили убрать их логотипы с сайта. Подхода правоохранителей встреча тоже не изменила — большинство структур по-прежнему хотят получать работу бесплатно. Недавно одно ведомство предложило Group-IB контракт: за 30 тысяч рублей в месяц проводить примерно десять экспертиз — при рыночной цене одной экспертизы в несколько тысяч долларов.

Эксперт в сфере безопасности, хорошо знающий Илью Сачкова, говорит, что внимание со стороны руководства страны влечет за собой большую ответственность и может только повредить бизнесу. «Теперь за ним пристально наблюдают, и если он будет немил, его легко выкинут из страны, как это сделали с Дуровым» (основатель «ВКонтакте» Павел Дуров уехал из России в 2014 году).

Из-за кризиса и девальвации рубля переориентироваться на зарубежные рынки стали не только компании, но и киберпреступники. «Злоумышленники из России и стран СНГ фокусируются на Западе, благодаря этому масштабы хищений внутри страны за последний год сократились в 3,7 раза», — утверждает Сачков. Помимо центрального офиса в Москве и дополнительного в Казани, у Group-IB есть сотрудники в Нью-Йорке, на Ближнем Востоке и в Лондоне. Недавно Сачков встречался с премьер-министром Таиланда, и тот предложил ему открыть офис в своей стране.

Два года назад Сачков поинтересовался у знакомого из Европола, не хочет ли полиция Европейского союза познакомиться с Group-IB. Через несколько месяцев его пригласили в Гаагу. «У нас в полиции нет такого драйва, мало молодых людей, к которым хочется обратиться за помощью», — вспоминает он. В просторном зале штаб-квартиры Европола Сачков три часа рассказывал о том, на что способна его команда. После презентации Европол начал многоуровневую проверку компании, которая заняла около года. В июне 2015-го, в разгар политического кризиса между Россией и ЕС, Илья Сачков и заместитель директора по операциям Европола Вил ван Гемерт подписали соглашение о сотрудничестве. «Когда я буду умирать, вспомню этот момент», — смеется предприниматель. До июня 2016 года он рассчитывает подписать соглашение с Интерполом.

Сейчас основатель Group-IB ставит цель войти по выручке в первую десятку мировых агентств в сфере кибербезопасности. Для сравнения, американская Fireye зарабатывает 630 миллионов долларов в год, Trustwave, купленная сингапурской Singtel, — 216 миллионов, а Group-IB — около пяти. Инвестиции, необходимые для выхода на зарубежные рынки, привлечь непросто — венчурные инвесторы смотрят на российские компании с большим скептицизмом, хотя и признают, что они хороши в своей области. «У российских специалистов по информационной безопасности сильная экспертиза и репутация, а в профессиональном сообществе, которое менее политизировано, это имеет большее значение, чем происхождение», — говорит инвестиционный директор венчурного фонда Runa Capital Дмитрий Гальперин. Впрочем, некоторые эксперты, попросившие не называть их имени, полагают, что выводить за границу продукты в сфере безопасности сейчас крайне сложно: «Group-IB должна выбрать, где развиваться: в России или за рубежом».

Илья Сачков называет себя космополитом и утверждает, что хочет продавать свои продукты везде, независимо от настроения властей и геополитической обстановки. Еще одна мечта — построить популярный бренд, «как ФБР, чтобы люди носили футболки и пили кофе в кружках с нашей эмблемой». Но конкуренция с международными корпорациями — сложная задача для любой российской компании, а в сфере безопасности она кажется и вовсе непосильной. Впрочем, и десять лет назад амбициозного студента Бауманки предупреждали, что ничего у него не получится и нужно найти нормальную работу.