Илья Сачков
генеральный директор компании Group-IB
11 апреля МВД сообщило о задержании преступной группы, занимавшейся ограблением банковских счетов частных лиц с помощью вируса для смартфонов. Группу, получившую кодовое имя «Фашисты», удалось разгромить при помощи службы безопасности Сбербанка и компании Group-IB. Генеральный директор Group-IB Илья САЧКОВ рассказал порталу Банки.ру, как его сотрудники помогали расследовать это крупное дело.
– С чего для вас началось дело «киберфашистов»?
– К расследованию нас привлек Сбербанк, когда были выявлены первые зараженные клиенты, у которых происходили попытки списания денежных средств. Любой банк, если у него есть такого рода проблема и он хочет решить ее кардинально, должен сначала понять технологию и людей, которые это делают. Понимая технологию, банк может предотвратить преступление. Понимая людей, он может остановить преступников.
– Насколько это частая практика у банков? Есть ли для них в этом прямая выгода?
– Сбербанк любые попытки нападения на его клиентов либо инфраструктуру старается пресекать, используя законодательство РФ. Если вспомнить расследования 2011–2012 годов, после них общий уровень российского банковского фрода упал на 80–90%. Преступные группы были задержаны. Играть в пинг-понг технологиями можно бесконечно, но победа – это задержать и осудить виновников.
– С чего начинается расследование такого преступления?
– Расследование начинается с анализа скомпрометированного устройства. В данном случае это были Android-смартфоны. Банк обращается к пострадавшему клиенту и просит передать устройство на экспертизу – за счет банка, разумеется.
– Устройство остается у вас?
– Мы устройство не забираем. Мы снимаем с него криминалистический образ, побитовую копию содержимого и исследуем ее в лаборатории. Но если пострадавший хочет участвовать в уголовном деле, устройство должно быть изъято и храниться в сейфе.
– Зачем пострадавшему участвовать в уголовном деле, если девятая статья 161-ФЗ и так обязывает банк компенсировать ему украденные деньги?
– Вообще говоря, сообщать о преступлении, жертвой которого он стал, – обязанность гражданина Российской Федерации. Большинство клиентов этого не делают, так как это требует затраты времени. И мало кто верит, что это приносит какую-то пользу. Но мы считаем, что это делать нужно.
– Что показало исследование криминалистического образа?
– На телефонах работало вредоносное программное обеспечение. На тот момент мы условно назвали его «какой-то вирус». Видим, что он новый. Выяснили, как происходит заражение – ничего особенно хитрого. Пользователю приходило СМС-сообщение с просьбой обновить или поставить Flash Player и со ссылкой. Пользователь переходил по ссылке, загружал себе на телефон вредоносную программу и получал вирус.
– Вирус атаковал только клиентов Сбербанка?
– Не только. Злоумышленники рассылали ссылку всем, чьи номера телефонов у них были.
– Каков мог быть масштаб такой рассылки?
– Хорошей эффективностью заражения считается 5–15%. Заражено было в пике более 300 тысяч пользователей. Полагаю, рассылка могла идти на 3, 5 или 10 миллионов номеров.
– Чем отличаются эти счастливчики, что они сделали, чтобы не заразиться?
– По большей части – не поставили приложение. Были и те, кто кликнул по ссылке, но вирус у них не заработал, так как он не был идеально отлажен. Это зависело от версии Android, настроек операционной системы, от работы других программ на устройстве.
– Чтобы заразиться этим вирусом, пользователь должен «взломать» свой Android, включив установку программ из недоверенных источников и получив root-доступ (возможность вмешиваться в файлы операционной системы. – Прим. ред.)?
– На самом деле нет, не обязательно. Мы нашли несколько версий вируса, одна из которых эксплуатировала уязвимость в операционной системе и заражала устройство без включения установки из недоверенных источников и без root-доступа.
– Может ли пользователь защититься от такой атаки? Спасет ли его мобильный антивирус?
– К сожалению, очень часто новые семплы не обнаруживаются антивирусами, даже с новейшими базами. Причем они могут не обнаружиться на протяжении месяца или двух. Это не значит, что антивирусы не нужны, просто необходимы дополнительные меры контроля.
– В вашем пресс-релизе о расследовании деятельности «киберфашистов» упоминался известный троянец Svpeng. Это тот же Svpeng, обнаруженный еще в 2013 году?
– Не тот же самый, но очень похожий. Вопрос скорее в том, те же ли это люди. Но это пока тайна следствия. Среди киберпреступников есть вирусописатели, а есть группы, которые используют готовые продукты, подстраивая их под себя. Вторых гораздо больше, и денег в свою деятельность они тоже вкладывают гораздо больше.
– Почему «киберфашисты»? Откуда взялось название?
– При проведении оперативно-разыскных мероприятий был получен доступ к административной панели ботнета. В верхнем левом углу панели нарисован орел, держащий в когтях свастику, и во многих других интерфейсах этой программы также была свастика. Несколько раз встретилась и надпись «Рейх». Так мы и назвали группу.
– Как вам удалось получить доступ к административной панели?
– Это делаем не мы, это делают правоохранительные органы по решению суда
– Каков предположительный масштаб потерь от деятельности «киберфашистов»?
– Сказать очень трудно. Далеко не все заявили, далеко не все жертвы были пользователями Сбербанка, вирус не всегда воровал деньги именно со счета в Сбербанке – обкрадывались мобильные счета, счета в других банках.
– В СМИ сообщали, что клиенты Сбербанка находятся под угрозой, однако арест злоумышленников был произведен несколько дней спустя. Многие за это время успели пострадать?
– На самом деле нет. Как раз в случае Сбербанка опасность была гораздо ниже. Дело в том, что после начала расследования Сбербанк с нашей помощью отслеживал активность ботнета и предотвращал хищения.
– Какими средствами банк может защитить своих клиентов?
– У операторов связи установлены наши сенсоры, задача которых – отслеживать общение известных нам вредоносных программ со своими управляющими серверами. Мы получаем IP-адреса жертв, иногда можем посмотреть сами пересылаемые данные – IMEI устройства, логины и пароли в интернет-банк, что позволяет определить, счета каких именно клиентов банка находятся под угрозой. Даже если данные передаются в зашифрованном виде, мы можем перехватить их, добыв ключ шифрования из вируса. Это требует времени, но реально помогает.
Банк подключается к нашей системе мониторинга, и если среди перехваченных данных появляются IMEI телефонов клиентов банка или учетные записи интернет-банка, для этого клиента ставится красный уровень опасности. И антифрод-система не дает проводить операции по его счету. Оператор из банка звонит клиенту и сообщает, что его смартфон заражен и ему нужно выполнить определенные действия.
– Как происходит само расследование преступления?
– Банк пишет заявление в полицию. Мы по заказу банка проводим исследование. Наша задача – доказать, что это именно вредоносная программа. Наш специалист пишет заключение и передает оперативному сотруднику, следователь возбуждает уголовное дело и назначает экспертизу. Параллельно с этим банк заказывает у нас аналитику. Юридически расследование мы проводить не можем, поэтому, пользуясь открытыми источниками информации, составляем картину происходящего. Описываем, как работает ботнет, какую инфраструктуру используют злоумышленники, собираем информацию о самих преступниках. Далее следователь, пользуясь этой информацией, рассылает запросы провайдерам и регистраторам доменов, проводит определенные технические мероприятия. По сути, наша задача сводится к тому, чтобы показать следствию, где искать доказательства и подозреваемых.
– То есть вы можете не доказывать свои выводы, а просто отдаете добытую информацию следствию?
– Нам тоже приходится, по сути, доказывать. Эксперт несет уголовную ответственность за свое заключение. Умышленная или неумышленная ошибка может для него очень плохо кончиться – он из эксперта превратится в обвиняемого, уже по другой статье.
– Что может следствие, чего не можете вы?
– Очень многое. Например, мы не можем получить судебное решение об изъятии сервера. А вот следователь, при возбужденном уголовном деле, выносит постановление об изъятии сервера. Причем это реально, даже если сервер расположен в другой стране. Это дольше и сложнее, но такие прецеденты были.
– Что грозит арестованным злоумышленникам?
– В данном случае дело было возбуждено по 158-й статье УК («Кража»), что очень правильно, так как это фактически кража и есть. В последний раз, когда Сбербанк инициировал расследование по вирусу Carberp, дело также возбудили по 158-й. Там получилось шесть и восемь лет лишения свободы: очень эффективно.
– А чаще всего по каким статьям возбуждаются дела в таких случаях?
– Обычно возбуждают дела по 272-й и 273-й статьям («Неправомерный доступ к компьютерной информации» и «Создание, использование и распространение вредоносных компьютерных программ». – Прим. ред.), и дело разваливается, не дойдя до суда, либо злоумышленники получают условные сроки. В деле по «компьютерным» статьям не все хотят разбираться – это требует специальных технических знаний. А с кражей все просто и понятно. И злоумышленники действительно крадут немалые деньги у жертв, так что все правильно.
– О каких деньгах может идти речь?
– К примеру, наша система только за июль 2014 года обнаружила 900 зараженных вредоносным ПО российских компаний (юридических лиц). Суммарный баланс их жертв – 12 миллиардов рублей. Украсть, конечно, получится не все, но масштаб впечатляющий. В среднем в месяц заражаются сотни юридических лиц и сотни тысяч физических.
Беседовал Михаил ДЬЯКОВ,