Полная версия
Вирьё моё! Хроники невидимых хакерских войн от Сыктывкара до Сингапура
Со временем руководство SGWW стало всё больше склоняться к идеологии антисоциального толка. Причиной, очевидно, была безнаказанность. Хотя за 10 лет в составе группы побывало более 100 человек, никого из них не привлекли к ответственности за киберпреступления — в то время ещё не было нужных статей Уголовного кодекса. Как только они появились, активность группы стала сходить на нет. К тому же люди повзрослели, обзавелись семьями и стали интересоваться другими вещами. Сейчас многие из них вполне устроены, некоторые даже работают руководителями в известных компаниях.
Однако значительная часть членов SGWW влилась в ряды русскоязычной киберпреступности. Здесь, пожалуй, и возникает отличие от зарубежных хакерских групп того времени. На Западе большинство таких «исследователей» легко находили себе легальную высокооплачиваемую работу. Не в антивирусной индустрии, конечно, но программисты они были хорошие.
На территориях развалившегося СССР получить такую работу было сложней. Зато преступный мир привлекал высокими доходами, а милиция ещё не умела расследовать такие хитрые дела. Неслучайно писатель Брюс Стерлинг, посетивший Россию в середине 90-х, назвал её «страной победившего киберпанка».
И ещё одно отличие отечественной киберпреступности, связанное с деньгами. В начале 2000-х западная IT-индустрия стала назначать крупные денежные награды за информацию о хакерах. И как показал пример Свена Яшана, метод зачастую помогал… но не в случае русских хакеров.
До сих пор на сайте ФБР висит предложение заплатить три миллиона долларов за «Славика» из Анапы, который считается автором банковского трояна Zeus. Долгое время это была максимальная награда, которую когда-либо обещали за голову киберпреступника. Но никто не позарился на этот приз.
Недавно рекорд побило новое объявление: 10 миллионов предлагают за информацию, которая поможет арестовать Руслана Перетятько и Андрея Коринца, обвиняемых в атаках на американскую оборонку в составе группировки Callisto / Coldriver. И специально для увеличения числа забавных совпадений в нашей книге Минюст США уточняет, что оба хакера — из Сыктывкара. Как и наш герой Саша.
# # #
Чем же отвечала антивирусная индустрия? Разумеется, все компании были конкурентами. Все боролись за клиентов, контракты, партнёров. Но на экспертном уровне индустрия дружила.
Создатели первых антивирусных утилит начали обмениваться информацией ещё через сеть FIDO. В 1990 году они создали CARO — Computer Antivirus Research Organization. В ней зародились общие правила и стандарты безопасности. Например, Virus Naming Convention — соглашение о том, как называть новые вирусы. Членство в CARO стало синонимом признания среди спецов мирового уровня.
Другое заметное явление — Virus Bulletin. Этот журнал выходил ещё в 1989 году и сначала в бумажном виде. Со временем проект превратился в лабораторию по тестированию антивирусных продуктов: лучшим присуждали премии. Конференция VB на многие годы стала главным мероприятием индустрии, а выступление на ней — мечтой каждого ИБ-эксперта.
Обмениваются эксперты не только информацией, но и самими вирусами. Раз в неделю вирлаб, где работает Саша, отправляет множество своих находок коллегам из Norton Antivirus, а те в ответ присылают свой зоопарк. Со временем в таком обмене будут участвовать все антивирусные компании: европейские, американские, азиатские.
Мешает ли это развивать собственный бизнес? Нет, поскольку каждая компания создаёт свои технологии детектирования и удаления заразы. Кроме того, признание профессионального сообщества помогает продвижению на рынке. А чтобы завоевать доверие коллег, надо участвовать в конференциях, публиковать статьи, выступать с исследованиями. Скрытные же вызывают подозрение.
И чем сложнее угрозы, тем активнее кооперация. Из сообщества на пару десятков человек вырастает индустрия с сотнями тысяч сотрудников и десятками миллиардов долларов оборота. Но на уровне технических специалистов принципы сотрудничества много лет остаются прежними.
Появляются даже проекты типа VirusTotal.com. Запущенный в 2004 году испанской компанией Hispasec Sistemas, этот сайт позволяет загрузить подозрительный файл и проверить его большинством известных антивирусов. А создатели антивирусов, которые предоставили проекту свои движки, получают образцы новой малвары для улучшения качества своих детектов. Вот такая коллективная милота.
# # #
Ну что, дорогой читатель, ты уже поверил в этот простой чёрно-белый мир, где вирусописатели живут совершенно отдельно от антивирусной индустрии, никогда не берущей их на работу, а в самой индустрии царит мир, дружба и жвачка?
Нет, это была лишь присказка. Наш детективный роман только начинается. И в нём, конечно же, всё будет «не так однозначно».
С годами геополитика активнее вмешивается в дружественный мир экспертов по безопасности. Медийная паранойя про вездесущих русских хакеров начинает портить отношение даже к тем, кто вовсе не преступник.
В 2012 году на московской конференции по безопасности PHDays выступал известный американский криптограф Брюс Шнайер. После конференции он очень хвалил её: «Она вдохновляет, она практична и весьма контркультурна». Да что Шнайер! — на той же конференции выступал крепкий мужик из Пентагона, рассказывал про отличие арабских хакеров от китайских.
Но вскоре ветер переменился. И в 2018 году тот же Брюс Шнайер в интервью журналу The Daily Beast уже не может позволить себе позитивные высказывания о московских коллегах. Ту же самую конференцию он теперь описывает как базу для тренировки и найма русских хакеров и всячески дистанцируется от организаторов мероприятия: «Они подарили мне красивый жёсткий диск, отделанный кожей, с ручками и циферблатами в духе стимпанка. Но я никогда не подключал его ни к чему!» [3]
Изменились и многие ИБ-проекты, славившиеся международным сотрудничеством. В 2012 году корпорация Google купила тот самый VirusTotal, где любой желающий мог проверить подозрительный файл. А ещё через три года этот сервис, как и прочие сервисы Google, стал недоступен для жителей Крыма. Словно бы люди на этом полуострове заслужили больше вирусных атак, чем жители других регионов.
Впрочем, об этом позже. А пока вернёмся в начало 2000-х. Не столь однозначен был и полный отказ антивирусной индустрии от контактов с «тёмной стороной». Вылавливать заразу только тогда, когда она уже распространяется — слишком пассивная стратегия. Всё-таки это война, и реакция должна быть максимально оперативной. А ещё лучше — проактивной.
Смотрите, вот вирмейкерская группа собирается опубликовать очередной выпуск электронного журнала с описаниями своих новых концептуальных творений, из которых преступники тут же начнут клепать разные версии боевой заразы. Но если аналитикам удастся получить эти концепты заранее, можно научиться детектировать вирус ещё до того, как зараза пойдёт атаковать широкие массы.
Сейчас уже можно рассказать, какая социальная технология помогала решить эту задачу: антивирусная индустрия активно использовала агентов на стороне противника. Эти люди, внедряясь в вирмейкерские группы, получали доступ к опасным разработкам ещё до публикации. А значит, могли переслать такие данные в вирлаб для анализа. Формально они не были сотрудниками компании. Просто сознательные добровольцы. Но именно такой человек помог оперативно создать лекарство для борьбы со следующей, уже беспроводной эпидемией.
Глава 4. КЛЕТКА ФАРАДЕЯ
В августе 2005 года, на 10-м чемпионате по лёгкой атлетике в Хельсинки, российская прыгунья с шестом, к тому времени уже олимпийская чемпионка Елена Исинбаева установила очередной мировой рекорд. Она взяла высоту в 5,01 метра.
В то же самое время, пока спортсмены показывали чудеса бега, прыга и метания на олимпийском стадионе финской столицы, первый в истории мобильный червь незаметно захватывал смартфоны болельщиков на трибунах того же стадиона.
Червь быстро перепрыгивал с одного мобильника на другой, преодолевая расстояния до десяти метров. Безо всякого шеста, поскольку распространялся он по радиопротоколу Bluetooth.
Чтобы сдержать эпидемию, представителям финской антивирусной компании F-Secure пришлось на следующий день установить на входах стадиона специальные сканнеры. С помощью этих устройств отлавливали пользователей с заражёнными устройствами и не пускали их на чемпионат.
До этого беспроводной червь заразил уже тысячи смартфонов Nokia по всему миру, будучи первым червём для операционной системы Simbian. По подсчётам аналитиков, для заражения всех таких смартфонов в Москве ему понадобилось бы лишь четыре часа.
Однако в Москве эту заразу научились детектировать на год раньше, в июне 2004-го. Червя назвали Cabir. Ну или в полной версии, вместе с профессией и местом проживания — Worm.SymbOS.Cabir.
Более того, в Москве даже предсказали его появление: ещё на полгода раньше. В декабре 2003-го нашему герою Саше, который уже целый год проработал вирусным аналитиком, наконец-то разрешили выступить на публике. Вирлаб проводил пресс-конференцию, посвящённую итогам года в сфере кибербеза. И кто-то из журналистов спросил: а как насчёт мобильных вирусов, когда же они появятся и порадуют общественность?
Саша ответил: «Через год, когда мы снова соберёмся на такое же итоговое мероприятие, они, скорее всего, уже будут».
Это был его первый прогноз, в который он и сам не очень верил. Вокруг были только классические вредоносы для операционки Windows, а она не спешила стать мобильной. Не особенно взлетела и зараза для карманных компьютеров Palm: файловые вирусы для него появились ещё в 2000-м, но они не летали без проводов. Казалось бы, ничто не предвещало…
# # #
Итак, на дворе горячий июнь 2004-го. В вирлабе уже появились ночные смены — благодаря ещё четырём аналитикам, присоединившимся к команде, разбор вредоносного потока стал круглосуточным. А один из агентов с доступом к материалам вирмейкерской группы 29A только что прислал очередную инновацию, которая разработана этой группой и вскоре будет опубликована.
Обычно у дежурного аналитика уходит не более получаса на обработку сэмпла. Но в этот раз дежурный задумался надолго. Зараза создавалась не для Windows, не для процессоров на архитектуре x86. Какой-то совсем другой ассемблер — раньше с таким никто в лабе не сталкивался.
Дежурный передал проблему ночному сменщику. Сменщик Роман оказался проворнее. Он выяснил, что малвара написана для мобильной операционки Symbian. Ещё за пару часов он разобрался с ARM-ассемблером и понял, что делает этот код.
Зараза попадает на смартфон через Bluetooth, сканирует окружающие устройства с таким же беспроводным доступом и пересылает свои копии на них. При этом никакой вредоносной нагрузки, чисто концептуальная игрушка — заразить как можно больше окружающих. Но есть минус для пользователя: постоянные попытки червя раздать свои копии сажают батарею смартфона.
Дальше аналитикам нужно было воспроизвести заражение. Долго искали по офису, у кого из коллег есть подходящая Nokia. Нашли пару устройств, вежливо попросили «дать поиграть». Загрузили червя на один из них и стали ходить рядом, включив Bluetooth на втором устройстве. Сработало: на второй смартфон прилетел файл, выводящий надпись «Caribe».
А что с названием, кстати? Наверное, было бы проще всего называть вирусы именно так, как называются их файлы. В данном случае — Caribe. Но в антивирусной индустрии не принято использовать «авторские» имена вредоносов, чтобы не создавать тем авторам лишнюю рекламу.
Однако название должно быть связано с заразой. Главный покрутил слово «Карибы» так и эдак, после чего вспомнил сотрудницу с созвучной фамилией. Позвонил ей:
— Слушай, хотим в твою честь новый вирус назвать: «Кабир».
— Ха-ха. Ну можно…
На следующий день утром она позвонила Главному сама:
— Ты что мне устроил! Мог бы сказать, что это первый вирус для мобилок! Мне друзья весь телефон оборвали!
Кстати, эту главу мы неслучайно начали с женских рекордов. Не то чтобы нам очень хотелось порадовать феминистов, просто тем жарким летом 2004 года в вирлабе случилась сразу пара достижений, связанных с женщинами.
Буквально через месяц после поимки первого Symbian-червя Cabir, названного в честь сотрудницы, был пойман и первый вирус для другой мобильной платформы — Windows CE. Назвали его Duts. Это тоже была ночная смена. А дежурного аналитика, который во всём разобрался, звали Алиса.
# # #
На примере «Кабира» можно хорошо увидеть, что происходит дальше с концептами, которые появились как достаточно безвредные. Когда группа 29A открыла фрагменты исходного кода в очередном номере своего электронного журнала, новые модификации Cabir стали появляться каждую неделю.
Заражению подверглись даже сотрудники компании, в которой работал Саша. Это был, как говорят военные, friendly fire. Дело вот в чём. Бродя по городу, Саша и его коллеги-аналитики продолжали отлавливать варианты «Кабира» в дикой природе типа московского метро. А затем тестировали их у себя на работе. Через некоторое время сотрудники с других этажей стали жаловаться, что к ним через Bluetooth стучатся какие-то подозрительные файлы.
Стало ясно, что проводить эксперименты с беспроводной заразой нужно в изолированной среде. Так в компании появилась специальная комната, над устройством которой поработали радиофизики. Наконец-то знания соседей по зданию, создававших в советское время секретные радары, пригодились мирному населению. Помимо экранирования мобильных вирусов, специальная комната позволяла экспертам отдохнуть от навязчивых звонков.
Появление этой «клетки Фарадея» предвещало кардинальную смену парадигмы. На пороге стояло будущее, в котором вредоносное ПО уже не ограничивается привычными компьютерами. А значит, вирлабу понадобится исследовать и тестировать телевизоры, холодильники… автомобили?
С автомобилями их опередили коллеги из финской компании F-Secure, благо они обитали гораздо ближе к финской «Нокии», производящей операционку Symbian. А на этой операционке уже работали медиасистемы нескольких моделей автомобиля Toyota. Когда в «Нокии» узнали про «Кабир», то сразу призвали соотечественников из F-Secure для тестирования. «Тойоту» загнали в экранированный подземный гараж и атаковали «Кабиром» с заражённого мобильника.
Компьютерная система автомобиля отказалась принимать вирус через Bluetooth. Однако выявилась другая проблема: после интенсивных тестов у машины сел аккумулятор, а бортовой компьютер вырубился. Машина буквально «умерла» — даже дверные замки перестали открываться. Позже какие-то немецкие исследователи-экстремалы проводили аналогичные тесты и на улице: ставили над автобаном Bluetooth-пушки, бьющие на 50 метров, и сканировали автомобили на ходу.
Испуганные разработчики операционки стали спешно закручивать гайки. Например, ограничили функционал для сторонних разработчиков. Кроме того, Bluetooth теперь включался не по умолчанию, а только по команде пользователя.
Что до вирлаба, где работал Саша, то там, конечно же, выпустили антивирус для Symbian. Отдельный движок, отдельные базы и инфраструктура обновлений. Однако многие люди на тот момент вообще не понимали, зачем нужен антивирус, и не спешили его ставить. Так что клоны «Кабира» успешно распространялись по миру, это и привело к эпидемии на стадионе в Хельсинки спустя год после первого обнаружения этого червя.
С другой стороны, в начале 2000-х смартфоны с полноценными операционками типа Symbian или Windows CE были ещё не особо распространены: 90% пользователей имели простые мобильники с программами на Java. Трояны, нацеленные на такие устройства, стали серьёзной мобильной угрозой — они буквально крали деньги. Пользователь скачивал с какого-нибудь форума Java-приложение, которое маскировалось, например, под игру «Змейка». Заразив телефон, вредонос начинал отсылать SMS на платные номера.
Для молодёжи надо пояснить, что существовал в то время такой удивительный сервис у телеком-операторов: посылаешь SMS на короткий номер, и у тебя автоматически списывается сотня-другая рублей. Сервис использовали для различных викторин, телефонного секса и прочих вариантов «относительно честного отъёма денег у населения». Но ведь гораздо удобнее, когда самому пользователю вообще ничего делать не надо — мобильный вирус может автоматически посылать SMS, опустошая твой мобильный счёт.
Следующим прорывом в сфере мобильной заразы стал червь Comwar, появившийся в 2005 году. Он использовал два способа распространения: через Bluetooth и в виде MMS-сообщений, которые червь рассылал по всему контакт-листу заражённого устройства. Сообщения маскировались под всё то, что пользователь с удовольствием загрузит: игры, порно, антивирусы. В городе Валенсия этот червь заразил сотни тысяч смартфонов, нанеся ущерб на несколько миллионов евро.
Разнообразие мобильной заразы быстро росло. Уже через пару лет после выхода довольно безвредного «Кабира» антивирусная индустрия имела дело с полным спектром угроз на мобильных платформах. Поэтому в компании, где работал Саша, создали специальное подразделение анализа мобильных угроз, которое он же и возглавил.
Этому отделу пришлось не только изучать совершенно новый набор устройств, но и придумывать новые способы защиты. К примеру, как распространяются MMS-сообщения? По сути, это электронная почта в сети мобильного оператора. Саша и его коллеги договорились с рядом телекомов, чтобы включить на почтовых шлюзах проверку на мобильные вирусы. Статистика впечатляла: счёт заражённых сообщений шёл на сотни тысяч. Но на почтовом шлюзе заразу можно вырезать сразу, не дожидаясь, пока она достигнет адресатов.
Забегая вперёд, отметим, что дальнейшая эволюция мобильных угроз принесла ещё много сюрпризов — а вот технология Bluetooth спустя десять лет была практически забыта вирусописателями. Редким примером её использования стал многофункциональный троян Flame, атаковавший страны Ближнего Востока в 2012 году. Он умел многое, в том числе распространяться по Bluetooth. А основной его задачей был шпионаж, включая прослушку через микрофоны заражённых устройств. Но о таких крутых шпионах мы расскажем в отдельных главах.
Глава 5. ПРИНЦИП ЛУКОВИЦЫ
Доводилось ли вам видеть на двери своего подъезда бумажное объявление, предлагающее услуги «компьютерного мастера»? Мастер обещает вылечить ваш комп от любых вирусов и поставить все нужные программы. Ниже написан телефон или ещё какой контакт.
Не советуем пользоваться этими контактами: известно много мошеннических схем вокруг таких объявлений. Ради навязывания дополнительных услуг подобный мастер может нарочно «залечить» ваш комп до состояния полной тыквы. Обращайтесь лучше к проверенным людям.
Профессиональные сервисы такого рода называются по-разному. Но в самых крутых случаях звучит слово «форензика». Вообще это раздел криминалистики: эксперты выезжают к клиенту, у которого что-то произошло в компьютерной сети, изучают детали инцидента и собирают цифровые доказательства для расследований и судов.
«Но мне-то зачем такой мастер? — спросит иной читатель. — Могу же сам поставить антивирус, он и поймает всю заразу. А в суды я вообще не люблю ходить…»
И действительно, в начале 2000-х годов таких сервисов с выезжающими экспертами практически не было. Саша и его коллеги просто анализировали новые образцы малвары и добавляли детектирующие записи в базу антивируса. Но так работало не всегда.
Весной 2005 года служба безопасности крупного банка обратилась в вирлаб с необычной просьбой: приехать и посмотреть кое-что. Аналитики в ответ попросили прислать подозрительные файлы для исследования. «Никаких файлов нет», — сказали в банке.
Делать нечего — Саша и ещё один аналитик, Алексей, отправились в московское отделение пострадавшего банка, захватив с собой некоторые программки-утилиты, которые использовали на работе.
В банке они услышали такую историю. На компьютерах в одном из отделений сформирована проводка на перевод денег со счёта на счёт. Сейчас такие операции автоматизированы, но в начале 2000-х они ещё требовали участия людей. Перевод оформляет операционист банка, затем подтверждает контролёр — и транзакция проходит. Но в этот раз перевод произошёл ночью, когда в банке никто не работал.
Это и насторожило безопасников, проверявших ночные логи. Однако на жёстких дисках компьютеров, с которых совершалась операция, они ничего не нашли. Антивирус тоже молчал. Компы привезли в центральное московское отделение банка и оставили Сашу и Алексея в одной комнате с этими машинами.
Вносить свои изменения в жёсткий диск банка нельзя — вдруг он ещё будет фигурировать как вещдок в суде. Поэтому парни копируют его содержимое на свой диск и исследуют привезёнными с собой утилитами. Смотрят логи запуска и остановки системных процессов, пытаются найти свежесозданные файлы.
Но логи не показывают никаких необычных процессов, либо они просто подчищены. И новых файлов нет: все системные файлы как будто созданы в одно время, когда установили операционную систему.
Следующая идея — взять весь список файлов и сравнить со стандартным списком того, что должно быть установлено в чистой системе. Эта проверка занимает целый день… и всё же удаётся найти подозрительный драйвер, с которым что-то не то. Файл отправляют электронной почтой в вирлаб, чтобы там посмотрели на него повнимательнее.
Когда Саша и Алексей возвращаются на работу, дежурный аналитик Алиса сообщает им результаты — это руткит. Программа, которая умеет скрывать свою работу от операционной системы. Запустив подозрительный драйвер, коллеги видят это воочию через файловый менеджер FAR: файл исчез из каталога.
# # #
Чтобы пояснить, как работает такая зараза, придётся немного углубиться в общую архитектуру программного обеспечения на популярных в то время персоналках. Сильно усложнять не будем. Лишь вспомним, как в известном мультфильме Шрек сообщил Ослу, что тролли — парни непростые. «Тролль как луковица, у него есть слои!» — говорил тогда Шрек.
Примерно так и с программами на компе. Самый глубинный, самый низкий уровень — прошивка. Это встроенное программное обеспечение, которое обычно записывается в постоянную память устройства при изготовлении. Самый простой машинный язык, управляющий «железом».
Дальше идёт BIOS, базовая система ввода-вывода. Это набор более продвинутых микропрограмм, которые процессор достаёт из постоянной памяти и записывает в оперативную, после чего передаёт управление этой системе.
Получив управление, BIOS проделывает ряд процедур начальной загрузки: тестирует подсистемы компьютера, применяет всякие настройки, а затем загружает в оперативную память код загрузчика операционной системы и передаёт управление ему.
Дальше загружается более высокий слой: собственно операционная система, куда входит множество разнообразных программ для управления устройствами — драйверы. Операционка даёт вам понятный интерфейс, то есть абстрактный язык, позволяющий работать с файлами и прикладными программами. Вы всего лишь двигаете иконку файла на экране, а операционка переводит это на более конкретный язык своего драйвера, типа «возьми данные по такому-то адресу на диске и запиши их по другому адресу на другом диске». Ну а этот машинный язык переводится в самые низкоуровневые команды для процессора. Как-то так в общих чертах устроена многослойная душа нашего Шрека.
После загрузки в память руткит работает на уровне ядра операционной системы (kernel level). Он маскируется под легальный драйвер Windows и имеет такие же высокие привилегии, то есть может перехватывать управление программами, которые работают в более высоких слоях луковицы.
Это и даёт руткиту возможность «подчистить» файловую систему, скрывая определённые файлы. По той же причине увидеть работу руткита не позволяли инструменты, которыми пользовались Саша и Алексей. Ведь эти утилиты работали на достаточно высоком уровне.
О методе руткита знали ещё с 80-х годов. Уже тогда архитектура программного обеспечения позволяла проводить эксперименты с запуском «нестандартных» программ, имеющих слишком большие права. Такие утилиты вначале появились в UNIX-системах, откуда и пошло их название (root — администратор UNIX-системы, kit — набор инструментов).
Но той весной 2005-го вирусные аналитики столкнулись с первым боевым применением этой техники под Windows. И тут же выяснилось, что такая малвара попала в вирлаб не впервые.
— Я такое уже видела, — говорит Алиса, глядя на код.
Парни с удивлением смотрят на неё — ну, примерно как смотрел тот парень, которого Анджелина Джоли доводила в сами-знаете-каком фильме. Алиса и выглядит соответствующе: коротко стриженная, в джинсах и кожанке, в крепких мужских ботинках, с микросхемами на рюкзаке и татуировкой-иероглифом на руке. Она выучила ассемблер в 15 лет и бросила учёбу в двух технических вузах.