Текст: Марианна Смирнова
Этой осенью в издательстве «Эксмо» вышла необычная книга. Начнём с того, что псевдосербские имена её авторов – Гайка Митич и Бойко Двачич – явные псевдонимы. И рассказывают «сербы» о работе в одной российской компании, название которой в книге не упоминается ни разу. Благодаря таким умолчаниям даже жанр книги определить непросто.
О знаковых фигурах IT-сферы пишут много и охотно. Если поставить на обложке имя Кевина Митника или Стива Джобса, можно продавать даже кулинарные рецепты их бабушек. Книга «Вирьё моё» тоже достаточно биографична. Но это не классический байопик, поскольку никакой известной фамилии в названии нет.
Зато в книге есть сквозной персонаж Саша, который в юности коллекционировал компьютерные вирусы. Это хобби приводит его в Москву, на улицу Героев Панфиловцев, где в старом советском здании работает молодая вирусная лаборатория… Добро пожаловать в Хогвартс? В «сказку для младших научных сотрудников»? Но нет, книга не художественная.
Не похожа она и на «историю успеха», где в главной роли – известный бренд, прошедший славный путь от гаража до огромной прибыли. Попытки таких книг на российском рынке бывали. Достаточно вспомнить «Яндекс.Книгу» с ее пафосными интонациями: «Зачатие бизнеса – это самое большое таинство экономики». Авторы «Вирья» выбрали другой путь. Меньше бравировать брендом, больше живых историй.
Что же это за жанр, в котором нам рассказывают, как аналитики соревнуются на скорость выявления вирусов, как они тестируют новый айфон сосиской или уходят от слежки в зарубежной командировке? Сами авторы в предисловии называют это «производственным романом», и даже напоминают, что когда-то в нашей стране было много подобных «книг о профессиях», в стилистике «Иду на грозу» Гранина.
Пожалуй, многие главы «Вирья» имеют полное право называться детективными: кейсы небанальных кибератак поданы с хорошим саспенсом, так что читатель может сам почувствовать себя сыщиком. Если сотрудникам Министерства обороны стали приходить письма, предлагающие поставки камчатского голубого краба по выгодным ценам – к чему бы это? И как компьютерный червь может атаковать центрифуги для обогащения урана, если они не подключены к интернету? А один из кейсов вообще описывается как мистический триллер:
Собирается ли этот коллаж в единую картину? Да, и довольно простым методом: хронологическим. Через историю профессионального роста героя нам показывают историю развития целой отрасли.
Любая сфера на заре своего существования представляет собой дикое поле. То, что задним числом романтизируют как эпоху невиданной свободы. До регламента. До политики. До государства. Читая «Вирьё моё», легко проследить, как меняется во времени причудливый цифровой ландшафт.
Всё начинается с игры. Участники международной хакерской группы «29А» раздают интервью и сравнивают себя с поэтами и художниками. Первые кибербезопасники до такого не доходят, но в их рядах тоже царит интернационал. Девяностые напоминают тот мифический киберпанк, который так никогда и не состоится по-настоящему. Только в лайт-версии. Мрачные цифровые шутники в наличии, а злобных корпораций пока не наблюдается. Хакеры эпохи DOS и FIDO уже подкидывают забот вирусным аналитикам, но их «художества» пока еще не приносят огромных убытков, не парализуют работу аэропортов и вокзалов. Это мы увидим позже. А пока все веселы – и интернациональны, как те пролетарии.
Перелом наступает в нулевых:
Это уже не похоже на искусство ради искусства, это явный криминал. Что же касается свободного обмена опытом с зарубежными коллегами… Лучше всего изменения международной обстановки иллюстрирует такой пассаж:
В игру вступают государства. Появляются «наши доблестные шпионы» и «их подлые разведчики». То есть наоборот, но вы поняли. Вирусные аналитики теперь обязаны разбираться не только в кодах. Вот, например, программа-шпион, которая активизируется не когда вздумается, а во время «арабской весны» на Ближнем Востоке…
Былая романтика уходит. Зато кейсы становятся все страньше и страньше, как говорила Алиса. Вместо стрельбы по площадям – целевые атаки с очень хорошей маскировкой, с целым театром поддельных личностей и фальшивых организаций. В то же время новые технологии, такие как блокчейн и искусственный интеллект, создают ещё более сложные угрозы…
Здесь напрашивается фраза «герои книги отвечают на все эти вызовы». Но нет, герои просто делают свою работу – с неизбежными ошибками и проигрышами, как в любой работе.
Очевидно, «Вирьё моё» можно рекомендовать всем, кто работает в IT-индустрии. И не только им. Гайка Митич и Бойко Двачич объясняют многие вещи буквально «на пальцах», иногда даже на примерах из «Матрицы» и «Шрэка». Поэтому их книгу будет достаточно легко читать и тем, кто далёк от кибербеза. Хотя как можно быть далеким от этого, если у каждого в кармане лежит смартфон?
Гайка Митич, Бойко Двачич. Вирьё моё! Хроники невидимых хакерских войн от Сыктывкара до Сингапура.
М: ЭКСМО, 2025 - 320 с.
***
В 2008 году представители российского Министерства обороны начали получать странные письма. Отправитель предлагал помощь в налаживании поставок камчатского голубого краба по низким ценам. Нужно было только открыть приложенный файл и ознакомиться с деталями выгодной сделки.
Да, это был фишинг. Но отнюдь не массовый – атака шла прицельно, по государственным структурам. Правда, организована она была как-то небрежно. Ну зачем бы военным понадобились крабы Callinectes sapidus из семейства Portunidae?
Объяснение нашлось очень быстро. Проблемой для хакеров оказался языковый барьер: это были китайцы. Не зная языка, они просто взяли первый попавшийся документ на русском – и вставили в него свою заразу.
В последующих рассылках они тоже прокалывались на банальных вещах. Вот российские военные получают поздравление с днём Победы. Вроде обычная электронная открытка на русском, каких множество в Рунете. Однако, когда человек вставляет картинку в Word-файл, в коде файла прописывается путь на компьютере – в какой папке эта картинка лежала. В поздравительной открытке путь был записан иероглифами, выдающими происхождение и название хакерской операции.
В другой раз письмо приходит хотя и с русского домена Mail.ru, но имя отправителя звучит странно: «Сюзанна Белая». Словно бы взяли английское Susan White и прогнали через автоматический переводчик. В вирлабе скапливается целая коллекция таких отправителей с необычными именами.
Однако китайцы быстро учатся. После нескольких успешных проникновений они крадут настоящие документы из атакованных организаций, добавляют к этим файлам своего трояна и рассылают партнёрам организации, теперь уже от имени реальных сотрудников. И у всех этих атак – чёткие цели. В следующие семь лет практически каждый российский НИИ, связанный с оборонкой, будет объектом интереса китайских хакеров.
Но в 2008 году «Голубой краб» был первым случаем целевой атаки, с которой столкнулся вирлаб. Другим примером стала атака GhostNet, тоже очень топорная работа: можно было увидеть китайские IP-адреса управляющих серверов, куда шпионская программа отсылает данные.
Тем не менее, это был совершенно новый тип угрозы, который требовал новых подходов со стороны защиты. Здесь недостаточно просто поймать вредоносный файл. Целевая атака – не разовая акция заражения, а хорошо подготовленная, многоходовая операция, которая может скрытно продолжаться многие месяцы, с использованием разных методов и инструментов.
По счастливому совпадению, именно в это время в компании, где работает Саша, появляется новый отдел с международным уклоном. Правда, когда собирали эту группу экспертов, никто ещё не знал, что именно им придётся напрямую столкнуться с деятельностью спецслужб.
***
Подпольная лаборатория на окраине Москвы. Кругом различное оборудование с мигающими лампочками и бурлящими жидкостями в колбах. А в центре зала, в свете ярких неоновых ламп, группа людей в белых халатах окружила металлический стол. Не столе лежит крупный человек в джинсах.
Саша, стоя во главе стола, поднимает лазерный скальпель и говорит:
– Нам нужно экспертное присутствие на международном уровне. Но Главный у нас один. Он не может выступать в разных странах одновременно. Остаётся только один выход: нам придётся клонировать Главного. Сестра, дайте пятьсот кубиков кубинского рому!
Но это, конечно, версия для фильма. В реальности всё было помедленней. К 2008 году антивирусная компания уже неплохо разрослась. Помимо вирлаба с дневными и ночными «дятлами», здесь есть: группа криптоаналитиков, которые умеют распаковывать всё, что запаковано; группа тестирования и выпуска апдейтов антивируса; группа реагирования на инциденты у клиентов (та самая форенсика); группа анализа мобильных угроз с хорошо экранированной комнатой, где можно отдыхать от телефонных звонков. И в центре всего этого – большая внутренняя база данных, огромная вирусная коллекция, поддержкой которой тоже занимаются специальные люди.
Однако всё это находится в Москве. А ведь надо работать и в регионах, и в других странах. В компании уже есть несколько зарубежных экспертов, но они далеко, у них нет доступа к внутренней инфраструктуре, и в целом они не очень заметны. После первой большой встречи с этими коллегами в 2007 году стало ясно, что зарубежные представители могли бы делать больше полезного на местах – включая и расследование инцидентов, и взаимодействие с международным сообществом ИБ-экспертов.
Некоторое взаимодействие, конечно, уже идёт. Аналитики вирлаба участвуют в работе различных онлайн-сообществ, такие группы теперь создаются даже вокруг отдельных угроз. В начале 2009 года эксперты нескольких ИБ-компаний и университетских лабораторий, представители провайдеров и правоохранительных органов собираются в Confiсker Working Group для борьбы с эпидемией червя Confiсker.
Это очень продвинутая зараза, которая строит гигантский ботнет: по некоторым оценкам, всего было заражено более 50 миллионов компов по всему миру. Распространяется червь сразу несколькими способами: помимо автозапуска с заражённых флешек, он умеет загружаться на комп прямо из Интернета, через уязвимость в сетевой службе. Затем червь атакует другие компы в локальной сети, используя уязвимости Windows и перебор популярных паролей. При этом на заражённых машинах он отключает обновления Windows и самостоятельно патчит «свою» уязвимость, чтобы её не использовала другая малвара – но оставляет возможность обхода заплатки для собственных новых версий.
Поскольку заражённые компы сразу же используются для новых атак, в сетях очень повышается объем трафика. А иногда перебор паролей, которым занимается червь, приводит к автоматической блокировке всех учётных записей в домене, причём блокируются даже администраторы. В таких случаях вся работа организации останавливается.
Особое внимание создатели червя уделили проблеме контроля: захват управляющего сервера может быстро обезглавить ботнет. Решение – постоянное изменение управляющего сервера: червь ежедневно генерирует 250 случайных веб-адресов и стучится туда для получения команд и дополнительного исполняемого кода. Это должно предотвратить быстрый перехват управляющих серверов…
…чем и занимаются ИБ-эксперты, собравшиеся в Conficker Working Group. Они анализируют код малвары, вычисляют способы генерации доменов, отслеживают новые вредоносные сайты и сообщают доменным регистраторам о необходимости блокировки этих адресов.
Кроме того, борцы с ботнетом могли бы, захватив управляющий сайт, послать свои инструкции на заражённые компы для отключения вредоносных модулей. Но создатели Conficker предусмотрели этот ход: вредонос использует цифровые подписи для проверки своих компонент, и криптоалгоритм RSA с супер-длинным ключом не даёт возможности взлома.
И это ещё не всё: третья версия червя генерирует уже 50 тысяч доменов ежедневно. Их становится всё труднее выслеживать, да и доменные регистраторы недовольны, когда им предлагают блокировать такое количество доменов. А четвёртая версия Conficker ещё дальше уходит от централизованного управления: заражённые машины могут рассылать друг другу обновления, минуя управляющий сервер. Фактически, создаётся P2P-сеть из миллионов узлов, на очистку которых потребуются годы.
И опять коллективный разум безопасников должен придумать решение. Оказывается, при создании этой P2P-сети заражённые машины случайным образом сканируют Интернет. Когда им попадаются такие же заражённые машины, они обмениваются данными о других известных заражённых, чтобы все объединились в одну гигантскую сеть.
Но в реальной жизни нельзя доверять случайным прохожим, а компьютерные черви об этом не знают. Это можно использовать против них: внедрить свой «случайный» компьютер в эту сеть и раздавать заражённым машинам ложный список адресов «других заражённых» – а в действительности перенаправить всех на один сервер, превратив децентрализованный ботнет в централизованный. Правда, тут возникнут серьёзные юридические вопросы: это уже не просто захват одного управляющего сервера, а получение потенциального контроля над миллионами компов…
Вот примерно так происходит международное сотрудничество. Но всё это – через Интернет, через медленную переписку с незнакомыми людьми. А хочется как-то поживее, ведь реагировать на угрозы надо более оперативно.
Тот же Confiсker вылавливали очень долго. В 2010 году в Непале, где Саша будет готовиться к очередному восхождению, он купит новую флешку для фотоаппарата. Несмотря на заводскую упаковку, на флешке будет обнаружен тот самый червь. Это значит, что даже спустя два года после начала эпидемии где-то будут ещё оставаться целые заражённые фабрики, выпускающие заражённые флешки.
Итак, эксперты вирлаба начинают активно заявлять о себе вживую на международном уровне. На конференции Virus Bulletin-2008 коллеги Саши делают сразу шесть докладов. А сам он, покинув отдел мобильных угроз с уютной «клеткой Фарадея», становится главным координатором этой международной активности.
