Forbes
$65.93
73.47
DJIA17873.22
NASD4933.50
RTS923.69
ММВБ1932.79
Павел Седаков Павел Седаков
обозреватель Forbes 
Поделиться
0
0

Криминалисты из интернета: как устроено главное в России кибердетективное агентство

Криминалисты из интернета: как устроено главное в России кибердетективное агентство
Фото Юрия Чичкова для Forbes
Илья Сачков и его партнеры создали крупнейшего частного игрока на рынке расследований киберпреступлений. Услугами Group-IB пользуются известные компании и спецслужбы

Кроме того, в Group-IB есть бывшие сотрудники силовых ведомств. «Но у нас все же преобладают гражданские, бывших сотрудников Экспертно-криминалистического центра МВД не больше 5–6 человек», — говорит Сачков. «Бывшие» со связями необходимы в этом бизнесе. «В США частное лицо может получить значок помощника шерифа и разыскивать бандитов или киберпреступников, у нас западную модель воспроизвести невозможно», — говорит Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. «Если посмотреть наш закон о частной детективной деятельности, так в России ее вообще быть не должно», — добавляет он. Сам Стоянов в 2006 году в звании майора ушел в свободное плавание, несколько лет его компания самостоятельно занималась расследованиями, а в 2012-м вошла в состав «Лаборатории Касперского». Мелкие частные компании в этом бизнесе не выживут, уверен Стоянов, это бизнес больших корпораций. В его отделе всего шесть сотрудников, но он может пользоваться всеми ресурсами «Лаборатории», компании с выручкой $628 млн в 2012 году и штатом 2800 человек.

Деньги за результат

Свесившись с крыши на веревках, спецназовцы в черных касках и бронежилетах вместе с выломанной рамой ввалились в окно 15-го этажа. «Звон падающих стекол, крики «На пол!», подозреваемый ползал по полу в трусах и визжал», — красочно описывает в своем отчете криминалист Group-IB Артем Артемов финальную стадию операции по задержанию весной 2012 года одного из лидеров хакерской группы Carberp. От хакеров пострадали клиенты 100 банков по всему миру, только в I квартале 2012-го они похитили минимум 130 млн рублей.

Момент захвата детективы Group-IB наблюдают как зрители, их основная работа сделана раньше. Когда преступники задержаны, криминалисты Group-IB проводят экспертизу их компьютеров и серверов, чтобы найти связи с преступлением. «Наша задача — предоставить аналитическую информацию и выстроить логику расследования, если ее не видят сотрудники полиции», — объясняет глава отдела расследований компании Дмитрий Волков. После завершения расследования сотрудники Group-IB выступают свидетелями и экспертами в суде, но исход процесса может быть разный.

«Заказчики часто хотят конечный результат: вы получите деньги, как только мы увидим человека в тюрьме. Если не сел — поработали зря», — объясняет Руслан Стоянов. Почасовая плата за расследование в России не принята, чаще работу оплачивают поэтапно. Компьютерная криминалистическая экспертиза у Group-IB стоит $10 000–15 000, расследование с выездом на место происшествия, экспертизой и фиксацией цифровых следов, поиском преступников и их персональных данных — минимум $200 000–300 000. Но у частных детективов есть специфические риски. «Банк может заплатить за расследование кейса 8 млн рублей, а может и 2 млн. Говорят: бюджет такой, больше не можем», — говорит Сачков.

Расследование кибератаки занимает обычно один-два месяца. В сборе информации помогают не только социальные сети, но и агентурная сеть. «Мы есть на хакерских форумах, подпольных андеграундных площадках: смотрим, кто о чем пишет, кто чем занимается», — поясняет Сачков.

Если хакер украл базу, через несколько дней он обязательно выложит ее на продажу.

Те же методы используют спецслужбы: ФБР в свое время создало закрытый форум Market, которым хакеры активно пользовались вплоть до начала массовых арестов его участников.

Кибердетективы не имеют права проводить обыски, прослушивать телефоны и вести наружное наблюдение, но используют в своей работе те же методы сбора и анализа информации, что и спецслужбы. Кроме того, говорит Сачков, до 20% всех экспертиз Group-IB обеспечивают силовики — МВД, ФСБ, ФСКН и Следственный комитет. И иногда детективов обвиняют в том, что они дружат с «органами».

Дело Врублевского

В июле 2010 года на сайте «Аэрофлота» вдруг перестали проходить электронные платежи. Сервер процессинговой компании Assist, обслуживавшей авиаперевозчика, подвергся мощной DDoS-атаке и «лежал» девять дней. «Аэрофлот» считал убытки: компания потеряла не меньше 147 млн рублей.

Спустя год в аэропорту Шереметьево пограничники задержали загорелого мужчину, прилетевшего с женой и детьми с Мальдив. Это был Павел Врублевский, один из создателей процессинговой системы Chronopay, главный подозреваемый в деле об атаке на «Аэрофлот». Полгода Врублевский провел в СИЗО Лефортово, где написал признательные показания. Позже, выйдя под подписку о невыезде, заявил, что оговорил себя под давлением. Но суд в итоге приговорил Врублевского в июле 2013 года к 2,5 годам колонии, обвинив его в организации DDoS-атаки на своего конкурента, Assist.

Врублевский заявил в своем блоге, что его дело было сфабриковано, и обвинил привлеченных экспертов — «Лабораторию Касперского» и Group-IB — в необъективности.

«Обвинение стартовало именно с экспертизы Group-IB, в нашем деле она сыграла неблагоприятную роль», — говорит адвокат Врублевского Людмила Айвар. Она настаивает, что институт экспертов должен быть независим от ведомств. «Когда эксперт много лет работает с ФСБ, это называется «эксперт ведомства», у них уже устойчивые связи и они уверены в результате», — полагает Айвар. «Любой эксперт разобьет в пух и прах заказную криминалистику, и это будет конец бизнеса. Какой смысл ее делать? — возражает Сачков. — Я уверен, что Врублевский лично заказал DDoS. Это по-своему гениальный человек, но он оказался на темной стороне».

Слишком тесные отношения российских частных детективов со спецслужбами беспокоят не только Врублевского и его адвокатов. «Рынок расследования компьютерных инцидентов жестко контролируется государством, в частности ФСБ», — считает главный редактор Агентуры.ру Андрей Солдатов. По его данным, в последнее время несколько частных CERTов [компьютерных групп реагирования на чрезвычайные ситуации] должны были запуститься в России, но не запустились — все ждали, какие правила для этой деятельности напишет ФСБ. Учитывая непрозрачный характер отношений таких компаний с ФСБ, «абсолютно невозможно гарантировать, что специалисты этих компаний не будут работать по просьбе ФСБ, предоставляя свои мозги, экспертную оценку или технические мощности», — добавляет Солдатов. В ФСБ на вопросы Forbes о сотрудничестве с Group-IB не ответили.

Снова одни

«Мы не лезем в политику, не работаем по [Алексею] Навальному, не занимаемся шпионажем или информационными войнами между странами — все эти вещи могут помешать нашему международному бизнесу», — убеждает Сачков. Чем тогда объяснить, что бизнес компании за последние годы растет как на дрожжах? Если в 2011 году выручка, по данным компании, составила $5,3 млн, то в 2012-м — $14,2 млн, а по итогам 2013 года она составит $36 млн.

Group-IB научилась продавать свои услуги, объясняет этот взлет Сачков. Еще в 2012 году в коммерческом отделе компании работал один человек, сегодня — девять. «Мы не ждем, когда к нам обратятся, сами активно ищем клиентов». Изменилась и модель бизнеса: на расследования и экспертизы теперь приходится менее половины выручки, около 43%, а остальное приносят услуги по предотвращению преступлений, которые продают по подписке: мониторинг и защита брендов (Brand Point Protection, 26% доходов в структуре выручки), мониторинг ботнетов — зараженных компьютерных сетей (Bot-Trek, 12%), аудит по информационной безопасности (12%), консультации (7%), поясняет Сачков. «Бренд становился известнее, и мы увеличили стоимость услуг и сервисов».

Еще до того как Госдума в 2013 году приняла новый закон о борьбе с «пиратством», Group-IB стала предлагать свои услуги по защите авторских прав. Одним из первых клиентов на этом направлении в 2009 году стал Microsoft: Group-IB боролась с сайтами, нелегально распространяющими ее софт. Самый свежий контракт подписан несколько месяцев назад с компанией «Амедиа», представляющей интересы студий HBO, CBS, FOX, Sony.

«В рамках партнерства с «Амедиа» мы заблокировали 60 000 ссылок на их сериалы и фильмы. «Игра престолов» и «Во все тяжкие» — самые популярные сериалы у пиратов», — рассказывает сотрудник Group-IB Георгий Пуляевский.

Стоимость услуги по борьбе с онлайн-пиратством начинается от $10 000 в месяц в зависимости от того, идет фильм в прокате или премьера прошла и он является «библиотечным», поясняет Руслан Кривулин, руководитель направления Brand Point Protection.

C апреля 2013 года Group-IB стала партнером QIWI по поиску мошеннических сайтов, которые используют бренд компании или пытаются присвоить деньги пользователей. «Group-IB проводит оперативные действия с беспрецедентной скоростью не только в Рунете, но и по всей глобальной сети», — сказал Forbes директор по безопасности «Группы QIWI» Владимир Загрибелин. — Среднее время жизни мошеннического сайта в мировой практике составляет 5 дней, а среднее время закрытия такого сайта специалистами Group-IB — около 22 часов». Контракт по защите брендов приносит Group-IB $10 000–30 000 в месяц.

Несколько дороже ($5000–50 000 в месяц) стоят услуги мониторинга Bot-trek, поиск информации о клиентах банков и платежных систем, чьи логины, пароли, номера карт стали известны мошенникам. Детективы сообщают о «засвеченных» клиентах банкам, и те перевыпускают карты или просят сменить логины-пароли. Выстроить отношения с банками помог Артем Сычев, бывший научный руководитель Сачкова в «Бауманке», а сейчас заместитель начальника главного управления безопасности и защиты информации Банка России. 

По словам Сачкова, Group-IB работает со всеми российскими банками из первой десятки, самый крупный — Сбербанк. «Со службой безопасности Сбербанка мы познакомились в 2010-м, когда обнаружили большую бот-сеть, созданную для хищения денег у клиентов. Мы бесплатно отправили в Сбербанк данные, попросили заблокировать клиентов. В итоге стали стратегическими партнерами», — вспоминает Сачков. В портфеле Group-IB — контракты с Альфа-банком, «Связным», ВТБ, «Возрождением».

Больше, чем банки, платят лишь горнодобывающие и нефтяные компании за мониторинг своей внутренней сети от заражения вредоносным программным обеспечением. Услуга Advanced Persistent Threat стоит $1,2–2 млн в год. Среди заказчиков Group-IB — «Газпром», «Роснефть», «Норильский никель», ТНК-BP.

Group-IB стала прибыльной в 2011 году, а в октябре 2013 года совладельцы Leta Group Чачава и Пильцов продали свои доли менеджерам компании во главе с Сачковым, которые получили для этого кредит в одном из российских банков. Сумму сделки стороны не называют (участники рынка оценивали пакет в $2 млн), но Чачава утверждает, что IRR составил 30%, он «получил сумму, которая соответствовала ежегодному увеличению моих первоначальных инвестиций на 30%. На 32%, если быть точным».

Развитие ситуации в стране всячески способствует бизнесу Group-IB. В октябре 2013 года Госдума приняла в первом чтении законопроект, расширяющий полномочия ФСБ в сфере информационной безопасности. Как объяснял спикер Сергей Нарышкин, проект закона направлен на пресечение преступлений с использованием IT-технологий.

«Для нас это хорошо. Чем больше расследований, тем больше будет заказов на экспертизы», — уверен Сачков.

По оценке самой Group-IB, ущерб от действий киберпреступников в России в 2012 году составил $1,9 млрд. Детективам есть куда расти.

Страницы12
Поделиться
0
0
Загрузка...

Рассылка Forbes.
Каждую неделю только самое важное и интересное.

Самое читаемое
Рамблер/Новости
Опрос
Беспокоит ли вас курс рубля?
Проголосовало 16919 человек

Forbes сегодня

30 мая, понедельник
Forbes 06/2016

Оформите подписку на журнал Forbes.

Подписаться
Закрыть

Сообщение об ошибке

Вы считаете, что в тексте:
есть ошибка? Тогда нажмите кнопку "Отправить сообщение об ошибке".

Вы можете также оставить свой комментарий к ошибке, он будет отправлен вместе с сообщением.