На одном предприятии купили и поставили в офис умный кофе-аппарат. Круто же дистанционно запускать машину. Захотел ты кофе, дал команду; пока идёшь с рабочего места, напиток готовится. Подходишь и сразу наслаждаешься кофе. Одного не учли находчивые сотрудники компании: подключённая к внутренней сети кофемашина стала слабым местом в информационной безопасности. Злоумышленники запустили через неё программу-шифровальщик. Расхлебывать ситуацию пришлось айтишникам. Короче, кофе сотрудников влетел компании в копеечку.

При этом не каждая организация имеет квалифицированных специалистов, чтобы самостоятельно расследовать инцидент. И когда бизнес сам не в состоянии отразить атаку на свои IT-системы, он обращается к профессиональным борцам со злоумышленниками. Кто такие киберрасследователи, чем они занимаются, наш корреспондент специально для УЖ поговорил об этом с экспертом Kaspersky ICS CERT Владимиром ДАЩЕНКО.

— Владимир, слышал, что киберраследователей называют орками. Почему?

— Объяснение простое. Ребята, которые изучают атаки злоумышленников, работают в отделе расследования компьютерных инцидентов. Сокращённо: ОРКИ. Замечательная талантливейшая команда, в чью ежедневную работу входит изучение инцидентов, которые происходят регулярно и которым подвержены и промышленные компании, и телеком-операторы, и финансовый сектор, да все.

— Вы специализируетесь на расследовании атак на объекты промышленной инфраструктуры. В чём специфика работы с такими организациями?

— Есть классический мир IT — это интернет вещей и компьютеры, которыми пользуются обычные пользователи и большинство организаций: бизнес, некоммерческий и госсектор. А есть промышленные предприятия, их часто называют объектами критической инфраструктуры (заводы, предприятия водо- и энергоснабжения и т.д.). Проблемы в этих компаниях чреваты не только финансовыми потерями, но и нарушением технологического процесса, что может привести к серьёзным экологическим неприятностям, к перебоям с поставкой коммунальных ресурсов, без которых жители городов не мыслят комфортную жизнь.

Современные предприятия не похожи на те, что были не то что в советские времена, а хотя бы 10 лет назад. Сегодня каждый завод, каждая гидроэлектростанция, каждая ТЭЦ буквально напичканы оборудованием, которое управляет процессами в автоматическом режиме, системами, контролирующими исполнение заданных алгоритмов. И если злоумышленникам удаётся проникнуть внутрь существующих на производстве систем, то стандартно проблему не решить. Например, нельзя просто остановить процесс производства. Тут нужны особые навыки и специальные утилиты.

Важно понимать специфику используемого на заводах оборудования. Многочисленные датчики и контроллеры тоже оснащены памятью, и чтобы понять причину сбоя, необходимо в том числе знать, как работать с хранящейся на них информацией.

— Можете привести реальный пример из своей практики?

— Несколько лет назад к нам обратилась компания, которая работает на Ближнем Востоке. У них время от времени отключались контроллеры. Просто зависали и переставали отвечать на запрос. В итоге весь технологический процесс вставал. Оператору приходилось физически перезагружать оборудование, грубо говоря, выдергивать из розетки и включать снова. Как и положено, компания обратилась к поставщику. Вендор в рамках гарантийного обслуживания снял все контроллеры и поставил аналогичные новые. Логику работы восстановили. Но отключения оборудования продолжились.

Группа реагирования на киберинциденты для систем промышленной автоматизации, в которую вхожу я, оперативно вылетела на место. Оказалось, что проблема была в старом вредоносном программном обеспечении. Оно когда-то давно попало во внутреннюю сеть предприятия. Тогда злоумышленники управляли им с каких-то серверов, которые уже не используются. Но вредонос остался и продолжал генерировать огромное количество DNS-трафика: рассылал многочисленные запросы через интернет. А архитектура контроллера не была готова к таким нагрузкам, и когда наступал пик запросов, оборудование просто переставало отвечать, в том числе на легитимные запросы управляющих протоколов. Так как это оказался довольно простой зловред, вылечился он легко.

Есть и более сложные случаи.

Так, в январе этого года мы с коллегами задетектировали волну таргетированных атак на дюжину предприятий оборонно-промышленного комплекса и государственные учреждения нескольких стран Восточной Европы и Афганистана.

Атакующим удалось не просто проникнуть в десятки организаций. На некоторых они полностью захватили IT-инфраструктуру и взяли под контроль системы управления защитными решениями. Это были тщательно спланированные атаки, так как рассылаемые фишинговые письма содержали специфическую информацию, украденную ранее. Причём злоумышленники использовали уязвимость Microsoft Office: в вордовские документы был встроен макрос, запускающий вредоносный код. Внедрённое таким образом вредоносное ПО помогло злоумышленникам захватить контроль над рабочими станциями и серверами. Это, конечно, схематичное беглое описание. По итогам этого расследования мы подготовили подробный отчёт, с которым может ознакомиться любой желающий (https://ics-cert.kaspersky.ru/publications/targeted-attack-on-industrial...).

— Во втором случае понятно, что причина проникновения — это загрузка сотрудниками организаций заражённых документов. А откуда взялась вредоносная программа в первом примере?

— Вредоносное ПО жило в системе давно. Одна из самых вероятных гипотез — её занесли с флешкой.

— То есть банальный человеческий фактор?

— К сожалению, да. Когда мы общались с сотрудниками компании, отвечающими за информационную безопасность, то выяснилось, что в организации не было утверждённых правил работы с внешними накопителями, не было запретов, обязательных к исполнению работниками.

Казалось бы, работник просто принёс флешку с музыкой, но при открытии и прослушивании аудиофайлов в локальную внутреннюю сеть можно случайно запустить вредоносное ПО, которое приведёт к проблемам, в том числе и финансовым.

Например, в систему залетел шифровальщик и зашифровал клиентские данные. Хорошо, если есть резервные копии. Достаточно будет нанять хороших специалистов по информационной безопасности, чтобы данные восстановить. А если копий нет, то базу можно потерять навсегда.

Нас однажды пригласили провести аудит на одном крупном предприятии. Когда мы изучали работающее в цехах оборудование, то обнаружили, что сотрудники компании связали разные производственные площадки одной локальной сетью и рубились в Counter-Strike. Мы схватились за головы, а рабочие лишь непонимающе мотали головами. Мол, а что такого. Процесс автоматизирован, ночью, чтобы скоротать время, цеха друг против друга играют в стрелялку. Это грубейшее нарушение правил кибербезопасности!

Человек был и остаётся самым слабым звеном в системе информационной безопасности. Важно проводить обучение персонала, знакомить сотрудников с актуальными угрозами, иначе компания будет лёгкой мишенью для киберпреступников. И учитывая тот факт, что Всемирная паутина всё прочнее окутывает нашу жизнь (развивается интернет вещей с умными чайниками, пылесосами, машинами, домами, активно используются облачные сервисы), риски будут только увеличиваться.

— Вы рассказали о примерах, но не упомянули о технологии проведения расследований. Вот поступил сигнал, что вы делаете?

— Первое, что мы говорим клиентам: ничего не трогать до нашего приезда. Далее собираемся в путь. Берём с собой огромное количество съёмных носителей, жёстких дисков. Это необходимо, чтобы снять копии с дисков пострадавшей компании и уже потом шаг за шагом анализировать содержащиеся в системах данные: какая информация в логах, если есть заражение, откуда оно прилетело. Также мы берём свои компьютеры или жёсткие диски с предустановленными операционными системами, чтобы загрузиться, допустим, с внешнего носителя и проанализировать, что происходит на жёстком диске жертвы.

Прибыв на место, настроив привезённое оборудование, мы методично собираем логи и артефакты со всех имеющихся в организации систем: компьютеров, ноутбуков, сетевого оборудования, контроллеров, датчиков. В общем, со всех устройств, где может храниться хоть какая-то информация. Это скрупулёзная монотонная работа. Ищем то, чего быть не должно, и разматываем клубок, как оно оказалось внутри сети.

— Бывает, что сотрудники пытаются что-то скрыть?

— Не без этого. Не признаются в некоторых действиях. Но когда мы изучаем данные, то видим любую активность пользователя. Если, к примеру, человек подключал к компьютеру модем, то это в логах сохранится, мы увидим, что подключалось внешнее устройство 3G или 4G. Увидим, что с рабочего места осуществлялся выход в интернет, были заходы на такие-то сайты. В том, чтобы найти источник проблем, заинтересована прежде всего сама атакованная компания. Если не будет доверия к нам, не будет полного содействия, то можно никогда не узнать, что произошло и как минимизировать потери.

— А как стать частью вашей команды?

— С первого взгляда ваша профессия выглядит авантюрно. Собрать чемоданчик и поехать на вызов в любую часть планеты. Но вы сами заметили, что много в вашей работе монотонного. Как не выгореть?

— Признаюсь, полтора года назад я пережил профвыгорание. С 2015 по 2019 годы работал в «Лаборатории Касперского», потом ушёл в стартап. И там впервые с этим столкнулся. Такого никому не пожелаешь. Полная апатия и безразличие ко всему. При этом я люблю то, чем занимаюсь. Классная, важная, востребованная работа. Да, есть и рутинная составляющая, но она есть в любой сфере. Надо стараться находить кураж, испытывать живой интерес. И повторю то, о чём говорят многие психологи: в нашей жизни есть не только работа, важно достаточное внимание уделять личному.

— Что помогло выбраться из ямы вам?

— Бег. Я открыл для себя регулярные пробежки. И второе — я переосмыслил отношение к тому, что и как я делаю. Оставил побольше места себе. Не работой единой. Вот это и помогло. Выгорать — отстой. Не выгорайте.

Фото предоставлено Лабораторией Касперского