Криминалисты из интернета: как устроено главное в России кибердетективное агентство
В апреле 2009 года основатель Group-IB Илья Сачков оказался в подмосковном пансионате «Лесные дали», где проходила ежегодная IT-конференция «РИФ+КИБ». Прогуливаясь по холлу, он высматривал новых клиентов. Неожиданно ему позвонили и попросили вернуться в Москву: со счета столичной строительной компании украли 9 млн рублей, и Сачкову предстояло выяснить, кто это сделал. Обычная работа.
Вскоре он уже отдавал распоряжения в офисе этой фирмы на Ленинском проспекте: вызвать полицию, отключить компьютеры от сети, собрать все ноутбуки. На столе выросла горка «железа», которое предстояло отвезти в лабораторию для поиска следов вирусного заражения. Взгляд Сачкова привлек один из ноутбуков — он был приоткрыт. Детектив пробежал глазами письмо в Outlook: владелец ноутбука, местный сисадмин, недавно обналичил похищенные в компании деньги. «Это было самое быстрое расследование в моей жизни, — улыбаясь, рассказывает Forbes Сачков. — Просто нам тогда сильно повезло».
Созданная 10 лет назад компания Group-IB специализируется на расследовании и предотвращении преступлений в компьютерной сфере. Если не считать отделы расследований больших интернет-компаний вроде «Лаборатории Касперского», работающих на внутренние потребности компаний, Group-IB является крупнейшим в России частным кибердетективным агентством. Компьютерных криминалистов здесь больше, чем в соответствующем подразделении Экспертно-криминалистического центра МВД России. За три года, по данным компании, выручка Group-IB выросла более чем в 10 раз, прогноз Сачкова на 2013 год — $36 млн.
«Штучный товар»
Офис Group-IB расположен на территории бывшего завода в районе метро «Электрозаводская», без провожатого здесь легко заблудиться. На каждой двери электронные замки, и даже если сам гендиректор пришел без электронного пропуска — стучи не стучи, внутрь не пустят. Сердце компании, компьютерная криминалистическая лаборатория, занимает совсем небольшое помещение, 4 на 10 м. Десяток столов с мониторами, стеллажи с оборудованием, проводами, компьютерами. Обычный с виду черный чемоданчик — на самом деле мобильный криминалистический комплекс стоимостью около полумиллиона рублей, изготовленный в Израиле. Он позволяет мгновенно считать информацию с цифрового устройства. Подсоединив к нему смартфон, детективы увидят всю переписку с него, даже в Skype, а по точкам подключения Wi-Fi и координатам сделанных фотоснимков смогут составить карту перемещений абонента. Выпотрошив таким образом телефон одного из участников банды, грабившей дальнобойщиков в Ленинградской области, детективы Group-IB получили информацию об остальных налетчиках и передали ее полиции.
Возраст кибердетективов — 20–30 лет, каждый, по словам Сачкова, «штучный товар», ведь ни один российский вуз не выпускает криминалистов по расследованию компьютерных преступлений.
Чтобы найти сотрудников, глава Group-IB ходит в институты, читает лекции и проводит олимпиады по компьютерной криминалистике. Костяк компании составляют выходцы из родного для Сачкова МГТУ им. Баумана. Всех кандидатов на работу проверяют на «полиграфе», а также с использованием «управляемой провокации»: время от времени подставные «клиенты» предлагают продать информацию налево или выдать нужную экспертизу. «За многие годы не было ни одного прокола», — с гордостью говорит Сачков.
А риск есть: криминалисты Group-IB однажды наблюдали за хакером, который на кражах в интернет-банкинге зарабатывал до $20 млн в месяц, соблазн для неустойчивых людей слишком велик. Особенно с учетом того, что средняя зарплата детектива — 70 000–100 000 рублей в месяц. Есть бонусы: корпоративные курсы английского, боевые искусства, йога и даже деньги на покупку делового костюма для встреч. Но костюмы чаще висят в шкафах, детективы предпочитают им джинсы и футболки.
Детективный стартап
Зимой 2003 года первокурсник факультета защиты информации МГТУ им. Баумана Илья Сачков перед самой сессией попал в Боткинскую больницу. Вместо учебников друзья принесли ему в палату книжку бывших сотрудников ФБР Криса Просиса и Кевина Мандиа Incident Response: Investigating Computer Crime. Речь в ней шла о компьютерной криминалистике — в США это был уже сложившийся и прибыльный бизнес. Сачкову идея понравилась.
Хакеры-романтики первой волны, взламывающие сайты скорее из спортивного интереса, к тому времени остались в прошлом. С начала 2000-х взломщики начали активно монетизировать свои навыки. «Заработать и оставаться как можно дольше незаметными — вот ради чего они стали работать», — вспоминает то время эксперт по информационной безопасности Cisco Systems Алексей Лукацкий.
Киберпреступники объединялись, появлялись свои партнерские программы, службы поддержки, биржи, кадровые службы и даже свой арбитраж. У крупных группировок была четкая специализация: например, «Балаковская» группа устраивала DDoS атаки на британских букмекеров, вымогая деньги за их прекращение. Другие осваивали «карточный бизнес» — кражу данных кредитных и дебетовых карт, деньги с которых воровались или тратились на заказы в интернет-магазинах. Третьи начинали громить онлайн-банкинг за рубежом — в России системы дистанционного банковского обслуживания в то время еще не были развиты.
Частных расследователей в этой области в России не было совсем, монополия на расследования киберпреступлений была у Бюро специальных технических мероприятий (БСТМ) МВД и Центра информационной безопасности (ЦИБ) ФСБ. Сачков вспоминает, что как-то на конференции познакомился с офицером из управления «К», расследующего киберпреступления, и спросил, можно ли попасть к ним на работу.
Милиционер, смерив студента взглядом, покачал головой: «У нас нет вакансий». И Сачков решил основать свою компанию.
Деньги на открытие бизнеса, $5000, дал старший брат, «Бауманка» выделила комнату под лабораторию. Первыми сотрудниками стали однокурсники Ильи — два из них до сих пор работают в компании: Дмитрий Волков возглавляет отдел расследований, Игорь Катков — технический директор. Первый существенный контракт у Group-IB появился лишь через несколько месяцев. Топ-менеджеру крупной российской нефтяной компании на корпоративную почту пришли письма с угрозами опубликовать компрометирующие фотографии. «Расследование заняло две недели, вычислили сотрудницу компании, которая, используя прокси-сервера в Голландии, шантажировала своего босса», — вспоминает Сачков. Гонорар компенсировал вложенные $5000, и даже осталась небольшая прибыль.
Корпоративный шпионаж, утечка информации, несанкционированный вход в почту, взломы сайтов — первые кейсы были интересны, но не приносили большой прибыли. В то время расследование в среднем стоило около $10 000–40 000. «Банки нас боялись из-за нашего агрессивного маркетинга и молодости коллектива, по той же причине в МВД вначале к нам относились с большим недоверием: как студенты могут проводить расследования?» — вспоминает Сачков.
Компания пыталась продвигать свои услуги на Западе и даже достигла определенных успехов. «Мы общались с иностранными коллегами, старались помогать в их расследованиях, часто помогали нейтрализовать опасные ботнеты и таким образом попали в зарубежную тусовку криминалистов», — рассказывает Сачков. С Microsoft, например, Group-IB сотрудничает с 2007 года. «Мы считаем наших коллег ведущими экспертами в области киберпреступности в стране», — говорит Людмила Теплова, представитель Microsoft в России. Американцы привлекают Group-IB для обнаружения и нейтрализации ботнетов, исследования вредоносных программ и т. д. Сумму контракта ни Group-IB, ни Microsoft не разглашают.
Инвесторы и хакеры
В 2010 году хакеры взломали один из сайтов Leta Group, представлявшую в России словацкую антивирусную компанию ESET. «Мои айтишники локализовали угрозу, но на вопрос, кто это сделал и зачем, ответить не смогли», — вспоминает основатель и совладелец компании Leta Group Александр Чачава. За ответом он пришел в офис Group-IB, где тогда работало человек 15, и они ему сразу понравились. «Хакеры зарабатывали на темной стороне гигантские деньги, а эти ребята наступали им на горло», — поясняет Чачава, решивший стать совладельцем Group-IB.
Осенью 2010 года Чачава и его однокурсник Сергей Пильцов стали владельцами половины Group-IB — через ООО «Группа информационной безопасности». По 25% в OOO получили Чачава и Пильцов, 20% принадлежало Илье Сачкову, по 10% — еще трем сотрудникам-основателям. Выручка Group-IB в 2010 году составила $3 млн.
По сути это были инвестиции в стартап: у Group-IB не было выстроенного маркетинга и даже четких расценок за услуги, а у новых инвесторов — никакой стратегии выхода, говорит Чачава. Он вспоминает, как спорил с Сачковым по поводу оплаты одного расследования для банка, за которое Group-IB запросила 50 000 рублей. «Я спрашиваю: почему так мало? А они: да это же заняло всего полтора дня. Говорю: вы же сэкономили банку миллион долларов, возьмите хотя бы 7%, как страховая», — вспоминает Чачава.
Сколько денег они с партнером потратили на покупку доли и развитие Group-IB, он не сказал (Сачков тоже отказался говорить об этом). Топ-менеджер одной из российских IT-компаний оценивает сделку в $2 млн — примерно столько ежегодно инвестирует в стартапы Leta Capital, венчурный фонд Leta Group.
Но вплоть до конца 2000-х годов детективному стартапу отчаянно не хватало специалистов, оборудования и, главное, денег для развития. В 2010 году все это появилось — благодаря хакерам.
Деньги Leta Group позволили увеличить штат Group-IB впятеро, до 70 человек, открыть офисы в Нью-Йорке и Сингапуре и закупить оборудование, включая те самые «чемоданчики».
Как смотрят на это соответствующие органы? До 2010 года Group-IB чаще всего делала экспертизы для МВД и ФСБ бесплатно, говорит Сачков. Три года назад государство все же начало оплачивать экспертизы: деньги приходят по разовым договорам, в среднем около 300 000 рублей, что в общем укладывается в рыночные расценки ($10 000–15 000). «Бесплатно сейчас делаем только экспертизы по интересным для нас кейсам — не больше 5–10 бесплатных экспертиз в квартал», — уточняет Сачков.
Кроме того, в Group-IB есть бывшие сотрудники силовых ведомств. «Но у нас все же преобладают гражданские, бывших сотрудников Экспертно-криминалистического центра МВД не больше 5–6 человек», — говорит Сачков. «Бывшие» со связями необходимы в этом бизнесе. «В США частное лицо может получить значок помощника шерифа и разыскивать бандитов или киберпреступников, у нас западную модель воспроизвести невозможно», — говорит Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. «Если посмотреть наш закон о частной детективной деятельности, так в России ее вообще быть не должно», — добавляет он. Сам Стоянов в 2006 году в звании майора ушел в свободное плавание, несколько лет его компания самостоятельно занималась расследованиями, а в 2012-м вошла в состав «Лаборатории Касперского». Мелкие частные компании в этом бизнесе не выживут, уверен Стоянов, это бизнес больших корпораций. В его отделе всего шесть сотрудников, но он может пользоваться всеми ресурсами «Лаборатории», компании с выручкой $628 млн в 2012 году и штатом 2800 человек.
Деньги за результат
Свесившись с крыши на веревках, спецназовцы в черных касках и бронежилетах вместе с выломанной рамой ввалились в окно 15-го этажа. «Звон падающих стекол, крики «На пол!», подозреваемый ползал по полу в трусах и визжал», — красочно описывает в своем отчете криминалист Group-IB Артем Артемов финальную стадию операции по задержанию весной 2012 года одного из лидеров хакерской группы Carberp. От хакеров пострадали клиенты 100 банков по всему миру, только в I квартале 2012-го они похитили минимум 130 млн рублей.
Момент захвата детективы Group-IB наблюдают как зрители, их основная работа сделана раньше. Когда преступники задержаны, криминалисты Group-IB проводят экспертизу их компьютеров и серверов, чтобы найти связи с преступлением. «Наша задача — предоставить аналитическую информацию и выстроить логику расследования, если ее не видят сотрудники полиции», — объясняет глава отдела расследований компании Дмитрий Волков. После завершения расследования сотрудники Group-IB выступают свидетелями и экспертами в суде, но исход процесса может быть разный.
«Заказчики часто хотят конечный результат: вы получите деньги, как только мы увидим человека в тюрьме. Если не сел — поработали зря», — объясняет Руслан Стоянов. Почасовая плата за расследование в России не принята, чаще работу оплачивают поэтапно. Компьютерная криминалистическая экспертиза у Group-IB стоит $10 000–15 000, расследование с выездом на место происшествия, экспертизой и фиксацией цифровых следов, поиском преступников и их персональных данных — минимум $200 000–300 000. Но у частных детективов есть специфические риски. «Банк может заплатить за расследование кейса 8 млн рублей, а может и 2 млн. Говорят: бюджет такой, больше не можем», — говорит Сачков.
Расследование кибератаки занимает обычно один-два месяца. В сборе информации помогают не только социальные сети, но и агентурная сеть. «Мы есть на хакерских форумах, подпольных андеграундных площадках: смотрим, кто о чем пишет, кто чем занимается», — поясняет Сачков. Если хакер украл базу, через несколько дней он обязательно выложит ее на продажу.
Те же методы используют спецслужбы: ФБР в свое время создало закрытый форум Market, которым хакеры активно пользовались вплоть до начала массовых арестов его участников.
Кибердетективы не имеют права проводить обыски, прослушивать телефоны и вести наружное наблюдение, но используют в своей работе те же методы сбора и анализа информации, что и спецслужбы. Кроме того, говорит Сачков, до 20% всех экспертиз Group-IB обеспечивают силовики — МВД, ФСБ, ФСКН и Следственный комитет. И иногда детективов обвиняют в том, что они дружат с «органами».
Дело Врублевского
В июле 2010 года на сайте «Аэрофлота» вдруг перестали проходить электронные платежи. Сервер процессинговой компании Assist, обслуживавшей авиаперевозчика, подвергся мощной DDoS-атаке и «лежал» девять дней. «Аэрофлот» считал убытки: компания потеряла не меньше 147 млн рублей.
Спустя год в аэропорту Шереметьево пограничники задержали загорелого мужчину, прилетевшего с женой и детьми с Мальдив. Это был Павел Врублевский, один из создателей процессинговой системы Chronopay, главный подозреваемый в деле об атаке на «Аэрофлот». Полгода Врублевский провел в СИЗО Лефортово, где написал признательные показания. Позже, выйдя под подписку о невыезде, заявил, что оговорил себя под давлением. Но суд в итоге приговорил Врублевского в июле 2013 года к 2,5 годам колонии, обвинив его в организации DDoS-атаки на своего конкурента, Assist.
Врублевский заявил в своем блоге, что его дело было сфабриковано, и обвинил привлеченных экспертов — «Лабораторию Касперского» и Group-IB — в необъективности.
«Обвинение стартовало именно с экспертизы Group-IB, в нашем деле она сыграла неблагоприятную роль», — говорит адвокат Врублевского Людмила Айвар. Она настаивает, что институт экспертов должен быть независим от ведомств. «Когда эксперт много лет работает с ФСБ, это называется «эксперт ведомства», у них уже устойчивые связи и они уверены в результате», — полагает Айвар. «Любой эксперт разобьет в пух и прах заказную криминалистику, и это будет конец бизнеса. Какой смысл ее делать? — возражает Сачков. — Я уверен, что Врублевский лично заказал DDoS. Это по-своему гениальный человек, но он оказался на темной стороне».
Слишком тесные отношения российских частных детективов со спецслужбами беспокоят не только Врублевского и его адвокатов. «Рынок расследования компьютерных инцидентов жестко контролируется государством, в частности ФСБ», — считает главный редактор Агентуры.ру Андрей Солдатов. По его данным, в последнее время несколько частных CERTов [компьютерных групп реагирования на чрезвычайные ситуации] должны были запуститься в России, но не запустились — все ждали, какие правила для этой деятельности напишет ФСБ. Учитывая непрозрачный характер отношений таких компаний с ФСБ, «абсолютно невозможно гарантировать, что специалисты этих компаний не будут работать по просьбе ФСБ, предоставляя свои мозги, экспертную оценку или технические мощности», — добавляет Солдатов. В ФСБ на вопросы Forbes о сотрудничестве с Group-IB не ответили.
Снова одни
«Мы не лезем в политику, не работаем по [Алексею] Навальному, не занимаемся шпионажем или информационными войнами между странами — все эти вещи могут помешать нашему международному бизнесу», — убеждает Сачков. Чем тогда объяснить, что бизнес компании за последние годы растет как на дрожжах? Если в 2011 году выручка, по данным компании, составила $5,3 млн, то в 2012-м — $14,2 млн, а по итогам 2013 года она составит $36 млн.
Group-IB научилась продавать свои услуги, объясняет этот взлет Сачков. Еще в 2012 году в коммерческом отделе компании работал один человек, сегодня — девять. «Мы не ждем, когда к нам обратятся, сами активно ищем клиентов». Изменилась и модель бизнеса: на расследования и экспертизы теперь приходится менее половины выручки, около 43%, а остальное приносят услуги по предотвращению преступлений, которые продают по подписке: мониторинг и защита брендов (Brand Point Protection, 26% доходов в структуре выручки), мониторинг ботнетов — зараженных компьютерных сетей (Bot-Trek, 12%), аудит по информационной безопасности (12%), консультации (7%), поясняет Сачков. «Бренд становился известнее, и мы увеличили стоимость услуг и сервисов».
Еще до того как Госдума в 2013 году приняла новый закон о борьбе с «пиратством», Group-IB стала предлагать свои услуги по защите авторских прав. Одним из первых клиентов на этом направлении в 2009 году стал Microsoft: Group-IB боролась с сайтами, нелегально распространяющими ее софт. Самый свежий контракт подписан несколько месяцев назад с компанией «Амедиа», представляющей интересы студий HBO, CBS, FOX, Sony.
«В рамках партнерства с «Амедиа» мы заблокировали 60 000 ссылок на их сериалы и фильмы. «Игра престолов» и «Во все тяжкие» — самые популярные сериалы у пиратов», — рассказывает сотрудник Group-IB Георгий Пуляевский.
Стоимость услуги по борьбе с онлайн-пиратством начинается от $10 000 в месяц в зависимости от того, идет фильм в прокате или премьера прошла и он является «библиотечным», поясняет Руслан Кривулин, руководитель направления Brand Point Protection.
C апреля 2013 года Group-IB стала партнером QIWI по поиску мошеннических сайтов, которые используют бренд компании или пытаются присвоить деньги пользователей. «Group-IB проводит оперативные действия с беспрецедентной скоростью не только в Рунете, но и по всей глобальной сети», — сказал Forbes директор по безопасности «Группы QIWI» Владимир Загрибелин. — Среднее время жизни мошеннического сайта в мировой практике составляет 5 дней, а среднее время закрытия такого сайта специалистами Group-IB — около 22 часов». Контракт по защите брендов приносит Group-IB $10 000–30 000 в месяц.
Несколько дороже ($5000–50 000 в месяц) стоят услуги мониторинга Bot-trek, поиск информации о клиентах банков и платежных систем, чьи логины, пароли, номера карт стали известны мошенникам. Детективы сообщают о «засвеченных» клиентах банкам, и те перевыпускают карты или просят сменить логины-пароли. Выстроить отношения с банками помог Артем Сычев, бывший научный руководитель Сачкова в «Бауманке», а сейчас заместитель начальника главного управления безопасности и защиты информации Банка России.
По словам Сачкова, Group-IB работает со всеми российскими банками из первой десятки, самый крупный — Сбербанк. «Со службой безопасности Сбербанка мы познакомились в 2010-м, когда обнаружили большую бот-сеть, созданную для хищения денег у клиентов. Мы бесплатно отправили в Сбербанк данные, попросили заблокировать клиентов. В итоге стали стратегическими партнерами», — вспоминает Сачков. В портфеле Group-IB — контракты с Альфа-банком, «Связным», ВТБ, «Возрождением».
Больше, чем банки, платят лишь горнодобывающие и нефтяные компании за мониторинг своей внутренней сети от заражения вредоносным программным обеспечением. Услуга Advanced Persistent Threat стоит $1,2–2 млн в год. Среди заказчиков Group-IB — «Газпром», «Роснефть», «Норильский никель», ТНК-BP.
Group-IB стала прибыльной в 2011 году, а в октябре 2013 года совладельцы Leta Group Чачава и Пильцов продали свои доли менеджерам компании во главе с Сачковым, которые получили для этого кредит в одном из российских банков. Сумму сделки стороны не называют (участники рынка оценивали пакет в $2 млн), но Чачава утверждает, что IRR составил 30%, он «получил сумму, которая соответствовала ежегодному увеличению моих первоначальных инвестиций на 30%. На 32%, если быть точным».
Развитие ситуации в стране всячески способствует бизнесу Group-IB. В октябре 2013 года Госдума приняла в первом чтении законопроект, расширяющий полномочия ФСБ в сфере информационной безопасности. Как объяснял спикер Сергей Нарышкин, проект закона направлен на пресечение преступлений с использованием IT-технологий.
«Для нас это хорошо. Чем больше расследований, тем больше будет заказов на экспертизы», — уверен Сачков.
По оценке самой Group-IB, ущерб от действий киберпреступников в России в 2012 году составил $1,9 млрд. Детективам есть куда расти.