Интервью с Александром Гостевым

Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского»

«Лаборатория Касперского» едва ли смогла бы добиться успеха, если бы не ее сильная команда исследователей. Антивирусные эксперты работают непрерывно и способны срочно мобилизоваться в случае особо крупных инцидентов. Мой сегодняшний собеседник, Александр Гостев, расскажет про работу команды GReAT, расследующей самые сложные и известные случаи в практике компании.

УДИВИТЕЛЬНЫЙ МИР ВИРУСОВ

Я окончил школу и пошел работать на машиностроительный завод, в литейный цех. Не литейщиком — а чем-то вроде эникейщика-сисадмина. На производстве только появились компьютеры, нужно было делать все сразу — поставить бухгалтерию, помочь чертежникам с софтом, настроить сеть и так далее.

Мы купили новый компьютер, где был предустановлен антивирус «Доктор Веб». Я его запустил и буквально обалдел от того, что он сразу что-то обнаружил. Он не только нашел вирусы на новом компьютере, но и посчитал, что заражены и все остальные системы.

До этого момента я думал, что вирусы — это городская легенда. Вроде крокодилов в Нью-Йоркской канализации. Даже если они существуют, то где-то далеко. А тут выяснилось, что они в моих подопечных компьютерах. Я взял дискету с антивирусом и пошел по другим подразделениям нашего завода, к тамошним администраторам — проверяться. В итоге за неделю мы вылечили кучу компьютеров, а вот сам я «заболел»!

Я стал искать зараженные компьютеры и пытался их лечить. А потом стал натыкаться на то, что вроде бы вирус есть, но антивирус его не видит. Поэтому коллекцию уже найденных вирусов пополнили те, с которыми пришлось разбираться самому. Дальше их нужно было отправлять в антивирусные компании, чтобы те добавили детектирование.

В России на тот момент было всего две таких компании: «Доктор Веб» и AVP (пожалуй, и сейчас так же). Я отправлял вирусы по электронной почте Евгению Касперскому и Игорю Данилову.

Отвечал почему-то только Касперский, Данилов — ни разу. Зато Касперский всегда писал «спасибо», часто что-то рассказывал...

Когда появился интернет, я сразу сделал веб-сайт — антивирусный центр республики Коми, где рассказывал про обнаруженные на территории республики вирусы, о том, как с ними бороться. Люди присылали какие-то репорты, рассказывали о своих инцидентах — в общем, было коммьюнити.

Несколько человек из этого комьюнити оказались сотрудниками тогда уже «Лаборатории Касперского». Когда в 2002 году я подумал, что на текущем месте достиг потолка и в жизни нужно что-то менять, у меня уже были знакомые в компании.

Один из таких знакомых по семейным обстоятельствам покидал компанию и предложил себе на замену меня. Мне написал письмо Стас Шевченко — тогдашний руководитель нашего вирлаба (вирусной лаборатории), мол, «Александр, не хотите ли у нас поработать?». Конечно, я ответил «хочу».

КРЕЩЕНИЕ SLAMMER’OM

Меня взяли в ЛК на должность вирусного аналитика.

Тогда у всех вирусных аналитиков была собственная специализация: кто-то занимался кейлоггерами, кто-то файловыми вирусами, кто-то бэкдорами. Андрей Каримов, на место которого я пришел, специализировался на массовом для того времени явлении — макровирусах, заражавших офисные документы. А также на скриптовых вирусах. Следующие пару недель Андрей занимался моим обучением, после чего нужно было приступить к реальной работе.

В «Лаборатории» тогда ввели работу по сменам. Количество угроз выросло, и понадобилось работать в более плотном режиме. Так начали появляться смены по выходным. Кто-то из аналитиков выходил на работу в субботу или воскресенье, чтобы заниматься разбором входящего потока угроз.

Моя первая смена была 25 января 2003 года. Я вышел в первый раз и должен сам все задетектить и разобрать! Помню, в этот день пришел работать и сам Касперский — известный трудоголик.

И случился Slammer! Эпидемия этого червя отрубила Южную Корею от интернета на восемь часов. Прибежал наш тогдашний PR-менеджер Денис Зенкин и сказал: «Вы слышали, что творится?! Нужно что-то делать!»

Мы с Касперским сели разбирать этот Slammer, устроили хардкорный реверс. Кода было немного, но это было нечто уникальное и немыслимое — бестелесный червь. Именно этот момент и стал моим боевым крещением, после которого я понял, что все может быть очень круто.

Евгений Касперский в то время сам реверсил и делал больше всех нас, вместе взятых. Постоянных вирусных аналитиков было четверо плюс Касперский. Он мог легко, вообще не напрягаясь, в одиночку сделать ту же норму, что мы вчетвером, — раздолбить такое же количество вирусов.

После ухода наставника опыт стал передавать сам Касперский. Он подзывал меня, говорил «садись, смотри» и показывал что, где, как. И даже не то, как нужно такое разбирать (реверсить мы все и так умели), он показывал, как лучше детектировать, куда наложить сигнатуру, чтобы злоумышленники не смогли сбить детектор. Это было очень интересно.

Через год понадобилось создать круглосуточную смену вирусных аналитиков. Нужно было найти людей, которые работали бы ночью. Мы взяли еще четверых молодых... дятлов :). И тогда уже мы четверо начали передавать свои знания и опыт им. Пошла смена поколений.

2003 год вообще был примечателен для антивирусных специалистов. Было множество гигантских эпидемий, вирусы посыпались как из рога изобилия: больше, мощнее и так далее. Все это нужно было не только разобрать и задетектить быстрее всех, но еще и сделать описание, рассказать об этом журналистам, дать комментарии.

Иногда случалось что-то, с чем молодые аналитики справиться не могли. Я жил недалеко от офиса, буквально в 500 метрах. Поэтому было в порядке вещей, что ночью кто-то из них будил меня телефонным звонком, а я вставал и шел на работу, помогать разбираться с угрозой. Чтобы к утру, когда весь мир придет в себя, у нас уже все было готово (и детект, и описание, и пресс-релиз).

Потом все пошло по нарастающей. В 2004 году обнаружили первый мобильный вирус. Я хорошо помню тот момент, он во многом стал переломным. Первые вирусы были для Symbian, потом появились вирусы под J2ME, и стало явно, что дальше все это будет нарастать. Был создан отдел анализа мобильных угроз, который я и возглавил.

Параллельно с этим еще была ситуация с четвертой версией нашего антивируса. Это был печально известный и не очень удачный релиз продукта. Было принято решение о реорганизации, собрали две команды разработчиков: одна должна была довести до ума «четверку», а другая — абсолютно с нуля разработать некую отдельную версию продукта. Хотели посмотреть, что получится лучше. Была заметная движуха и конкуренция между двумя этими группами. Тогда, в 2003 году, наверное, еще не было такого понятия, как «дух стартапа», но это ощущение некой команды, где все безумно увлечены тем, что делают, я до сих пор помню очень хорошо.

GREAT

В 2007-2008 годах у нас появились зарубежные эксперты. Им нужно было понимать, что происходит здесь, а нам нужно было понимать, что делают они. Так появился отдел GReAT (Global Research and Analysis Team). Глобальная группа исследований и анализа угроз, которую возглавил я.

Сначала нас было десять человек. Стояла задача — наладить контакт с экспертами во всех ключевых регионах мира. То есть — в этой стране нам нужен человек. Его нужно было как-то найти, принять на работу, встроить в эту систему. Мне как раз приходилось заниматься менеджерской работой, формированием команды, искать людей, которые сейчас составляют основу GReAT.

GReAT нужны люди, которые умеют не только заниматься реверс-инжинирингом, но и писать код. Также они должны уметь общаться с людьми, выступать на публике — или хотеть научиться этому. Отыскивать таких людей крайне сложно. Это единичные экземпляры.

Когда нам попадается в какой-нибудь стране такой человек, это просто находка. Эксперт такого уровня способен полностью закрыть весь регион. К примеру, наш шведский эксперт Дэвид Якоби обладает всеми тремя скиллами и представляет всю Скандинавию в полном объеме.

Если такого человека нет, а регион важный, приходится подбирать команду. В России у нас как раз такая «сборная». Получилось наибольшее количество людей в группе — девять человек. В сумме у нас сейчас 35 человек по всему миру.

Когда команда сформировалась и заработала, я подумал, что в роли эксперта могу принести компании больше пользы, чем в качестве менеджера. Захотелось что-то поделать руками, поразбивать, поисследовать, поизобретать. Мы устроили рокировку — наш румынский эксперт стал руководить GReAT’oM вместо меня, а я занял должность главного антивирусного эксперта.

У многих возникает вопрос — в чем отличие GReAT от вирлаб? Вирусная лаборатория занимается входящим потоком угроз. Это тысячи вредоносов, что каждый день валятся к нам от пользователей, наших систем сбора, Kaspersky Security Network (наше облако KSN, в котором агрегируются обезличенные метаданные с миллионов компьютеров) и так далее.

90% заявок в базе анализируется в автоматическом режиме. Роботы разбирают семплы сами, сами добавляют детекты. Аналитикам остается лишь то, с чем роботы не справились. Вирлаб ведет антивирусные базы и их пополняет.

GReAT же в основном занимается двумя направлениями. Во-первых, запросы от различных партнеров и структур, у которых что-то случилось и им нужно это детально разобрать. Во-вторых, самостоятельный и целенаправленный поиск серьезных инцидентов.

Еще одной из задач GReAT является R&D. У каждого из нас по три (как минимум) различных патента на изобретения. На исследовательскую работу мы должны отводить не менее 20% времени, что-то изобретать. Можно вообще целиком переключиться на изобретение новых продуктов и технологий, на продвижение их. Можно взять некое отдельное направление и заняться им.

Из последних моих патентов можно вспомнить технологию обнаружения с помощью KSN MITM-атак с подделкой сертификатов. Скажем, если пользователь попадает на некий сайт, где используется цифровой сертификат для SSL, что мы делаем? При помощи KSN смотрим — тот ли самый сертификат получают и другие пользователи? И если мы видим, что если у этого человека сертификат такой, а у миллионов людей — другой, значит, это атака. Такие сертификаты мы собираем, анализируем.

Еще один пример — технологии по детектированию вирусов в торрентах. Чтобы не пришлось качать целиком гигабайты торрент-файла, а потом узнать, что в нем был вирус. Не то чтобы мы поддерживаем пиратство, но торрент есть торрент.

Люди зачастую вообще, скачивая файл из торрента, выключают антивирус, чтобы он не мешал своими срабатываниями. И мы придумали некую технологию детектирования, чтобы им не пришлось тратить время на закачку и на выходе получить облом. Проверяем еще до того, как файл был загружен в систему.

НЕМЕЗИДА

В 2008 году, когда создавался GReAT, появилась необходимость быстрого анализа сложных инцидентов. И родилось понятие «Немезида» — в честь богини возмездия. Это даже не команда и не проект — это особый режим работы, в который переходит вся компания в особо важных случаях.

Чтобы инцидент получил статус «Немезида», он должен отвечать множеству критериев. Но если что-то такое случается, это означает, что мы вправе привлекать к анализу этой угрозы любые ресурсы: все подразделения и всех сотрудников этих подразделений.

Это становится главным приоритетом компании. Если в рамках «Немезиды» нужно что-то срочно распаковать, то распаковщики прекращают заниматься всем остальным и занимаются только этим. Если нужно срочно написать какую-то утилиту в рамках «Немезиды» — разработчики садятся и пишут утилиту.

«Немезида» случается нечасто. За последние три года было где-то десять таких проектов. «Немезидой 7» был Stuxnet (2010 год), «Немезидой 17» — NetTraveler (2013 год).

STUXNET, FLAME И ВСЕ-ВСЕ-ВСЕ

Многие важные вредоносы находились именно в результате поисков GReAT. Например, в апреле прошлого года в Иране бахнул неизвестный вайпер, который удалил кучу информации на серверах. Нам стало интересно, что же это за вредонос, специфичный именно для Ближнего Востока? Мы зарядили соответствующее правило в Kaspersky Security Network и стали копать. Нашли Flame.

Тут пригодились знания, полученные при анализе Stuxnet и Duqu. Мы видели некий паттерн и предполагали, что вайпер, который мы ищем, вероятно, написан теми же людьми.

Например, авторы Stuxnet и Duqu очень любили имена файлов, начинающиеся с ~d. Соответственно, в конкретном регионе нужно было искать подозрительные файлы, которые имеют вот такое название, являются исполняемыми и специфичными. Для этого мы просто запустили соответствующее правило в KSN — почти сразу эти файлы у нас и вылезли. Именно с наибольшим распространением в Иране: этих файлов больше нигде в мире нет, а там есть.

В этом году у нас в работе находится порядка десяти ресерчей. В среднем до публикации доходит 10-20% наших работ, часто информация просто непублична. Это могут быть расследования, которые мы ведем по заказу, либо что-то, что мы не можем обнародовать, поскольку у нас на руках нет стопроцентных фактов.

Было много исследований, связанных с китайскими атаками. С технической точки зрения их массовые целевые атаки, скажем прямо, не очень интересны: слишком низкий уровень кода, но не всегда. Если мы обнаруживаем какую-то интересную китайскую атаку, мы ею занимаемся. Так было с Winnti.

Winnti — атака против крупнейших игровых компаний по всему миру. Атака шла на протяжении нескольких лет, целью была кража исходных кодов онлайн-игр. Видимо, чтобы потом создать пиратские серверы в Китае. Сейчас мы видим, что, несмотря на наши разоблачающие публикации, эта группа продолжает свои атаки до сих пор. Появляются и новые инциденты, и новые угрозы, в общем, с этим мы еще не закончили.

В этом году мы писали про NetTraveler, про Icefog. Также был Kimsuky. С ним все не очень понятно, но у нас есть некие предположения и основания считать, что это северокорейская атака. Если это действительно так, то это первый пример того, что Северная Корея занялась кибершпионажем. Никто ранее подобных атак не находил. Следим за этой темой.

КТО БОИТСЯ, А КТО НЕТ

Операторы атак по-разному реагируют на наши опубликованные отчеты. Китайцам вообще пофиг. Такое ощущение, что они, может быть, даже не в курсе, что про них написали :). Но, скажем, NetTraveler после наших публикаций свою активность свернули, серверы позакрывали, попытались исчезнуть.

Duqu, Flame, «Красный октябрь» — здесь реакция моментальная. Буквально в течение дня всегда зачищали следы: буквально до вайпа всех серверов, с заметанием следов по прокси, серверам, по всей цепочке. То есть мы три месяца до сервера добираемся, а там все уже почистили. Притом мы видим, что почищено все было в один день с нашей публикацией. В общем, они пытаются скрываться и правильно делают. Поскольку все те инциденты, которые я назвал, являются объектами уголовных дел. В ряде стран мира по этим случаям местные правоохранительные органы открыли расследования. И в рамках этой работы уже сами полицейские структуры получают доступ к тем же серверам, этих людей пытаются найти.

С Китаем ситуация весьма специфичная. Я не помню примеров, когда китайские органы хоть как-то отреагировали бы на поступающие к ним сообщения об инцидентах. У нас даже не было опыта общения с китайским CERT. Со всеми другими странами мы работаем без проблем, и они как-то реагируют. У нас есть специальные рассылки для дружественных CERT, мы проактивно их уведомляем. А с Китаем все очень плохо.

Похожая ситуация была с Южной Кореей. Их полиция и CERT тоже не очень хорошо шли на контакт до недавнего времени. Но после Winnti, когда в списках жертв оказался ряд южнокорейских компаний, и после Icefog они сами начали выходить на связь. Теперь с Южной Кореей все уже хорошо. Они помогают пресекать такую деятельность.

ПРАВИТЕЛЬСТВЕННАЯ МАЛ ВАРЬ

Мы не видим разницы между правительственной мал-варью и киберкриминальной малварью. Троянцы, используемые правительством и полицией некоторых стран, легко оказываются в руках киберпреступников и применяются ими уже для каких-то своих целей.

В этом году мы опубликовали исследование о Hacking Team. Они продают свой троянец RCS за безумные сотни тысяч долларов полицейским структурам. Но при этом существует некая панамская компания ОРМ Security, которая продает тот же самый троянец всем желающим за 300 евро. Это тот же самый код, тот же самый бэкдор DaVinci. Но в одном месте его за кучу денег продают правительствам, и тут же какая-то офшорная компания предлагает его всем подряд. О чем вообще можно говорить в подобной ситуации?

С Hacking Team и Gamma Group мы часто сталкиваемся на конференциях. Например, недавно была конференция Интерпола в Колумбии, где выступал Евгений Касперский. Одновременно там были представлены и Hacking Team, разработчики RCS, и Gamma Group, создатели FinFisher. У меня даже сувенирный блокнот Hacking Team есть :).

Претензий к нам они не высказывают. Видимо, все прекрасно понимают, что они делают свою работу, а мы — свою. И если они «спалились», то виноваты сами. Просьб прекратить детектирование от них никогда не поступало. Ни от них, ни от правительственных структур какой-либо страны.