– В общем, для проведения технического расследования сформирована зондер-команда, старшего не назначаю, все вы специалисты в своих областях и должны работать в теснейшем контакте. Меряться, кто главнее, некогда. Задача минимум – прекратить подложные платежи, задача максимум – разобраться, что произошло, и выйти на исполнителей. Дальше уже моя забота. Срок – сутки. Вопросы есть – вопросов нет. Знакомьтесь и приступайте.
Вот это по-нашему, по-армейски, четко и ясно. Вопрос о том, что будет, «если не», дипломатично подвешен. И главное, этот генерал свободно умеет обходиться без ненормативной лексики. Определенно, он мне нравится. Я много раз видел, как высокие военные чины, волею случая поставленные в непривычные для себя условия запрета использования специфических связующих слов, выглядели такими же неуклюжими, как бегун со связанными руками. Речь с трудом лилась из их уст, путались предлоги и падежи. И только когда запрет снимался, все становилось на свои места.
Начальство, довольное тем, что его часть работы – постановка задачи – уже выполнена, потянулось к выходу. Шефа удалось ухватить за рукав чуть ли не в коридоре.
– Я надеюсь, наши орудия труда уже привезли?
– Да, лежат в серверной. Что-нибудь еще нужно? Короче, звони, мне надо быть в курсе.
В комнате осталось шесть человек. Одного я знаю очень хорошо, это Frodo, эксперт по компьютерной безопасности из Управления «К». Четверо других держатся парочками (не подумайте чего плохого), двое у окна – явно местные, а в дальнем углу, возле диспенсера и кофемашины, расположились, скорее всего, ребята из ФСБ, военные гораздо лучше гражданских ориентируются в пространстве.
Один из ФСБ-шников, наверное, оперативник; взгляд у него немного отсутствующий, но это только видимость: думаю, просто привычка контролировать сразу все помещение. Другой, здоровенный мужик в черной спортивной майке, похоже, из подразделения «тяжелых». Не припомню, чтобы таких головорезов включали когда-либо в группу технического расследования, видно дело и впрямь табак.
Почему бы инициативу в такой ситуации не взять на себя хозяевам? Так и есть – один из банкиров оторвался от подоконника и улыбнулся.
– Меня зовут Mick, я координатор работ от банка, по всем организационным вопросам обращайтесь ко мне.
Ба, еще один организатор-координатор! Ладно, шучу. Куда мы от них, менеджеров, денемся?
– Это наш системный администратор Dark, он зарегистрирует вас в системе и предоставит необходимые права доступа.
Интересно, а не тот ли это сисадмин, про которого рассказывал Max? Опять шучу, их сейчас развелось как собак нерезаных, правда, далеко не все достойны так называться. Посмотрим – увидим.
– Я Frodo, Управление «К» МВД России, – сказал Frodo.
– Arthur, компьютерный детектив, – легонько помахал ручкой я.
– Chuck, я и Troll будем осуществлять силовую поддержку, – скромно отозвался «оперативник».
Откуда они – все, видимо, сами должны догадаться; понятное дело – чекисты.
Ну вот и познакомились, пора брать быка за рога. В рулевые, как водится, никто не рвется, придется опять мне.
– Mick, расскажи в двух словах о краже: как это произошло, сколько взяли.
– Величину ущерба мы пока точно сами не знаем, сейчас известно о четырех эпизодах, но могут быть и другие. И поверьте, речь идет об ОЧЕНЬ большой сумме. Все платежки оформлены разными операционистами, причем те утверждают, что этих документов не готовили. Деньги ушли через SWIFT4, мы пытались отозвать, но ничего не получилось, их сняли буквально в течение часа. Сейчас в банке идет выверка по полной программе, результаты планируем получить завтра утром.
– С этими операционистками уже работают, – внес свою лепту Chuck, сделав акцент на букву «к».
– А как организована сеть банка? – это уже к Dark.
– Достаточно традиционно, внутрибанковская сеть разбита на два сегмента – пользовательский и серверный. Между ними межсетевой экран, который пускает пользователей только к необходимым им серверам. Серверный сегмент подключен через шлюз к демилитаризованной зоне, где находятся внешние хосты5, а та, в свою очередь, имеет выход в Интернет. Есть еще один сегмент с интернет-компьютерами, но он не связан с корпоративной сетью.
– В DMZ6 установлена система обнаружения атак?
– Да, но никаких следов проникновения или даже разведки не обнаружено.
– Может быть, все аккуратно подчищено?
– Вряд ли, логи хранятся на специальном сервере, который отделен от DMZ своим файрволом7 и принимает только онлайн запросы на сохранение записей. Демон8 чрезвычайно простой и тщательно проверен на предмет взлома, можете сами посмотреть исходники и убедиться. Файрвол, так же как и сам сервер аудита, управляются сотрудниками службы безопасности банка, системным администраторам эти хосты недоступны. В свою очередь, службе безопасности недоступны все остальные хосты DMZ.
– Какие протоколы поддерживает шлюз между корпоративной сетью и DMZ?
– Только почтовый, причем все проходящие сообщения проверяются на вирусы и архивируются.
– Антивирус ничего не даст, в нападениях такого уровня обычно используются одноразовые компоненты, которые к тому же тщательно проверяются на распространенных эвристических анализаторах9.
– У нас стоит система, не пропускающая внутрь любой активный контент. Все исполняемые модули, скрипты10 и даже неопознанные компоненты блокируются, в корпоративную сеть проходят только строго определенные типы вложений. Никаких шифрованных архивов, никаких документов с макросами.
– Так все гладко излагаешь, аж противно. Проверьте как следует еще раз на предмет исключений. Может, какому-нибудь администратору разрешено принимать все что угодно? Или было разрешено когда-то? Аудит действий администраторов проводится?
– Хорошо, проверим. Аудит администрирования есть, эти логи хранятся там же, где и остальные, подделать их невозможно, поскольку доступ всем пользователям, в том числе администраторам, предоставляется только на чтение.
– Значит, либо заранее знали, куда идти, либо прошли другим путем. В обоих случаях необходима поддержка изнутри.
– Тотальная проверка всех сотрудников банка нереальна в такие сроки, – возразил Chuck. – Нам нужны хоть какие-то зацепки, чтобы сузить круг.
– Будем искать зацепки. Надо, чтобы все компьютеры в DMZ и корпоративной сети, в том числе рабочие места всех пользователей, оставались включенными. Можно будет отсоединиться от внешних сетей?
– Насчет компьютеров я сейчас распоряжусь, SWIFT и резервных провайдеров уже отрубили, от основного провайдера можно будет отключиться через четверть часа, – сказал Mick.
– Еще нужна детальная топология сегментов и технологические схемы участков, через которые проходили поддельные платежки.
– Да, конечно, вся документация имеется и будет вам предоставлена.
Вижу, что банк хорошо подготовился к работе. Эти хакеры какие-то мазохисты, честное слово, не могли выбрать мишень попроще, что ли? Далеко не во всех банках, даже крупных, система безопасности выстроена так грамотно. Правда, хакеры зачастую не ищут легких путей и специально выбирают сложные объекты, просто для самоутверждения. Но не похоже, чтобы это был тот случай, такие суммы и сантименты несовместимы. Неужели нелепая случайность – лезли развлечься и не удержались, увидев колоссальные деньги? Сомнительно – чтобы провести платежи подобных размеров, необходимо хорошо разбираться в банковских технологиях, да еще и момент улучить, когда на корсчете имеются нужные средства. Скорее всего, все-таки брали свои.
– Где мы можем расположиться? В серверной не хотелось бы, за бортом под сорок, а у вас там, поди, градусов восемнадцать-двадцать. Боюсь, через сутки, отведенные генералом, спрашивать работу будет просто не с кого.