Блог о безопасности крупнейшего американского оператора мобильной связи Verizon рассказал интересную историю об одном из сотрудников американской компании – некоем «программисте Бобе» (имя вымышлено), отдававшем свою работу китайским «программистам-гастарбайтерам», платя им небольшую долю своей зарплаты и получая взамен массу времени для безделья на работе.

Как пишут в блоге «на поверхность всплывают обычно новости о самых громких дырах в безопасности, приведших к утечкам данных или другим проблемам, однако мелкие, но очень интересные истории как с точки зрения специалистов по компьютерной безопасности, так и с точки зрения простого обывателя, часто остаются в тени, особенно если кибератака происходит с совершенно неожиданной стороны, с совершенно неожиданной мотивацией и крайней оригинальностью – такие истории надолго запоминаются и о них потом долго вспоминают в узких кругах экспертов».

Одно такое очень интересное дело, которое вызовет у многих улыбку, помогали расследовать эксперты из службы информационной безопасности Verizon в прошлом году. События, несмотря на весь юмор ситуации, могли привести к серьезным последствиям для безопасности неназванной организации и развивались по следующему сценарию:

Внутренняя служба информационной безопасности некой американской компании заметила странную активность в своей сети и, убедившись в логах VPN, что угроза реальная, связалась с командой экспертов Verizon, попросив у нее консультации. 

Несколько лет назад организация установила систему, позволяющую сотрудникам работать прямо из дома. Для подключения к офисной сети пользователям было достаточно установить соединение по VPN (виртуальная частная сеть) и воспользоваться своим аппаратным ключом. 

В мае 2012 года департамент информационной безопасности этой организации для пущей «секьюрности» решил отслеживать журналы использования VPN. Вскоре сотрудники отдела IT-безопасности заметили постоянное активное подключение через виртуальную частную сеть, которое осуществлялось к одному из компьютеров, принадлежащему сотруднику компании – тому самому «программисту Бобу». Постоянное активное соединение было установлено не из дома Боба, как это ни странно, а из города Шэньян, располагающегося в Китае.

Такое открытие поразило сотрудников отдела безопасности по одной главной причине: организация работает над особо важными проектами, связанными с инфраструктурой США, отсюда повышенная секретность и, соответственно, критичность утечек за рубеж. А VPN-соединение было установлено из Китая!

Компания применяла двухфакторную аутентификацию для соединений через VPN. Вторым фактором был токен (аппаратный ключ) RSA. И взлом такой защиты китайцами мог стать очень серьезным событием.

Программист, чей ключ был использован для удаленного доступа находился при этом в офисе и сидел за тем же компьютером, который в тот момент держал прямую связь с Китаем.

Изначально компания подозревала, что активность создает вредоносное ПО, прокравшееся на компьютер программиста – и это было единственным разумным предположением. А что еще предполагать в таком случае?

Привлеченная группа исследователей Verizon взялась за дело и начала изучать топологию сети, сегментацию, методы аутентификации, собирать логи и искать корреляции. Тут же выяснилось, что соединение из Китая– далеко не новость для одного-единственного компьютера организации. К сожалению, самые старые логи, которые удалось найти были шестимесячной давности, и судя по данным, связь с Китаем осуществлялась ежедневно (причем весь рабочий день) на протяжении всех шести месяцев (и, скорее всего, намного дольше – но нет доказательств).

Главным объектом расследования стал работник компании, чьи данные были использованы для неавторизованного удаленного доступа. Мужчина, которому было «за сорок» работал программистом, ведущим разработку на языках C, C++, perl, java, Ruby, php, python и т.д. Он был на хорошем счету у компании, давно в ней работал, имел семью, в общем был хорошим, спокойным и незаметным парнем. Парнем по имени «Боб».

Один из экспертов Verizon сделал полную копию жесткого диска «Боба» в момент его отсутствия, далее команда исследователей в спокойной обстановке восстановила столько удаленных файлов, сколько получилось восстановить. Сначала специалисты искали следы вредоносного ПО и просматривали подозрительные файлы и программы, скачанные Бобом из интернета. Но на их глаза попалась неожиданная находка, никак не связанная с троянскими конями и прочими вирусами – сотни счетов в формате .pdf от аутсорсинговой компании, расположенной (вы наверное уже догадались) в Шэньяне, Китае.

Как оказалось, Боб просто отдавал всю свою работу за рубеж, где китайцы выполняли ее и посылали результаты обратно. На выполнение всех поручений китайцами ежемесячно Боб тратил лишь пятую часть своей зарплаты. Аутентификация и соединение с компьютером Боба для получения исходных данных не было проблемой, он послал по «аналоговой» почте (точнее, через FedEx) свой аппаратный RSA-токен в Китай, и китайская консалтинговая фирма на протяжении всего рабочего дня беспрепятственно получала доступ к компьютеру Боба. 

Но если за Боба делали работу другие, то чем занимался всеми днями сам Боб? Исследователи проверили историю открытых Бобом в браузере страничек и ситуация прояснилась:

Типичный рабочий день Боба выглядел примерно так:

  • 9:00 утра – прибытие на рабочее место, открытие популярного развлекательного сайта Reddit и исследование его глубин в течение пары часов. Просмотр видеороликов про котиков и т.д.
  • 11:30 – время второго завтрака!
  • 13:00 – исследование онлайн-аукциона Ebay
  • 14:00 – зависание в Facebook’е и LinkedIn’е
  • 16:30 – проверка почты и прочие мелкие дела
  • 17:00 – пора домой!

Боб, как уже упоминалось выше, отдавал своим китайским «гастарбайтерам» лишь небольшую часть своей годовой зарплаты – около 50 тысяч долларов в год, при этом он получал «несколько сотен тысяч долларов» ежегодно.

Но лучшая часть этой истории – это отзывы о работнике: в отчетах кадрового отдела организации Боб значился лучшим работником на протяжении нескольких последних лет. Его код был чист, хорошо написан – работа выполнялась очень быстро и качественно. Квартал за кварталом Боб демонстрировал трудовые подвиги, можно сказать, работал в поте лица и на пределе своих возможностей. 🙂

По окончании расследования организация отказалась от дальнейших услуг Боба и его друзей.