Большинство записей выглядят абсолютно обычно и не вызывают подозрений, но ближе к хронологическому концу начинают появляться подозрительные и нетипичные активности. Кто-то методично пытался подобрать пароль к защищённому аккаунту, эти попытки продолжались несколько дней подряд с различных IP-адресов и исключительно в ночное время.
Копирую каждый подозрительный сетевой адрес и изучаю его через специализированный сервис геолокации. Результат анализа закономерно показывает VPN-сервер, расположенный в Нидерландах — классический и широко распространённый способ эффективно скрыть реальное географическое местоположение злоумышленника.
На протяжении получаса кропотливо исследую логи, пока не добираюсь до строк с подробной информацией о браузере потенциального взломщика. Часовой пояс в системных настройках указан как «Азия/Пекин», а язык интерфейса браузера установлен на упрощённый китайский. Эти технические детали уже наводят на кое-какие предположения.
— Уже закончил? — в кабинет неожиданно заходит тимлид команды разработчиков.
— Да, — быстро сворачиваю окно с логами и демонстративно лениво потягиваюсь в кресле.
— CRM-систему протестировал под высокой нагрузкой? Всё функционирует стабильно? — интересуется он практическими деталями.
— Конечно. Никаких проблем или сбоев не выявлено. Финальную версию уже загрузил на сервер.
— Отлично, сейчас всё изучу, и ты свободен, — одобрительно кивает собеседник, перед тем, как выйти из кабинета.
Как только он уходит, я снова открываю логи.
Хакеры каким-то образом сумели обойти двухфакторную аутентификацию, оперативно сменили контактный email-адрес и вывели абсолютно все накопленные средства со счёта. Вся преступная операция заняла менее трёх минут — работа настоящих профессионалов.
Наконец мне попадается подозрительный IP-адрес, который не замаскирован виртуальными частными сетями. Пробиваю его местонахождение… бинго! Как и предполагал, кибератака была произведена из Пекина. Ян Вэймину определённо повезло — шансы вернуть украденные средства на собственной территории, где он является влиятельным чиновником, весьма высоки.
Я смотрю на IP-адрес, представляющий из себя набор из десяти цифр и хмурюсь. Он кажется мне знакомым. Нет, не может быть.
Быстро открываю корпоративный портал Digital Nexus и перехожу в раздел «Техническая информация». Выбираю страницу с сетевыми настройками, которую показывал мне руководитель в первый рабочий день в офисе.
Глядя на IP-адрес, представляющий собой стандартный набор из цифр, разделённых точками, я начинаю неожиданно хмуриться. Этот сетевой адрес кажется мне до боли знакомым. Нет, просто не может быть такого совпадения.
С нарастающим беспокойством быстро открываю внутренний корпоративный портал Digital Nexus и перехожу в технический раздел «Системная информация». Выбираю страницу с детальными сетевыми настройками офиса, которую демонстрировал мне руководитель в самый первый рабочий день.
Сравниваю данные из логов с корпоративной технической информацией. Адрес, с которого была проведена хакерская атака, отличается от адреса нашего офиса всего на одну цифру в последней группе — вполне допустимый диапазон для одного офисного здания или даже этажа.
Ощущаю, как по спине пробегает неприятный холодок осознания. Кибератака на счёт Ян Вэймина была проведена отсюда, из нашего офиса. С одного из рабочих компьютеров в Digital Nexus. Медленно поворачиваю голову и настороженно смотрю через прозрачную стеклянную стену на своих коллег.
Теперь мне понятно, чем основная команда разработчиков так упорно и сосредоточенно занята, что руководство не может выделить ни одного сотрудника на относительно мелкие поручения по модернизации CRM-системы. Недостаточно просто украсть криптовалюту со счёта — даже в цифровом пространстве преступники неизбежно оставляют технические следы, по которым опытные специалисты могут выйти на злоумышленника.
Поэтому хакеры пользуются сервисами-миксерами, которые автоматически перемешивают украденную криптовалюту с другими средствами пользователей, эффективно скрывая её первоначальное происхождение и затрудняя отслеживание. Заливать на подобный анонимный сайт сразу всю крупную сумму крайне подозрительно и может привлечь внимание правоохранительных органов, поэтому преступники разбивают общую сумму на несколько сотен мелких транзакций. Если логически рассуждать, возможно именно этой работой сейчас и занимаются мои коллеги.
Конечно, теоретически может оказаться, что корпоративную сеть взломали извне, используя уязвимости в системе безопасности, но обнаруженные факты говорят сами за себя. Разбираться в том, что конкретно произошло в офисе и кто именно причастен к преступлению — это уже не моё дело. Сейчас главное замести следы и выйти из офиса живым.
Пока тимлид не вернулся, приступаю к тщательному уничтожению всех следов. Удаляю загруженные файлы с логами на ноутбуке. Затем запускаю утилиту безопасной очистки дискового пространства, которая многократно перезаписывает удалённые данные случайной информацией, делая их восстановление технически невозможным. Дополнительно очищаю историю браузера, включая все посещённые сайты, загруженные файлы и кэшированные данные. Очищаю журнал последних действий в текстовом редакторе.
В завершение перехожу в системный журнал и аккуратно удаляю записи о работе с внешними файлами, оставляя только стандартные записи о работе с корпоративными приложениями. Готово.
Глава 3
Лян Вэй неторопливо шагает по извилистым аллеям парка, направляясь в его дальний угол — привычное место встреч с Ян Вэймином. Встречные прохожие спешат на работу после обеденного перерыва, их лица выражают типичную для рабочего дня сосредоточенность. Он намеренно не стал рассказывать всё чиновнику по телефону, тем более прямо из офиса — слишком большие риски.
Поэтому он сначала забрал справку об увольнении, пожал руку начальнику отдела, поблагодарив за предоставленную возможность поработать в компании, а уже после этого позвонил Яну с предложением встретиться для разговора на что тот сразу же согласился. Даже прибыл в парк быстрее Лян Вэя — когда есть острая необходимость в информации, сразу находится и свободное время в плотном графике.
Оказавшись позади сидящего на скамейке Ян Вэймина, студент негромко окликает его:
— Добрый день, господин Ян, — вежливо приветствует он, протягивая руку для рукопожатия.
Чиновник встаёт и отвечает на приветствие крепким рукопожатием, одновременно бегло осматриваясь вокруг, проверяя, нет ли поблизости посторонних слушателей. Не желая тратить время на пустую болтовню, он сразу же переходит к интересующей его теме:
— Что удалось узнать?
— Знаете, никогда не думал, что события будут развиваться с такой скоростью, — на несколько секунд Лян Вэй делает паузу, подбирая правильные формулировки. — В другом месте одному моему близкому человеку приходилось сталкиваться с аналогичными ситуациями, когда государственные службы — неважно, работающие внутри страны или за её пределами — по какому-то резонансному, но неуловимому следу вели оперативно-розыскные мероприятия. И надо признать, успехи в таких делах случаются довольно часто.
— Что, висяк? — с понимающей ухмылкой выражает догадку собеседник, используя выражение из полицейской практики.
— Если бы всё было так просто, — качает головой Лян Вэй.
Гуляя по парку, чиновник бросает на собеседника заинтересованный, слегка нетерпеливый взгляд, молча требуя продолжения.
— Все до единого специалисты, которых тот мой близкий человек уважал за профессионализм и хорошие результаты — вне зависимости от возраста, звания или служебной специализации — сходились в одном принципиальном мнении, — продолжает объяснение молодой консультант. — В оперативно-розыскной работе, если правонарушение готовилось действительно умными людьми или целым коллективом, их тоже рано или поздно ловят и привлекают к ответственности.
