Репортаж Даниила Туровского
Сюжет о российских хакерах, которые якобы взломали почту американских демократических политиков, пытаясь повлиять на итог президентских выборов в США, развивается уже год. «Медуза» подробно писала о том, как устроены российские кибервойска, — однако в цифровых конфликтах, как и в реальных, важна не только атака, но и оборона. Спецкор «Медузы» Даниил Туровский поговорил с несколькими десятками специалистов по кибербезопасности, изучил документы и отчеты — и рассказал о том, каких киберугроз боится российское государство и как оно намерено с ними бороться.
Кирилл (имя изменено по его просьбе) заинтересовался взломами сайтов в 13 лет — в начале 2000-х у него был слабый компьютер, на котором невозможно было играть в игры, а заняться чем-нибудь хотелось. Один из его одноклассников начал делать сайты, на уроках в школе он подсовывал другу нарисованный в тетради дизайн, а Кирилл на бумаге писал код. «Такие ограничения способствовали изобретательности, и у меня довольно быстро возник интерес, как такие сайты ломать», — вспоминает программист.
Вместе они начали взламывать сайты школьников. Вскоре у приятеля появились другие интересы, а Кирилл зарегистрировался на «Античате» — форуме, где обсуждались компьютерные уязвимости, взломы и новости информационной безопасности. На форуме было несколько уровней доступа; попасть на следующий можно было, написав статью и доказав свои познания в программировании. Поднимаясь вверх в иерархии «Античата», Кирилл познакомился с другими молодыми хакерами. Несколько лет спустя многие из них станут лучшими в России специалистами по кибербезопасности; другие начнут зарабатывать нелегальными взломами — а некоторые даже получат тюремные сроки в США.
Кирилла криминальная карьера не привлекала. «Мне лень было заниматься чем-то действительно нелегальным и денежным, потому что трудно было в себе параноика воспитать. Это ведь постоянный стресс, нужно всегда быть осторожным, — вспоминает он. — При этом мне хотелось ломать». Он искал дыры в других хакерских площадках, а в 2010-м нашел себе постоянную работу — именно в тот момент российские компании по информационной безопасности начали массово нанимать «пентестеров»: людей, которые по заказу атакуют компьютерные системы клиента, тестируя их безопасность (слово образовано от английского penetration testing — испытание на проникновение). В конце концов он оказался в крупной компании, которая во многом жила за счет контрактов со спецслужбами. По заданию начальства он взламывал банки, финансовые учреждения, платежные системы и промышленные предприятия. Все это давалось ему без особого труда — зачастую хватало просто фишинговых писем.
Весной 2012 года ему дали очередное задание: взломать одно из главных российских информационных агентств. Заказчики требовали постараться — они боялись, что перед инаугурацией Владимира Путина злоумышленники «разместят на сайте бяку про Владимира Владимировича». Кирилл легко взломал издание — по его словам, никакой защиты от атак у него толком и не было: «Это была масса кода, написанная в начале 2000-х». Как обычно, он написал отчет о взломе и передал его руководству.
Через год хакер из праздного интереса решил проверить, как агентство защитилось от дальнейших взломов. Все найденные им дыры в безопасности остались на месте.
ГЛАВА 1
Угрозы
Америка против России
В последние два года российских хакеров, работающих на министерство обороны и спецслужбы, обвиняли в атаках на Демократическую партию США, Всемирное антидопинговое агентство, эстонские, литовские, турецкие государственные сайты, а также украинские электростанции и другую критическую инфраструктуру соседней страны («Медуза» подробно рассказывала, как устроены российские кибервойска).
Судя по заявлениям официальных лиц и новым законопроектам, Россия и правда готовится к кибервойне — и собирается не только нападать, но и защищаться. До последнего времени государство практически не вело речи о необходимости оборонять государственные сайты и критическую инфраструктуру — атомные станции, военные заводы, системы снабжения и прочие объекты, успешные атаки на которые могут вызвать экологическую или финансовую катастрофу и привести к человеческим жертвам. Теперь отношение изменилось — вероятнее всего, из-за постоянных новостей о хакерских проникновениях на жизненно важные объекты (например, на американскую АЭС), развития кибершпионажа, роста киберугроз со стороны террористических организаций. «Думаю, документ о неприменении кибероружия скоро подпишут, — говорит собеседник „Медузы“, связанный с защитой государственной критической инфраструктуры. — Но только после того, как произойдет какая-нибудь по-настоящему большая катастрофа».
По словам источника «Медузы», занимающегося информационной безопасностью критической инфраструктуры, на стратегически важных российских объектах часто находят «лишнее». «Обсуждаем с людьми оттуда, что у них проблема, но они не признают, что у них может пойти что-то не так. Говорят — ну это просто вирус с целью кражи денег. Но ведь он оказался в закрытой инфраструктуре! И им повезло, что вирус с другим функционалом. А если бы у него была другая задача?»
На самом деле кибероружие против России применяется регулярно — однако, по словам собеседников «Медузы», чаще всего о таких атаках становится известно узкому кругу специалистов; до широкой публики эту информацию стараются не доводить.
Тем не менее правоохранители и аффилированные с ними компании время от времени рассказывают о кибератаках на российское государство. Например, в 2013 году против России было применено кибероружие Sputnik (узнать об этом можно из исследования научно-производственного объединения «Эшелон», которое занимается сертификацией иностранного программного оборудования для министерства обороны). Программа занималась кибершпионажем — собирала информацию о деятельности военных ведомств, институтов, дипломатических организаций, используя уязвимости «нулевого дня» в приложениях Word, Excel и Outlook для Windows. Отследить, куда стекались украденные сведения, не удалось: пункт назначения скрывала цепочка прокси-серверов. Сотрудники «Эшелона» поясняли, что украденные сведения могли быть интересны геополитическим врагам России, и заключали: «Кибервойны как форма проявления межгосударственного противостояния вошли в активную фазу».
В июле 2016 года ФСБ сообщила об обнаружении троянов в информационной инфраструктуре правительственных, научных и оборонных учреждений страны (всего — около двух десятков предприятий). Ведомство указывало, что атака была тщательно спланирована и осуществлялась на высоком профессиональном уровне. Под каждое предприятие писался свой эксплойт, жертв заражали с помощью фишинга. После заражения программа подгружала необходимые модули, которые позволяли дистанционно включать веб-камеры и микрофоны, перехватывать сетевой трафик, сохранять данные о том, что пользователи набирали на клавиатуре. В парламентском комитете по безопасности тогда заявили, что подобный кибершпионаж «выгоден прежде всего американцам».
Сейчас, чтобы защитить свое общение в интернете, российские чиновники используют закрытую государственную сеть RSNet. У каждого сотрудника есть защищенная рабочая почта, на которую можно зайти только с определенного IP и с определенного компьютера, но далеко не все соблюдают необходимые предписания — особенно если речь идет о высших эшелонах власти. «Не придет же фэсэошник к Дворковичу и не скажет: ну-ка, давай-ка выключай», — объяснял «Медузе» Льюис, лидер хакерской группировки «Шалтай-Болтай», которая взламывала переписку российских политиков (обычно — ту, которую они вели через общедоступные почтовые сервисы или через мессенджеры). Постепенно государство начинает задумываться и о защите телефонных разговоров: один из НИИ, работающих на российские спецслужбы, в 2017 году выпустил «криптотелефон», позволяющий шифровать звонки.
23 июня 2017-го газета The Washington Post рассказала, что Барак Обама, когда еще был президентом США, поручил Агентству национальной безопасности разработать кибероружие против России в качестве ответа на предположительное вмешательство в американские выборы. Спецоперация предполагала внедрение в российскую электронную инфраструктуру «имплантов», которые в нужный момент смогут вывести ее из строя; журналисты назвали их «цифровым аналогом бомб». Америка не первый год использует эту технологию — бывший директор АНБ и ЦРУ Майкл Хайден говорил, что США установили в 2010-х «импланты» на десятки тысяч компьютеров по всему миру, «которые можно использовать, когда будет необходимо».
Хакеры уничтожают бомбы
Специалисты по информационной безопасности годами предупреждали, что хакеры смогут найти способ нанести настоящий физический урон критически важным объектам. В 2009 году это случилось — когда против Ирана применили Stuxnet, кибероружие, разработанное специально для того, чтобы помешать ядерной программе исламской республики. Как писал журналист The New York Times Дэвид Сэнгер, целью создания Stuxnet было мирное решение возможной проблемы — США опасались, что Израиль начнет бомбардировки Ирана и его ядерных объектов.
Источники указывали, что Stuxnet создали спецслужбы сразу нескольких государств: ЦРУ, АНБ и кибернетическое командование США, Центр правительственной связи Великобритании, спецподразделение радиоэлектронной разведки израильского МОССАДа. Чтобы осуществить свои планы, спецслужбы сначала атаковали пять иранских компаний, связанных с заводом. После этого Stuxnet попал на флеш-накопители сотрудников; после этого, видимо, сотрудники, сами того не зная, заразили защищенную сеть завода, не подключенную к интернету. Когда Stuxnet, спроектированный специально под систему управления предприятиями, связанными с ядерной энергетикой, попал в систему завода по обогащению урана в Натанзе, он уничтожил более четверти всех его центрифуг, докачав к программному обеспечению дополнительный вредоносный код, который изменил поведение устройств.
Центрифуги приводились в движение электромотором и вращались со скоростью 1000 оборотов в секунду. Stuxnet увеличивал эту скорость до 1400 оборотов, а потом резко сбрасывал — в результате центрифуги разрушались. При этом инженеры завода, находящиеся в соседнем помещении, видели на своих экранах, что все процессы в норме. Они долгое время не понимали, в чем причина аварий; некоторых из них уволили, подозревая в нарушении правил эксплуатации.
После атаки Stuxnet продолжил распространяться в других странах: в 2010 году он заразил около 100 тысяч компьютеров по всему миру, в том числе проник в систему одной из российских атомных станций. Как и иранские заводы, АЭС не подключены к интернету — и заражение одной из станций могло свидетельствовать о серьезных проблемах с их безопасностью.
С тех пор появились новые виды кибероружия, действующие похожими способами. Так, в 2016 году эксперты компании ESET сообщили о появлении программы Industroyer, цель которой — вмешиваться в критические процессы в системах управления энергокомпаний: с ее помощью хакеры могли управлять выключателями на подстанциях. «Cпособность Industroyer влиять на работу промышленного оборудования делает ее наиболее опасной угрозой со времен Stuxnet», — заявляли в компании. Эксперты предполагают, что Industroyer могла быть причиной сбоя электроснабжения в Киеве в декабре 2016 года. Тогда свет пропал в четырех районах города.
Украину хакеры вообще атакуют последние три года — им удавалось отключать электричество в целых регионах; они проникали в системы транспорта, на военные объекты и в финансовые организации, парализуя их работу. «Вы не найдете места на Украине, на которое бы не нападали», — говорил представитель НАТО Кеннет Гирс, занимающийся кибербезопасностью.
Программный терроризм
«Россия из-за участия в военных операциях на Ближнем Востоке сильно раздражает террористов, — заявил на конференции по безопасности 30 июня 2017 года Илья Сачков из компании Group-IB, занимающейся информационной безопасностью. — Мы, к сожалению, уже в этом году столкнемся с успешной атакой на критически важную инфраструктуру».
Через год после того, как лидер «Исламского государства» провозгласил создание «халифата» на территории Сирии и Ирака, внешняя пропаганда группировки сильно изменилась: вместо постов и видео, в которых новобранцев агитировали воевать на стороне ИГ, начали появляться материалы с призывами помочь в строительстве нового государства, которому требовались врачи, учителя, журналисты, программисты. Примерно в это же время в ИГ появилось хакерское подразделение (ISIS Hacking Division, или «Киберхалифат»). Его организовал переехавший из британского Бирмингема хакер Трик (TriCk).
У Трика к тому времени был большой опыт: свой первый взлом он совершил в 11 лет, чтобы отомстить сопернику по онлайн-игре, а в 15 собрал хакерскую группировку Team Poison. Целью ее было не зарабатывание денег, но политическая борьба: Трик считал необходимым бороться за права палестинцев и жителей Кашмира — и в рамках этой борьбы вместе с товарищами атаковал произраильские и американские медиа и соцсети, например размещая собственные лозунги и предупреждения на главных страницах идеологически враждебных сайтов.
Team Poison нападала на сайты НАТО, министерства обороны Великобритании, аккаунт Марка Цукерберга в фейсбуке. В 2012 году после взлома почты помощника бывшего премьер-министра Великобритании Тони Блэра Трика нашли и арестовали — хакером оказался Джунейд Хуссейн, сын пакистанских эмигрантов. Проведя полгода в английской тюрьме, Трик уехал в столицу ИГ Ракку, где взял себе имя Абу Хуссейн аль-Британи и стал главным хакером группировки.
В этом качестве он продолжал делать то, что умел лучше всего, — взламывал американские сайты и соцсети. Например, в январе 2015 года Хуссейн разместил в твиттере американского центрального военного командования пост «Солдаты США, мы идем, берегитесь». Хакер раскрывал личности и адреса американских военных в США, призывая сторонников найти их и убить. Летом 2015 года Трик раскрыл личности двух активистов, борющихся с пропагандой ИГ в интернете; их казнили. В начале августа 2015-го 21-летний Хуссейн оказался на третьем месте в списке Пентагона на уничтожение — после лидера «халифата» Абу-Бакра Аль-Багдади и палача ИГ, называвшего себя Джихадистом Джоном.
Через несколько дней после этого агент под прикрытием связался с хакером в защищенном мессенджере Surespot (Трик публиковал свои контакты в твиттере, чтобы с ним могли переписываться единомышленники). Во время разговора он скинул Хуссейну ссылку на страницу, с которой в телефон хакера загрузился вирус. После этого его смогли отследить — и дрон сбросил на Хуссейна бомбу. Агент под прикрытием оказался хакером Shm00p, после смерти Трика он написал: «Я, *****, виновен, мне жаль, я играл в игру, в которую не должен был [играть]». Он утверждал, что помог спецслужбам из-за того, что те угрожали его семье, и говорил, что его обманули. «Я помог вам его УБИТЬ. Как вы думаете — удается мне теперь поспать ночью? — писал Shm00p. — Он был террористом и животным, но я чувствую, что меня предали».
Несмотря на смерть Хуссейна, специалисты по информбезопасности вскоре стали замечать на подпольных форумах по всему миру рост интереса террористических группировок к хакерским атакам — в особенности на критическую инфраструктуру. Об этом рассказывает собеседник «Медузы», исследующий площадки общения хакеров; эту информацию подтверждает один из отчетов Group-IB. По его словам, пользователи, выходящие с сирийских IP, предлагают специалистам по кибербезопасности работу и интересуются методами кибервойны. Сообщения на форумах они пишут в основном через Google Translate. Кроме того, террористов интересуют способы проникнуть в системы оборонных предприятий — чтобы украсть секретные разработки. Как рассказывал The New York Times Magazine, уже многие годы различные группировки ищут красную ртуть — выдуманную военную разработку СССР, которую якобы можно использовать для создания оружия массового поражения.
По словам собеседника «Медузы», «если игиловцы на самом деле поймут, где покупать уязвимости нулевого дня, то начнут происходить не самые хорошие события». «Человечество борется с терроризмом с XIX века, — объясняет специалист по информационной безопасности Илья Сачков. — Наука о защите киберпространства появилась более-менее около 20 лет назад, но серьезно с терроризмом в интернете мы никогда не встречались. Только с точечными атаками — как на Украине».
ГЛАВА 2
Закон
Успех Stuxnet в борьбе с иранской ядерной программой не остался незамеченным в России. В январе 2013 года Владимир Путин поручил ФСБ создать государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Идея заключалась в том, чтобы «накрыть» все государственные информационные ресурсы колпаком единой системы с постоянным мониторингом всего периметра. К этой системе решили подключить все ресурсы и объекты критической инфраструктуры, чтобы они обменивались информацией об атаках с главным центром — он должен был определять, как устроена атака, и направлять рекомендации о безопасности другим участникам ГосСОПКА.
Концепцию системы утверждали два года. В 2015 году ФСБ опубликовала выписку из нее. Там указывалось, что ГосСОПКА будет разделена на центры реагирования в разных регионах и ведомствах — и что при ФСБ будет создан Национальный координационный центр по компьютерным инцидентам (Gov-CERT), который займется обороной критической инфраструктуры. Возглавил Gov-CERT сотрудник ФСБ Алексей Новиков; по его словам, к ноябрю 2016-го к системе были подключены десять госорганов, ведомственные центры реагирования уже запустили Центробанк и «Ростех».
Новиков объяснял, что сейчас спецслужбы выстраивают обмен информацией об инцидентах между госорганами. По его словам, в системе будет предусмотрен специальный режим, в котором сообщение об инциденте можно будет отправить в центр вместе с «запросом на оказание содействия». Такие сообщения будут иметь высший приоритет, дежурная смена Национального координационного центра по компьютерным инцидентам их сразу увидит и начнет действовать: например, привлекать провайдеров к фильтрации вредоносного трафика или пытаться прекратить функционирование бот-сетей. Чиновник утверждает, что еще в 2014 году во время Олимпиады в Сочи ФСБ удалось вывести из строя несколько центров управления бот-сетями.
Кроме того, ФСБ требует, чтобы госслужащие внимательнее относились к электронным письмам. «Одна из госкорпораций получила несколько [подозрительных] писем, сотрудники службы безопасности переслали их нам на исследование, — рассказывал Новиков на Уральском форуме по информационной безопасности в феврале 2017 года. — Мы провели экспресс-анализ и обнаружили известное семейство APT. Мы смогли установить, откуда были отправлены письма. Оказалось, что они ушли еще на 10 объектов, но мы смогли предотвратить атаку».
В ближайшее время в России будет окончательно принят законопроект о безопасности критической информационной инфраструктуры, который обяжет все объекты обмениваться данными с ГосСОПКА. Его в декабре 2016 года внес в парламент премьер Дмитрий Медведев. Документ не только предполагает создание специального реестра для компьютерных систем, использующихся на критически важных объектах, но и предусматривается новая уголовная статья за атаки на критическую информационную инфраструктуру. Максимальное наказание по ней составит 10 лет тюрьмы, причем получить его могут не только хакеры, но и те госслужащие, из-за попустительства которых произошла утечка или атака.
По мнению ФСБ, курирующей законопроект, если быстро не предпринять шаги по защите инфраструктуры, террористы и иностранные спецслужбы будут угрожать стабильности страны — Россия «поставлена в прямую зависимость от безопасности функционирования информационно-телекоммуникационных сетей и информационных систем». «При развитии событий по наихудшему сценарию компьютерная атака способна полностью парализовать критическую информационную инфраструктуру государства и вызвать социальную, финансовую и (или) экологическую катастрофу», — говорится в пояснительной записке ФСБ к законопроекту. В качестве примеров возможных сценариев атак в документе упоминается Stuxnet и «паралич работы нескольких крупных финансовых учреждений Южной Кореи в марте 2013 года».
От ФСБ законопроект и критическую безопасность инфраструктуры курирует заместитель директора ведомства Дмитрий Шальков. В январе 2017-го он заявил, что за прошлый год из-за рубежа российские информационные ресурсы атаковали 70 миллионов раз (Владимир Путин называл эту же цифру, говоря о 2015 годе). «Российская инфраструктура постоянно подвергается хакерским атакам. В ноябре 2016 года совершалась массированная атака на финансовый сектор страны. Объектами стали Сбербанк, Альфа-банк, Банк Москвы и другие. Атаки были нейтрализованы специалистами по информационной безопасности ФСБ. Количество атак на официальные ресурсы России неуклонно растет», — объяснял Шальков, представляя законопроект в Госдуме.
В первом чтении его приняли 27 января 2017 года — однако второе чтение многократно откладывалось. 23 июня глава ФСБ Александр Бортников попросил депутатов ускорить принятие законопроектов о критической инфраструктуре; через две недели, 7 июля 2017-го, документ прошел второе чтение, а вместе с ним приняли поправку к закону о гостайне — к таким сведениям добавились меры обеспечения безопасности критической информационной инфраструктуры и ее защищенности от кибератак. Третье чтение успешно прошло 12 июля; если документ рассмотрят в Совете Федерации до летних каникул чиновников, он вступит в силу с 1 января 2018 года. Депутат Сергей Есяков предлагал перенести эту дату на 2019-й — но его поправку отклонили из-за «сложившихся условий необходимости укрепления информационной безопасности государства».
ГЛАВА 3
Защитники
Русский Palantir
В конце мая 2017 года Group-IB и Национальный центр информатизации, входящий в структуру «Ростеха», основали совместное предприятие для защиты государства от хакеров. Компания должна предоставить системы защиты, центр займется их сертификацией и общением с госорганами. При подписании документа присутствовал директор по особым поручениям «Ростеха» Василий Бровко (в 2015-м Бровко, по информации «Медузы», участвовал в тестировании системы для организации мощных DDoS-атак против сайта Министерства обороны Украины и сайта Slon.ru).
«Мы хотим защищать государство, но такая работа — это долгий и кропотливый процесс: сертификации, аккредитации, — объясняет „Медузе“ гендиректор Group-IB Илья Сачков. — „Ростех“ этим займется и будет встраивать нашу продукцию в большие инфраструктурные проекты. Если посмотреть на выкладки WikiLeaks или Hacking Team, то можно понять, что многие уязвимости или методы доставки исполняемого кода придумала классическая оргпреступность, а потом они уже попали к спецслужбам. Мы знаем, как применить эти знания для защиты критической инфраструктуры».
Сачков заявлял, что объединение с «Ростехом» «позволит фактически создать российский аналог Palantir» — проекта, который называют самой секретной компанией Кремниевой долины. В 2011 году эта компания, возможно, с помощью своего алгоритма помогла властям США отследить лидера «Аль-Каеды» Осаму бен Ладена. Сачков туманно объясняет, что Group-IB будет заниматься анализом больших данных с точки зрения национальной безопасности. «Система может находить взаимосвязи, выявлять реальные идентичности человека, предсказывать, что скоро произойдет та или иная история — например, информационный вброс, — на основе того, что регистрируются домены, закупаются ссылки, — поясняет он. — Можно будет узнавать о готовящихся преступлениях».
В июне о сотрудничестве в области информационной безопасности объявили компания по защите от DDoS-атак Qrator Labs и основной российский провайдер «Ростелеком».
Хакеры в плену у ФСБ
В разных частях Москвы расположены государственные научно-исследовательские институты, в которых десятки специалистов разрабатывают защиту информационных систем и тестируют ее. По словам собеседников «Медузы», этим занимаются в НИИ «Квант», НИИ «Восход», научно-практическом центре «Атлас», научно-инженерном предприятии ФСБ №1. Изучением уязвимостей для защиты также занимаются в Минобороны: преподаватель Межвидового центра подготовки и боевого применения войск радиоэлектронной борьбы под Тамбовом объяснял, что «основная задача наших ребят — изучать методы [кибератак] и поставить им надежный заслон».
Одна из задач таких институтов — сертификация иностранного ПО перед передачей его в госорганы. В одном из отчетов «Эшелона» за 2013 год указано, что «иногда [в программах] обнаруживаются закладки в продукции», «один из способов противодействия подобным угрозам — проверка безопасности программного кода в процессе сертификационных испытаний».
По словам одного из собеседников «Медузы», специализирующегося на безопасности государственных объектов, подобные занятия не имеют смысла. «Идея в том, чтобы злые американцы нам не прислали оборудование с закладками. Оборудование якобы проверяют и перепродают [госкомпаниям]. Это на ровном месте накрутка денег, потому что реально проверить их невозможно, — объясняет источник. — К тому же они продают их без поддержки или с задержкой обновлений. И стоят такие компы в закрытых режимных комнатах, но напрочь дырявые».
«В НИИ работают прошаренные люди — это можно понять, например, из истории про „Квант“ („Медуза“ подробно рассказывала, как институт пытался купить для ФСБ программу-вирус Remote Control System, позволяющую среди прочего перехватывать переписку). Во многих НИИ есть дорогостоящие программы официально „для тестирования на проникновение“, а на самом деле для взломов, — продолжает собеседник „Медузы“. — Это графический интерфейс с кучей эксплойтов. Обычно такие вещи покупаются для ФСБ. Такие штуки стоят тысячи долларов в год, но в НИИ ими будто не пользуются. Их держат для интереса спецслужб — они нужны для понимания, какими могут быть атаки».
По его словам, многих программистов на рынке зовут на работу в НИИ, «связанные с конторой». Одному из пришедших на собеседование на такую работу намекнули на найденные уязвимости нулевого дня в одной из самых распространенных программ.
Антон (имя изменено по его просьбе), занимающийся по основной работе анализом вирусов, периодически общается с сотрудниками ФСБ. По его словам, в Центре информационной безопасности (ЦИБ) ведомства мало технических сотрудников, поэтому они часто привлекают сторонних специалистов. «Существует распространенная схема по привлечению нелегальных хакеров, их поощрению, созданию для них условий для работы, чтобы через них получать нужную информацию», — объясняет программист. По его словам, хакеров часто прячут на конспиративных квартирах, чтобы их не поймали полицейские. Антон знает о нескольких случаях, когда людей задерживал отдел «К» МВД, а потом за задержанным приезжали сотрудники ФСБ и увозили его со словами: «Не ваше дело».
Некоторые из хакеров переходят на штатную работу в правоохранительные органы. В 2004 году хакер Forb рассказывал, что зарабатывает воровством кредитных карт и атаками на американские правительственные сайты. В 2012-м оказалось, что Forb — это Дмитрий Докучаев, перешедший на работу в спецслужбы. Он работал старшим оперативником в ЦИБ. США считают, что Докучаев и другие сотрудники ЦИБ платили хакерам за атаки на Yahoo в 2014-м, которые привели к похищению данных 500 миллионов аккаунтов. Сейчас Докучаев вместе с руководителем ЦИБ Сергеем Михайловым арестован по обвинению в госизмене и находится в Лефортово.
О контактах спецслужб с российскими хакерами в апреле 2017 года рассказывал Руслан Стоянов, бывший глава отдела расследований «Лаборатории Касперского», постоянно общавшийся по работе с ФСБ. «Существует огромный соблазн для „людей, принимающих решения“ воспользоваться готовыми решениями российской киберпреступности в целях влияния на геополитику, — пояснял Стоянов. — Самый ужасный сценарий — дать киберпреступникам иммунитет от возмездия за кражу денег в других странах в обмен на разведданные. Если это произойдет, появится целый слой „воров-патриотов“. Полулегальные „патриот-группы“ могут гораздо более открыто вкладывать ворованные капиталы в создание более современных троянских программ, а Россия получит самое продвинутое кибероружие».
Источники The New York Times утверждают, что самый разыскиваемый в мире российский хакер Евгений Богачев сотрудничает со спецслужбами. Богачев создал сеть зараженных компьютеров по всему миру (кроме России), на которой заработал сотни миллионов долларов — атакуя и банки, и полицейские департаменты в Массачусетсе, и фирму, занимающуюся дезинсекцией в Северной Каролине. По словам собеседников издания, пока Богачев, контролировавший миллион зараженных компьютеров по всему миру, похищал деньги с банковских счетов, «российские власти смотрели ему через плечо, изучая те же компьютеры в поисках файлов и электронных писем»: их якобы интересовала засекреченная информация на зараженных американских компьютерах о конфликтах на Украине и в Сирии; поиск осуществлялся по словам «совершенно секретно» или «министерство обороны».
«Говорят, [Богачев] живет припеваючи в Анапе и помогает эфэсбэшникам, — говорит источник „Медузы“, занимающийся анализом кибератак. — Почему нет? Если бы я был эфэсбэшником, я бы его, конечно, доил. Он в России, у него куча доступов, нельзя этим не пользоваться, но нужно помнить, что он преступник».
«Миленькая девочка» из «Информзащиты»
Средства для защиты критической инфраструктуры выпускают многие коммерческие компании: Positive Technologies, «Лаборатория Касперского», Group-IB. Одна из них, «Информзащита», много лет работает с государством: например, она занималась обеспечением безопасности транспорта во время Олимпиады в Сочи; Forbes сообщал, что «Информзащита» за пять лет заключила четыре с половиной сотни контрактов с госзаказчиками на общую сумму в пять миллиардов рублей.
Основатели «Информзащиты» — выходцы из Генерального штаба и военных НИИ (в том числе из «Кванта»). В конце 1990-х они начали устанавливать свои системы защиты в российской Центральной избирательной комиссии и Центробанке; в 2000-х — выпустили средство защиты сетей и шифровки данных «Континент», которое используется многими государственными органами. Тогда же в «Информзащите» появился отдел «пентестеров» — перед тем как продать свои программы заказчику, компания тестировала устойчивость его систем.
С «Информзащитой» среди прочих работала Алиса Шевченко — на ее компанию «ЦОР Security» Минфин США в декабре 2016 года наложил санкции за вмешательство в президентские выборы.
В своем инстаграме Шевченко называла себя «еще одной миленькой девочкой-хакером». Знакомый Шевченко описал ее «Медузе» как одну из самых способных «пентестеров» России, которая может взломать почти любую систему (связаться с самой Шевченко «Медузе» не удалось). По его словам, Шевченко очень много работает, а все свободное время проводит за чтением специальной литературы. На ее сайте указано, что девушка «чаще всего работает над уязвимостями и эксплойтами». Весной 2014 года на ежегодном форуме российских хакеров Positive Hack Days она с легкостью взломала систему управления инфраструктурой города-полигона; его защиту она назвала «тривиальной».
Шевченко начинала свою карьеру, работая вирусным аналитиком в «Лаборатории Касперского»; после этого она организовала собственную компанию Esage, которая специализировалась на анализе киберзащиты различных организаций. Заказы компания получала от интегратора «ДиалогНаука», который обслуживал контракты Федеральной службы охраны и Минобороны. Позже Esage, переименованная в «Цифровое оружие и защита», начала заниматься тестами на проникновение, используя для этого фишинговые письма и вредоносные сайты (то есть те же методы, что и те, кто взламывал американских политиков и международных спортивных чиновников).
Работали с Шевченко около десяти человек — их всех девушка нашла на хакерских форумах. Вместе, как указывал Forbes, они занимались разработкой инструментария для взломов. Власти США считают, что компания Шевченко предоставляла свои исследования и разработки ГРУ. «Проснулась от тонны запросов о каком-то списке, о котором никогда не слышала, — написала Шевченко на следующий день после объявления Минфина США в твиттере. — Кажется, не выйдет сегодня покодить…» Знакомый Шевченко сказал «Медузе», что она уехала из России; сайт ее компании теперь представляет собой пустую страницу.
(...)
Окончание
Комментарии (0)