Глава 30

Модный медведь

Холодная кибервойна между Россией и США продолжается с момента, когда закончилась холодная война, — и если в конце 1980-х советские спецслужбы получали секретные американские данные от немецких хакеров, то через несколько лет заниматься взломами начали уже сами россияне.

В 1996 году группировка Moonlight Maze, которую связывали с российской разведкой, похитила значительное количество документов из правительственных и университетских сетей США, включая Пентагон и NASA. К расследованию атак подключился Роберт Гурли, опытный сотрудник спецслужб, который во время холодной войны отслеживал советские подводные лодки. Когда его команда исследовала следы кибершпионов, выяснилось, что тех интересуют гидродинамика, океанография, геофизика и технологии слежки и что в хакерском коде были фрагменты на кириллице .

Информация об атаке скоро появилась в прессе. В еженедельнике Newsweek вышел материал «Мы находимся на кибервойне». В статье говорилось, что публика впервые узнала о попытках российской разведки получить американские технологии — при этом в Минобороны США журналистам заявили, что это «кибервойна уже в разгаре». Военные чиновники называли хакеров «терпеливыми и настойчивыми» и предполагали, что после первого вторжения они просто начали применять новые инструменты: «Зарылись в сети так глубоко, что их невозможно теперь отследить».

В конце концов Белый дом одобрил запрос ФБР на поездку в Россию для встречи с представителями спецслужб. Американцы решили не обсуждать взломы как дело государственной важности, а просто попросить помощи коллег в расследовании кражи. В Москву отправились около 10 сотрудников спецслужб США.

Их встретили как дорогих гостей — весь первый день визита представлял собой сплошное застолье с тостами, водкой и икрой. На следующий день американцы отправились в российское Министерство обороны. Когда он обсуждали атаки, их собеседник, генерал армии, смущенно обвинил «этих ублюдков в разведке» и заявил, что не приветствует подобные действия. Это была последняя встреча американцев с российскими военными — агенты ФБР провели в Москве еще четыре дня, но в Минобороны их больше не звали. На следующие несколько лет хакеры, которых связывали с Россией, замолчали.

Профессор Королевского колледжа Лондона Томас Рид продолжал расследование действий Moonlight Maze следующие два десятка лет. В 2016 году оно привело его в одну из английских деревень, в которой жил эксперт по компьютерной безопасности, анализировавший атаки 1996 года. Рида интересовал один из его компьютеров, который взломали русские хакеры; оказалось, что тот до сих пор его хранит. Лондонский ученый исследовал компьютер вместе с экспертами из «Лаборатории Касперского» и обнаружил часть вредоносного кода того времени. Оказалось, что он до сих пор используется российскими прогосударственными хакерами.

***

Атаки российских хакеров на различные американские институции продолжались годами, но самыми резонансными и, видимо, эффективными стали взломы 2015 года. Тогда хакеры из группировки Fancy Bear — судя по всему, представители российских кибервойск — внедрились в систему Национального комитета Демократической партии США.

Сделали это они самым простым способом — с помощью фишинговых писем (по данным аналитической компании Crowdstrike, демократов взламывали дважды — летом 2015 года и в апреле 2016 года). Получив доступ к переписке высокопоставленных сотрудников комитета и партии, они передали ее Wikileaks, которые выложили письма в публичный доступ за несколько месяцев до президентских выборов. В них обнаружилась информация, компрометирующая Хиллари Клинтон, которая баллотировалась на этот пост от демократов: партийные координаторы обсуждали между собой, как насолить ее внутрипартийному конкуренту Берни Сандерсу; одна из представителей партии согласовывала с Клинтон вопросы, которые ей должны были задать во время публичного интервью.

Ответственность за атаку тогда взял на себя хакер Guccifer 2.0. Свой псевдоним он позаимствовал у румына Марцела Лехела, который в тот момент находился в американской тюрьме, ожидая приговора за причастность ко взлому почтовых ящиков румынских и американских политиков.

На сайте Guccifer 2.0 говорилось, что он родом из Восточной Европы и считает, что переписку политиков необходимо предавать огласке. Хакер специально указывал, что не связан с Россией, и отмечал, что все последние хакерские атаки приписывают россиянам, несмотря на то что теми же методами могут действовать люди со всего мира. Guccifer 2.0 утверждал, что миф о могущественных русских хакерах запустила «Лаборатория Касперского», преследуя собственные бизнес-интересы.

Действия, слова и файлы «Гуччифера» принялись изучать сотни людей — обнаруживая все больше доказательств того, что хакер (или хакеры) все-таки действительно связан с Россией. Одними из самых ярких стали находки в метаданных украденных писем: их открывали на компьютере, использующем русский язык, а одно из писем исправил пользователь «Феликс Эдмундович»: видимо, хакеры зачем-то оставили таким образом послание.

Когда мне однажды удалось побывать в здании ФСБ, я понял, что Дзержинский по-прежнему остается для сотрудников российских спецслужб героем и символом: календари с его портретом висят чуть ли не в каждом кабинете дома на Лубянке.

С июля 2016 года «российские хакеры» стали одной из главных тем американской политики. Штаб Клинтон сразу же обвинил Кремль в организации атак и помощи Дональду Трампу, кандидату в президенты от республиканцев. Трамп все отрицал; позже, выиграв выборы, он продолжил говорить, что никак не сотрудничал с Россией, — хотя стал допускать, что хакеры могли действовать в интересах Кремля. Пресс-секретарь Владимира Путина Дмитрий Песков заявлял . что Россия никаким образом не причастна к атаке.

Расследовать произошедшее начали сразу несколько американских ведомств; в январе 2017 года Управление директора национальной разведки США опубликовало доклад , в котором говорилось, что президент России Владимир Путин лично распорядился начать «кампанию по вмешательству» в президентские выборы в США. Такой вывод американская разведка делает «с высокой степенью уверенности».

***

Атаки 2016 года, видимо, были частью государственной разведывательной операции, продолжающейся еще с середины 2000-х. В киберзащитной компании Trend Micro указывали, что одна и та же группа с середины 2000-х атакует организации и политиков, угрожающие интересам России (во всяком случае, по версии самой России). В 2008 году, например, они атаковали Пентагон. Киберзащитные компании называли российских хакеров по-разному — то Pawn Storm, то АРТ28 , то Tsar Team, то Fancy Bear, но их цели оставались примерно одними и теми же. Например, Fancy Bear за 2015 год отправили минимум 4400 фишинговых писем — среди адресатов были российские оппозиционеры, политики многих европейских стран, сотрудники НАТО, Демократическая партия США. Рассылали хакеры и письма с зараженными вложениями.

Впервые ответственность за атаку Fancy Bear взяли на себя после взлома Всемирного антидопингового агентства — в сентябре 2016 года. Тогда у группы появился сайт fancybear.net, оформленный карикатурным медведем в маске движения Anonymous — хакеров-активистов, которые в начале 2010-х атаковали террористов, саентологов и правительственные ресурсы, занимающиеся цензурой; там и были выложены документы ВАДА. Взлом произошел через несколько недель после отстранения российских спортсменов от Олимпиады в Рио-де-Жанейро за употребление запрещенных препаратов. Из документов, опубликованных Fancy Bear, следовало, что допинг — с разрешения агентства — принимали и известные американские спортсмены. Представители ВАДА обвинили во взломе Россию.

Прямых доказательств связей между Fancy Bear и российскими властями долго не существовало. Среди косвенных свидетельств того, что эти связи существуют, эксперты указывали , например, тот факт, что работают хакеры с 9 до 17 часов по московскому времени. В используемом ими коде можно было обнаружить кириллические фрагменты, среди серверов — те, что располагаются в России, а для ответов на запросы журналистов хакеры использовали «российский VPN». Впрочем, главным доказательством все равно остается то, что атаки совершаются фактически в интересах российских властей.

Эксперты киберзащитной компании Eset говорили, что группа «отличается высоким уровнем технической подготовки». По их данным, Fancy Bear постоянно использует «уязвимости нулевого дня» — ранее неизвестные «дыры» в программном обеспечении (только в 2015 году Fancy Bear отыскали их шесть в Windows, Java и Adobe Flash; для сравнения, в кибероружии Stuxnet, которое применялось при атаке на иранскую ядерную программу, использовалось четыре уязвимости нулевого дня). Для работы с похожими уязвимостями, видимо, набирали специалистов в Центр специальных разработок Минобороны.

Поиск и разработка таких «дыр» — сложное и долгое дело, а значит, требует серьезных финансовых вложений. При этом группировка не совершала «коммерческих взломов» вроде кражи денег с банковских счетов и не торговала результатами своих исследований (стоимость уязвимостей нулевого дня на черном рынке начинается от нескольких десятков тысяч долларов).

«Лаборатория Касперского» еще в 2014 году рассказывала о группировке АРТ28, действующей теми же методами, что Fancy Bear, — до событий с выборами в США эксперты говорили о прогосу-дарственных хакерах значительно свободнее. АРТ28 атаковали Белый дом и Госдепартамент США, используя фишинг и прикрепленные к письмам видеоролики, при открытии которых на компьютер скачивались дополнительные модули вирусов. «Лаборатория Касперского», давно следившая за деятельностью группировки, считала ее участников россиянами из-за комментариев в коде на кириллице, версий операционных систем, на которых писался код, часовых поясов, а главное, из-за того, что технологии, которые использовали взломщики, пересекались с технологиями других русскоязычных хакерских групп.

***

О том, что за взломами серверов Демократической партии стоят не просто российские хакеры, а Минобороны и ГРУ было официально объявлено в январе 2017 года в докладе, под которым, по сути, подписалось все разведывательное сообщество США. Еще через полтора года последовали подробности — американское жюри присяжных утвердило обвинение в адрес 12 сотрудников Генштаба, осуществлявших атаки. В судебных документах было подробно изложено кто и как, по версии американских расследователей, крал данные у демократов.

Большинство атак курировались из двух зданий — войсковой части 26165 на Комсомольском проспекте (про нее я уже рассказывал) и «башни» в Химках, которая официально называется «Центром управления повседневной деятельностью».

Согласно документам американских спецслужб, подполковник Сергей Моргачёв командовал подразделением воинской части, разрабатывающей хакерское оборудование, в том числе программу X-Agent, которую часто используют хакеры. Ему помогали четверо лейтенантов. Борис Антонов руководил группой из четырех человек, которая взламывала компьютеры с помощью фишинговых писем. С ним работали трое сотрудников ГРУ.

Виктор Нетышко (один из сотрудников ГРУ которым было предъявлено обвинение) оказался кандидатом технических наук, в 2003 году защитившим диссертацию по специальности «Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей»; в 2010 году он был оппонентом на защите диссертации о компьютерных взломах в РГГУ. Его же подпись стоит под договорами о сотрудничестве между академией ФСБ и рядом московских математических школ — в документах указано, что школьников будут готовить к поступлению в «научные роты» Минобороны. Еще один обвиняемый, Дмитрий Бадин, в 2014 году участвовал в московской хакерской конференции Positive Hack Days.

Сотрудники ГРУ атаковали более трехсот компьютеров, связанных с Национальным комитетом Демократической партии США, партийным комитетом по выборам в Конгресс и президентской кампанией Хиллари Клинтон. Они рассылали письма от имени Google, якобы содержавшие уведомление о настройках безопасности. Внутри находилась ссылка, которая вела на сайт, созданный ГРУ.

В марте 2016 года таким образом была взломана почта главы избирательного штаба Клинтон Джона Подесты. В его ящике находилось более 50 тысяч писем. После этого сотрудники ГРУ создали почтовый ящик, адрес которого на одну букву отличался от адреса одного из участников кампании Клинтон. С него они разослали фишинговые письма другим сотрудникам штаба. В письмах якобы содержалась ссылка на xlsx-документ с рейтингами Клинтон; в действительности она вела на сайт, созданный ГРУ.

Одновременно сотрудники российской разведки атаковали компьютерные системы комитета Демократической партии по выборам в конгресс. Доступ был получен с помощью фишингового письма, отправленного одной из сотрудниц комитета. Она прошла по присланной ей ссылке и ввела пароль. С апреля по июнь 2016 года обвиняемые установили шпионскую программу X-Agent по меньшей мере на 10 компьютеров, подключенных к сети партийного комитета (этот же модуль устанавливался в Украине в приложениях для расчета баллистики). Программа записывала, какие клавиши нажимал пользователь, и делала снимки экрана его компьютера, а затем передавала украденные данные на сервер, который ГРУ арендовало в Аризоне.

С помощью X-Agent, в частности, были похищены пароли сотрудника комитета по выборам в Конгресс, который также имел доступ к сети Национального комитета Демократической партии. Таким образом были взломаны не менее 33 компьютеров, подключенных к этой сети.

На взломанных компьютерах подозреваемые, в частности, искали документы с упоминанием Хиллари Клинтон, Дональда Трампа и участника республиканских президентских праймериз Теда Круза. Они также скачали папки с информацией о расследовании нападения боевиков на посольство США в Бенгази в 2012 году (Хиллари Клинтон в то время занимала пост госсекретаря США, она давала показания по этому делу на слушаниях в Конгрессе). Кроме того, хакеры получили доступ к финансовым документам, в частности, к планам сбора пожертвований на кампанию Клинтон.

Чтобы распространить эти документы, сотрудники ГРУ по версии американского следствия, притворились румынским хакером Guccifer 2.0. Как указано в документе, в июне 2016 года, когда Guccifer2.0 обвинили в том, что это имя используется как прикрытие для представителей российских спецслужб, с одного из серверов российской военной части 74455 поступили поисковые запросы о некоторых английских фразах (например, перевод словосочетания «широко известный перевод» или правописание слова illuminati). Через два с небольшим часа все эти фразы появились в заявлении Guccifer 2.0, в котором «хакер» категорически отрицал связь с Россией.

Тогда же, в июне 2016 года, обвиняемые запустили сайт DCLeaks, на котором выкладывали часть украденной переписки. Для его раскрутки были созданы аккаунты в фейсбуке и других соцсетях. Кроме того, они передавали похищенные данные третьей стороне, которая в обвинительном заключении указана как Organization 7, — скорее всего, имеются в виду Wikileaks.

Несмотря на некоторые доказательства связи российских хакеров из ГРУ с атакой во время президентской кампании в США, вопросов к этой истории не стало меньше. Россия по-прежнему отрицает атаки; ни один из названных сотрудников ГРУ ничего не прокомментировал. Один из моих собеседников — хакер, работавший в ФСБ по международной разведке, — во время одной из долгих прогулок по окраине Москвы рассказывал, что все еще сомневается в способностях ГРУ. Он уверен, что атаки совершали нанятые на форумах хакеры-фрилансеры.

 

Глава 31

«Орки» со товарищи

5 декабря 2016 года — спустя месяц после победы Дональда Трампа на президентских выборах в США — сотрудники ФСБ пришли на совещание к своему коллеге, одному из руководителей Центра информационной безопасности ведомства Сергею Михайлову. Совещание закончилось быстро: Михайлову надели на голову мешок и увели. Его знакомые указывали, что следователи опасались, что Михайлов — обладатель черного пояса по карате — окажет сопротивление. Вскоре Михайлова перевели в СИЗО «Лефортово», где он находится и сейчас.

К моменту ареста сорокалетний Сергей Михайлов руководил 2-м управлением ЦИБ, то есть фактически курировал и хакеров, сотрудничающих с ФСБ, и расследования взломов, связанных с государственной безопасностью. Он часто выезжал на конференции по кибербезопасности, где рассказывал о том, как в России ловят кар-деров.

Михайлову предъявили обвинение в госизмене. Вскоре выяснилось, что связано оно может быть с тем, что именно сотрудник ФСБ раскрыл американским спецслужбам имена российских разведчиков, курировавших атаку на США. Уже после его ареста The New York Times писала , что ключевую помощь в поиске хакеров американским спецслужбам оказали источники в России. У Михайлова был доступ к подобным данным; мой источник рассказывал, что у главы 2-го управления ЦИБ ФСБ было много претензий к методам ГРУ: он считал, что там «ломают серверы нагло, топорно и грубо», а следы атак «всегда видны».

Через некоторое время выяснилось, что Михайлов, видимо, был не первым, кого сотрудники ФСБ задержали по этому делу. За день до его ареста, 4 декабря 2016 года, один из топ-менеджеров «Лаборатории Касперского» Руслан Стоянов приехал в московский аэропорт, чтобы вылететь в командировку в Китай. Зарегистрировавшись на рейс, Стоянов отправил об этом SMS жене. На мероприятии в Китае, где его ждали, он на следующий день, однако, не появился. Организаторы поездки сообщили руководству «Лаборатории Касперского», что Стоянов пропал. Через несколько дней компания сообщила, что нашла сотрудника в СИЗО «Лефортово», куда его доставили сотрудники ФСБ.

Стоянов многие годы занимался кибербезопасностью: в начале 2000-х дослужился до звания майора в управлении «К» при Министерстве внутренних дел, работал в отделе безопасности «РТ-Комм. ру» (дочерняя структура «Ростелекома», в 2016 году предо; ставляла услуги связи ЦИБ ФСБ). Потом создал компанию, которая сначала занималась самостоятельными расследованиями, а в 2012-м вошла в состав «Лаборатории Касперского», где Стоянов возглавил отдел расследования компьютерных инцидентов. «Это был созданный внутри департамент, который обслуживал ФСБ и МВД, — рассказывал бывший высокопоставленный сотрудник компании. — Сами они себя называли „орки", им очень нравилось это название».

По словам Евгения Касперского, Стоянов «очень плотно работал с Центром информационной безопасности ФСБ». «Орки» сопровождали группы захвата, когда те задерживали киберпреступников. «Прямо вместе с эфэсбешниками выезжали на точку и не стеснялись этого, Стоянов выкладывал фотоотчет о том, как они захватывали группировку Lurk (см. главу 15. — Прим. Авт.)», — вспоминал один из сотрудников «Лаборатории Касперского».

Задержали Стоянова по делу о госизмене. Видимо, его подозревают в том, что именно он передавал американцам информацию, полученную от Михайлова и Дмитрия Докучаева — еще одного сотрудника ЦИБ ФСБ, которому также предъявлены аналогичные обвинения.

Докучаев, похоже, один из первых российских хакеров, который перешел на постоянную работу в спецслужбы. Компьютерами он увлекался с юности и одновременно, как и многие подростки, сочинял стихи. В 2001 году он, например, написал такие строки:

Linux — Rules, Винда — маздай форева. Так говорили мне друзья. Проверить я решил, купив редхат нулевый. Живя во грезах, диски форматя. Вдруг непонятные экраны и таблицы: Тут нужен своп, а здесь — резервный диск, Смотрю я книги, листаю все страницы… Как кто-то говорил: «без бутыля не обойтись». Уф… Разобрался… Идет формат разделов Мне нужно выбрать компоненты для инсталла Я уж не соображаю, башка вся запотела, Весь ВЫЛОЖИЛСЯ тут, а Linux'у все мало. Проходит час-другой, Ура! удача! Setup complete. со второй попытки. Волнуясь, радуясь, я от счастья плачу, Нет! Это не RedHat, а просто пытка…

Докучаев родился в Каменске-Уральском — городе в часе езды от Екатеринбурга. Последний раз Каменск-Уральский попадал в новости в 2013 году — после того, как там появилась радикальная группировка, преследовавшая гомосексуалов (однажды они приехали с мужчиной на кладбище, заставили его вырвать из земли надгробие, а потом преследовали его на джипе — такие операции активисты называли «сафари»). Сам хакер описывал родной город так: «Насчитывает 200 тысяч жителей, что совсем немного. В Каменске-Уральском очень много заводов, как правило, по металлообработке, — трубный, металлургический, алюминиевый. Городу скоро стукнет 300 лет. Не такой и старый, но уже и немолодой. Немного о достопримечательностях: это, конечно, вам не Москва, но в Каменске есть краеведческий музей, очень много театров, библиотек, стадионов, спорткомплексов и интернет-кафе».

В последних Докучаев в юности и проводил большую часть своего времени — много играл в видеоигры: Worms Armageddon, Need for Speed, Quake 3. Свой первый взлом он совершил в городской сети, чтобы получить бесплатный доступ в интернет. «Я всегда считал, что информация должна быть свободной, поэтому платить провайдеру за предоставление доступа ужасно не хотелось», — вспоминал он.

После школы Докучаев поступил в политехнический институт в Екатеринбурге на факультет информационных систем в технике и технологиях; позже стал работать системным администратором на кафедре одного из екатеринбургских университетов. О себе он подробно рассказывал на своем сайте (сейчас удален), который назывался «Dmitry's homepage. The best…». В 2002 году он без стеснения писал, что «приобретает популярность в инете и не только;) Сотрудничаю с редакцией журнала „Хакер" и получаю приличный гонорар;)». Свой ник — Forb — он образовал от английского слова forbidden, «запрещенный».

В журнале, например, вышел его материал «10 роковых ошибок хакера»: «Хакер — как сапер, первый раз ошибается при выборе своей профессии. Каждый взлом может оказаться для него фатальным, и сам он это осознает. Но не может с этим смириться, считая взлом экстремальным видом спорта. Если ты все еще раздумываешь, «быть или не быть хакером», то я дам тебе совет. НЕТ! Быть хакером уже не так модно, да к тому же опасно. Так что займись лучше чем-нибудь другим, например, продажей школьных выпускных сочинений по русскому языку через интернет:)».

Кроме раздела с найденными программными уязвимостями, на сайте Докучаева был и раздел с его фотографиями: «Я на диване (1997 год)» (подросток в клетчатой фланелевой рубашке и спортивных штанах сидит на диване), в МИФИ, в Крыму, на дискотеке у Черного моря.

В 2004 году Докучаев занимался кардингом и взламывал сайты по заказу — о том, как это делать, он подробно рассказывал на собственном сайте. Своим главным достижением хакер считал взлом одного из правительственных сайтов США. В 2006-м переехал в Москву и стал работать в «Хакере» как штатный сотрудник.

Знакомые Докучаева вспоминали, что после переезда он женился на девушке, которую вскоре научил взламывать сайт русского Cosmopolitan. Хакер и его коллеги много веселились и выпивали вместе, иногда попадая в истории. «Беспредел доходил даже до криминала, клево было, все пати и встречи проходили беспокойно, но весело», — вспоминал один из них. Как-то во время очередной пьянки Докучаев подсадил его на трехметровую высоту, чтобы сломать камеру видеонаблюдения. После этого они убегали от полицейских — и наткнулись на сотрудника ФСБ, от которого хакер «получил в челюсть».

Вскоре Докучаев и сам стал сотрудничать с ФСБ, а потом и перешел туда на работу, став старшим оперуполномоченным 2-го отдела оперативного управления ЦИБ ФСБ — департамента, занимающегося киберзащитой государства и расследованием хакерских дел, связанных с угрозой безопасности страны. Там он трудился до 2016 года, пока его не арестовали.

Один из хакеров, периодически работающих на спецслужбы, сказал мне, что в ФСБ считают: США атаковали хакеры, нанятые ГРУ, но не штатные сотрудники разведки. При этом он уверен, что за Михайловым и Докучаевым следили еще с весны 2016 года.

В апреле 2018 года Докучаев подписал досудебное соглашение о частичном признании вины в передаче данных иностранным спецслужбам. В соглашении, видимо, говорится о передаче данных не о государственных хакерах, а о кардерах. Достоверно узнать, действительно ли сотрудники ФСБ, ранее курировавшие хакеров, сдали их американским спецслужбам, почти невозможно. Судебные процессы по статьям, связанным с госизменой, всегда закрыты от журналистов. В конце февраля 2019 года Михайлова и Стоянова признали виновными в госизмене и приговорили к 22 и 14 годам заключения. В чем именно состояло обвинение, видимо, навсегда останется тайной. Иначе выйдет, что Россия признается в организации кибератак на США.

 

Глава 32

Чистосердечное признание

Единственный человек, который публично заявил, что совершал атаки на США, — хакер Константин Козловский. Он земляк Дмитрия Докучаева — родился в том же Каменск-Уральске — и бывшая «цель» Руслана Стоянова: Козловский был одним из тех, кого арестовали по делу группировки Lurk, похищавшей деньги из российских банков (см. главу 15).

С 14 августа 2017 года Козловский, который к тому времени уже год находился под арестом за создание самой успешной хакерской группировки 2010-х, начал выкладывать в фейсбуке посты о работе на ФСБ. Как он получил доступ к социальным сетям, находясь в СИЗО «Лефортово», подконтрольном спецслужбе, неизвестно. Публикуя посты, он часто использовал хэштеги вроде #разоблачения, #cyberwar, tfrussianhacker #Взлом_Демпартии_США и заявлял, что хочет «справедливости». «Мне не верят, так как очень выгодно засудить нас за те суммы, которые осели в каких-то других карманах, — объяснял он. — Мои показания никому неинтересны, так как, видимо, нарушают планы больших людей». Верифицировать его версию событий невозможно: публикации легко могут быть частью операции спецслужб.

Суд по делу Козловского проходил в закрытом режиме — журналистов туда не пускали, но неизвестные записали заседания на диктофон, а потом выложили в открытый доступ. На первом заседании хакер заявил, что многие годы работал на государство.

— Ваша честь! Мой куратор из ФСБ — Дмитрий Докучаев, — сообщил он. — Если это возможно, прошу пригласить его в зал судебного заседания. Хочется посмотреть ему в глаза, так как из-за него много людей находится под стражей. Докучаев в настоящее время арестован и находится в СИЗО «Лефортово».

Суд отказался вызывать Докучаева. В следующем выступлении Козловский рассказал, что выполнял различные задания сотрудников ФСБ, в том числе взламывал электронную почту сотрудников Национального комитета Демократической партии США, переписку Хиллари Клинтон и американские военные предприятия.

«Все западные СМИ говорят про [взломы]. Однако я хочу сказать, если я в чем и виноват, то только в том, что работал на это государство, — заявил он. — Другие [арестованные участники Lurk] ни в чем не виновны, они еще вчера на кнопки нажимали, а теперь сидят в тюрьме. У меня болит сердце за то, что я их подставил, а также за то, что сотрудники ФСБ с нами так поступают».

По словам Козловского, сотрудничать с Докучаевым и ФСБ он начал в 2008 году, когда ему было 16 лет, и выполнял все указания своих кураторов. Подробно об истории своих отношений со спецслужбами он рассказал в письме, которое выложил в своем фейсбуке:

Занимаясь компьютерными технологиями, я общался на многочисленных интернет-форумах. В 2008 году я вступил в диалог об уязвимостях почтовых сервисов. В процессе обсуждения у меня завязался спор на 500 $ США. в результате которого я продемонстрировал уязвимость на примере одного email, выложив пароль на общее обозрение в форум. Далее я потребовал деньги у спорщика, предложив встретиться. В установленном месте ко мне подошли 2 человека. Определив, что я и есть человек, взломавший почту, мне предъявили удостоверение сотрудника ФСБ и настойчиво попросили сесть в автомобиль.

Меня привезли, как я потом узнал, во внутренний двор управления ФСБ по Свердловской области (г. Екатеринбург). В помещении 3 на 3 метра я провел двое суток. Еды не дали. Только 2 раза воды в алюминиевой миске. Для справления нужды принесли ведро. Сотрудники ФСБ дали выбор: работать с ними или отправить в тюрьмы за взлом почты. Я согласился, подписав бумагу.

За годы сотрудничества я выполнил множество заданий. Илья — мой куратор (позже на суде он укажет, что имел в виду сотрудника ФСБ Дмитрия Докучаева. — Прим. Авт.)  давал задания и контролировал меня, снабжал техническими и программными средствами. покровительствовал в вопросах с правоохранителями.

В последние годы фокус внимания был прикован к серверам Америки и ЕС. Поручения по взлому Национального комитета Демократической партии США, переписки Хиллари Клинтон, я выполнил успешно, передав данные на жестком диске сотруднику ФСБ Илье (850 ГБ в сжатом виде с видеозаписями взлома).

Козловский называл атаки «мероприятиями», пользуясь терминологией спецслужб. «В отношении США и стран ЕС мероприятия затрагивали получение доступов (взлом) к крупнейшим промышленным предприятиям, государственным и военным структурам, финансовым учреждениям (банки / биржи), спортивным организациям (FIFA, Олимпийский комитет, WADA), АЭС, ГЭС, ГРЭС, крупнейшим СМИ и их аккаунтам в соцсетях», — писал он. Козловский рассказывал, что «однажды по поручению ФСБ я сделал вброс о смерти Горбачева Μ.С. в микроблоге РИА Новости»; такой случай действительно был 8 августа 2013 года. Он также утверждал, что по распоряжению ФСБ находил персональные данные расследователей катастрофы «боинга», который в 2014 году был сбит неподалеку от Донецка, и взламывал их компьютеры.

В какой-то момент, по словам Козловского, спецслужбы потребовали от него создать «красную кнопку»: техническое решение, позволяющее им провести массированное разрушение критической инфраструктуры — заводов, АЭС, бирж — в США и Европе. Козловский отказался, решив, что не хочет «иметь отношение к началу третьей мировой войны». Через некоторое время его снова попросили о том же — он снова отказался, а в ответ услышал: «Хорошим твой отказ не закончится». После этого сотрудник ФСБ, курировавший его, пропал. Вскоре Козловского задержали и военным самолетом Росгвардии доставили в Москву. По его словам, компьютеры и другие вещественные доказательства, подтверждающие его рассказ, находятся в распоряжении ведомства.

В апреле 2017 года Козловский написал письмо директору ФСБ Александру Бортникову, в котором рассказал, что «верил, что действует в интересах государства» и был вынужден предать огласке свое участие в атаках на зарубежные страны только потому, что следователи обещают ему пожизненное заключение.

Хакеры, сотрудничавшие со спецслужбами, говорят, что большие операции вроде тех, о которых рассказывает Козловский, не могут проводить одиночки и что его история выглядит реалистично только в части, посвященной вербовке. «Обычно по таким инфраструктурам трудятся целые киберармии и отделы, которым нужно найти уязвимости нулевого дня в защите — тем более в таких хорошо защищенных объектах, как военные или критические объекты», — объясняет один из завербованных хакеров. Другой хакер указал, что международными кибероперациями занимается ГРУ, а сфера ответственности ФСБ — только внутрироссийские дела.

Докучаев заявил, что не знаком с Козловским, и отверг обвинения; не фигурировала фамилия Козловского и ни в одном из официальных американских расследований.

В конечном счете до сих пор никто так и не предъявил окончательных доказательств того, что американских политиков взломали именно российские хакеры, как и того, что эти люди были связаны с Кремлем. «Нет никаких нормальных технических отчетов. В некоторых говорится о том, что взломы происходили по часовому поясу, который соответствует Москве. Ну и мотивация могла быть. Но мотивация — это не доказательство, — объясняла на одной из конференций по кибербезопасности криминалист Веста Матвеева из компании Group-IB, занимающейся в России расследованиями киберпреступлений — часто совместно со спецслужбами. — Еще говорят, что сервер находился в России. Но какой нормальный хакер будет атаковать со своего компа выборы в США? Русские строки в коде — тоже не очень доказательство. Как мы знаем, северокорейская группировка Lazarus, чтобы запутать след, использовала в коде русские слова — nachalo, vykhodit, poluchit, derzhat и так далее. Можно ли доказать, что это все-таки русские? Можно. Всегда можно дойти до конкретных людей, но сейчас политика этому мешает. Если весь мир начнет расследовать, все страны будут предоставлять данные с серверов и VPN, то — получится».

 

Глава 33

Моя цифровая оборона

Как и в каждой войне, в киберконфликтах важна не только атака, но и оборона. До последнего времени российское государство практически не вело речи о необходимости оборонять государственные сайты и критическую инфраструктуру — атомные электростанции, военные заводы, системы снабжения и прочие объекты, успешные атаки на которые могут вызвать экологическую или финансовую катастрофу и привести к человеческим жертвам. В последние годы отношение изменилось, вероятнее всего, из-за постоянных новостей о хакерских проникновениях на жизненно важные объекты (например на американскую АЭС), развития кибершпионажа и роста киберугроз со стороны террористических организаций.

«Думаю, документ о неприменении кибероружия скоро подпишут, — сказал мне один из сотрудников компании, связанной с защитой государственной критической инфраструктуры. — Но только после того, как произойдет какая-нибудь по-настоящему большая катастрофа». Правда, вирус NotPetya поразил компьютеры по всему миру уже после этого разговора — а никакой международной инициативы в области кибероружия так и не появилось.

Мой собеседник, занимающийся информационной безопасностью критической инфраструктуры, говорит, что на стратегически важных российских объектах часто находят «лишнее». «Обсуждаем с людьми оттуда, что у них проблема, но они не признают, что у них что-то может пойти не так. Говорят: ну это просто вирус с целью кражи денег, — рассказывает он. — Но ведь он оказался в закрытой инфраструктуре! И им повезло, что вирус с таким функционалом. А если бы у него была другая задача?»

Правоохранители и аффилированные с ними компании время от времени рассказывают о кибератаках на российское государство — видимо, сильно реже, чем они реально происходят. Например, в 2013 году против России было применено кибероружие Sputnik (узнать об этом можно из исследования научно-производственного объединения «Эшелон», которое занимается сертификацией иностранного программного оборудования для Министерства обороны). Программа занималась кибершпионажем — собирала информацию о деятельности военных ведомств, институтов, дипломатических организаций, используя уязвимости «нулевого дня» в приложениях Word, Excel и Outlook для Windows. Отследить, куда стекались украденные сведения, не удалось: пункт назначения скрывала цепочка прокси-серверов. Сотрудники «Эшелона» поясняли, что украденные сведения могли быть интересны геополитическим врагам России, и заключали: «Кибервойны как форма проявления межгосударственного противостояния вошли в активную фазу».

В июле 2016 года ФСБ сообщила об обнаружении троянов в информационной инфраструктуре правительственных, научных и оборонных учреждений страны (всего около двух десятков предприятий). Ведомство указывало, что атака была тщательно спланирована и осуществлялась на высоком профессиональном уровне. Под каждое предприятие писался свой эксплойт, жертв заражали с помощью фишинга. После заражения программа подгружала необходимые модули, которые позволяли дистанционно включать вебкамеры и микрофоны, перехватывать сетевой трафик, сохранять данные о том, что пользователи набирали на клавиатуре. В парламентском комитете по безопасности тогда заявили , что подобный кибершпионаж «выгоден прежде всего американцам».

С помощью фишинга китайские прогосударственные хакеры годами атакуют российские военные ведомства. «Данная группа работает еще с 2008 года. — указывали в отчете специалисты Positive Technologies. — С почтового ящика действующего офицера Минобороны России, к которому получили доступ хакеры, отправлялась рассылка с вредоносным вложением». В письмах говорилось о «компенсации военнослужащим за аренду жилья» и «повышении зарплаты военнослужащим». После заражения хакеры могли следить за зараженными компьютерами, скачивать с них информацию, делать скриншоты экрана, активировать микрофон и веб-камеру. Такие взломы могут не только привести к утечке секретных документов, но и дать хакерам доступ к критической инфраструктуре, что, в свою очередь, может быть использовано и для серьезных провокаций, и для начала кибервойны.

Сейчас, чтобы защитить свое общение в интернете, российские чиновники используют закрытую государственную сеть RSNet. У каждого сотрудника есть защищенная рабочая почта, на которую можно зайти только с определенного IP и с определенного компьютера, но далеко не все соблюдают необходимые предписания, особенно если речь идет о высших эшелонах власти. Постепенно государство начинает задумываться и о защите телефонных разговоров: один из НИИ, работающих на российские спецслужбы, в 2017 году выпустил «криптотелефон», позволяющий шифровать звонки.

***

Российский аналог американского Агентства национальной безопасности, ФАПСИ, появился в начале 1990-х. Ведомство было создано на основе 8-го управления КГБ СССР отвечавшего в том числе за правительственную связь и засекречивание информации в интересах высших органов власти (именно там работал и играл с друзьями в шахматы Михаил Масленников; см. главу 28). Один из руководителей ФАПСИ Владимир Маркоменко во время выступления в Госдуме в 1996 году говорил , что «спецслужбы США постоянно предпринимают усилия по добыче сведений об информационно-телекоммуникационных комплексах других стран, в том числе и России», и прямо указывал, что в российских госорганах спустя рукава относятся к информационной безопасности.

Маркоменко считал, в мире давно идет «информационная война» и Россия не может оставаться от нее в стороне. «Боевые действия» в этой войне чиновник представлял себе так: «подавление инфраструктуры систем обороны противника, его информационных и телекоммуникационных систем», «перехват информации», «взлом информационных ресурсов противника», «борьба за общественное мнение путем распространения по информационным каналам противника и глобальным сетям дезинформации или тенденциозной информации для воздействия на оценки, намерения и ориентацию населения и лиц, принимающих решения». Фактически все его предсказания сбылись.

Оценить эффективность работы ФАПСИ трудно. Сотрудник ведомства рассказывал , что, работая администратором в компьютерном клубе, зарабатывал в два раза больше — но пошел служить государству, чтобы получить «ксиву» и «некоторую свободу действий»: «Можно помаленьку ломать, на небольшие проделки глаза, естественно, закрываются». ФАПСИ расформировали в 2003 году; часть подразделений перешли в состав ФСБ, другие — в ФСО.

***

Специалисты по информационной безопасности годами предупреждали, что хакеры смогут найти способ нанести настоящий физический урон критически важным объектам. В 2009 году это случилось, когда против Ирана применили Stuxnet, кибероружие, разработанное специально для того, чтобы помешать ядерной программе исламской республики. Как писал журналист The New York Times Дэвид Сэнгер, целью создания Stuxnet было мирное решение возможной проблемы: США опасались, что Израиль начнет бомбардировки Ирана и его ядерных объектов.

Источники указывали , что Stuxnet создали спецслужбы сразу нескольких государств: ЦРУ АНБ и кибернетическое командование США, Центр правительственной связи Великобритании, спец-подразделение радиоэлектронной разведки израильского МОССАДа. Чтобы осуществить свои планы, спецслужбы сначала атаковали пять иранских компаний, связанных с заводом по обогащению урана. После этого Stuxnet попал на флеш-накопители сотрудников и они, сами того не зная, заразили защищенную сеть завода, не подключенную к интернету. Когда Stuxnet, спроектированный специально под систему управления предприятиями, связанными с ядерной энергетикой, попал в систему завода по обогащению урана в Натанзе, он уничтожил более четверти всех его центрифуг, докачав к программному обеспечению дополнительный вредоносный код, который изменил поведение устройств.

Центрифуги приводились в движение электромотором и вращались со скоростью 1000 оборотов в секунду. Stuxnet увеличивал эту скорость до 1400 оборотов, а потом резко сбрасывал — в результате центрифуги разрушались. При этом инженеры завода, находящиеся в соседнем помещении, видели на своих экранах, что все процессы в норме. Они долгое время не понимали, в чем причина аварий; некоторых из них уволили, подозревая в нарушении правил эксплуатации.

После атаки Stuxnet продолжил распространяться в других странах: в 2010 году он заразил около 100 тысяч компьютеров по всему миру, в том числе проник в систему одной из российских атомных станций. Как и иранские заводы, АЭС не подключены к интернету, и заражение одной из станций могло свидетельствовать о серьезных проблемах с их безопасностью.

С тех пор появились новые виды кибероружия, действующие похожими способами. Так, в 2016 году эксперты компании ESET сообщили о появлении программы Industroyer, цель которой — вмешиваться в критические процессы в системах управления энергокомпаний: с ее помощью хакеры могли управлять выключателями на подстанциях. «Способность Industroyer влиять на работу промышленного оборудования делает ее наиболее опасной угрозой со времен Stuxnet», — заявляли в компании. Эксперты предполагают, что Industroyer могла быть причиной сбоя электроснабжения в Киеве в декабре 2016 года. Тогда свет пропал в четырех районах города.

23 июня 2017 года газета The Washington Post рассказала , что Барак Обама, когда еще был президентом США, поручил Агентству национальной безопасности разработать кибероружие против России в качестве ответа на предположительное вмешательство в американские выборы. Спецоперация предполагала внедрение в российскую электронную инфраструктуру «имплантов», которые в нужный момент смогут вывести ее из строя; журналисты назвали их «цифровым аналогом бомб». Америка не первый год использует эту технологию: бывший директор АНБ и ЦРУ Майкл Хайден говорил , что США установили в 2010-х «импланты» на десятки тысяч компьютеров по всему миру, «которые можно использовать, когда будет необходимо».

***

Еще в конце 1990-х чеченские террористы атаковали российские государственные ресурсы и СМИ. 13 декабря 1999 года они взломали главную страницу новостного агентства ИТАР-ТАСС; через пару месяцев — разместили на главной странице РБК текст с угрозами в адрес россиян и исполняющего обязанности президента Владимира Путина.

Почти двадцать лет спустя кибератаки продолжают оставаться одним из направлений деятельности радикальных группировок, но теперь речь идет о более серьезных угрозах, чем просто взлом сайта в интернете. «Россия из-за участия в военных операциях на Ближнем Востоке сильно раздражает террористов, — заявил на конференции по безопасности 30 июня 2017 года Илья Сачков из компании Group-IB, занимающейся информационной безопасностью. — Мы, к сожалению, уже в этом году столкнемся с успешной атакой на критически важную инфраструктуру» (примерно во время его рассказа происходила крупнейшая хакерская атака в истории, распространение вируса NotPetya, — подробнее о ней в главе 35).

Через год после того, как лидер «Исламского государства» провозгласил создание «халифата» на территории Сирии и Ирака, внешняя пропаганда группировки сильно изменилась: вместо постов и видео, в которых новобранцев агитировали воевать на стороне ИС начали появляться материалы с призывами помочь в строительстве нового государства, которому требовались врачи, учителя, журналисты, программисты. Примерно в это же время в ИГ появилось хакерское подразделение — ISIS Hacking Division264 или «Киберхалифат». Его организовал переехавший из британского Бирмингема хакер Трик (TriCk).

У Трика к тому времени был большой опыт: свой первый взлом он совершил в 11 лет, чтобы отомстить сопернику по онлайн-игре, а в 15 собрал хакерскую группировку Team Poison. Целью ее было не зарабатывание денег, но сопротивление: Трик считал необходимым бороться за права палестинцев и жителей Кашмира — и в рамках этой борьбы вместе с товарищами атаковал произраильские и американские медиа и соцсети, например, размещая собственные лозунги и предупреждения на главных страницах идеологически враждебных сайтов.

Team Poison нападала на сайты НАТО, Министерства обороны Великобритании, аккаунт Марка Цукерберга в фейсбуке. В 2012 году после взлома почты помощника бывшего премьер-министра Великобритании Тони Блэра Трика нашли и арестовали — хакером оказался Джунейд Хуссейн, сын пакистанских эмигрантов. Проведя полгода в английской тюрьме, он уехал в столицу ИГ Ракку, где взял себе имя Абу Хуссейн аль-Британи и стал главным хакером группировки.

В этом качестве он продолжал делать то, что умел лучше всего, — взламывал американские сайты и соцсети. Например , в январе 2015 года Хуссейн разместил в твиттере американского центрального военного командования пост «Солдаты США, мы идем, берегитесь». Хакер раскрывал личности и адреса американских военных в США, призывая сторонников найти их и убить. Летом 2015 года Трик раскрыл личности двух активистов, борющихся с пропагандой ИГ в интернете; их казнили. В начале августа 2015-го 21-летний Хуссейн оказался на третьем месте в списке Пентагона на уничтожение — после лидера «халифата» Абу-Бакра Аль-Багдади и палача ИГ] называвшего себя Джихадистом Джоном.

Через несколько дней после этого агент под прикрытием связался с хакером в защищенном мессенджере Surespot (Трик публиковал свои контакты в твиттере, чтобы с ним могли переписываться единомышленники). Во время разговора он скинул Хуссейну ссылку на страницу, с которой в телефон хакера загрузился вирус. После этого его смогли отследить — и дрон сбросил на Хуссейна бомбу. Агентом под прикрытием оказался хакер ShmOOp, после смерти Трика он написал : «Я, блядь, виновен, мне жаль, я играл в игру, в которую не должен был [играть]». Он утверждал , что помог спецслужбам из-за того, что те угрожали его семье, и говорил, что его обманули. «Я помог вам его УБИТЬ. Как вы думаете, удается мне теперь поспать ночью? — писал ShmOOp. — Он был террористом и животным, но я чувствую, что меня предали».

Несмотря на смерть Хуссейна, специалисты по информбезопасности вскоре стали замечать на подпольных форумах по всему миру рост интереса террористических группировок к хакерским атакам, в особенности на критическую инфраструктуру. Об этом рассказывает собеседник, исследующий площадки общения хакеров; эту информацию подтверждает один из отчетов Group-IB. Сотрудник российских спецслужб рассказывал мне, что пользователи, выходящие с сирийских IR предлагают специалистам по кибербезопасности работу и интересуются методами ведения кибервойны. Сообщения на форумах они пишут в основном через Google Translate. Кроме того, террористов интересуют способы проникнуть в системы оборонных предприятий, чтобы украсть секретные разработки. Как рассказывал The New York Times Magazine, уже многие годы различные группировки ищут красную ртуть — выдуманную военную разработку CCCR которую якобы можно использовать для создания оружия массового поражения.

«Если игиловцы на самом деле поймут, где покупать уязвимости нулевого дня, то начнут происходить не самые хорошие события», — говорит специалист по безопасности критической инфраструктуры. «Человечество борется с терроризмом с XIX века, — объясняет специалист по информационной безопасности Илья Сачков. — Наука о защите киберпространства появилась более-менее около 20 лет назад, но серьезно с терроризмом в интернете мы никогда не встречались. Только с точечными атаками — как на Украине».

***

Успех Stuxnet в борьбе с иранской ядерной программой не остался незамеченным в России. В январе 2013 года Владимир Путин поручил ФСБ создать государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Идея заключалась в том, чтобы «накрыть» все государственные информационные ресурсы колпаком единой системы с постоянным мониторингом всего периметра — отслеживать всю входящую информацию из интернета. К этой системе решили подключить все ресурсы и объекты критической инфраструктуры, чтобы они обменивались информацией об атаках с главным центром — он должен был определять, как устроена атака, и направлять рекомендации о безопасности другим участникам ГосСОПКА.

Концепцию системы утверждали два года. В 2015 году ФСБ опубликовала выписку из нее. Там указывалось, что ГосСОПКА будет разделена на центры реагирования в разных регионах и ведомствах и что при ФСБ создается Национальный координационный центр по компьютерным инцидентам (Gov-CERT), который займется обороной критической инфраструктуры. Возглавил Gov-CERT сотрудник ФСБ Алексей Новиков; по его словам, к ноябрю 2016-го к системе были подключены десять госорганов, ведомственные центры реагирования уже запустили Центробанк и «Ростех» .

Новиков объяснял , что сейчас спецслужбы выстраивают обмен информацией об инцидентах между госорганами. По его словам, в системе будет предусмотрен специальный режим, в котором сообщение об инциденте можно будет отправить в центр вместе с «запросом на оказание содействия». Такие сообщения будут иметь высший приоритет, дежурная смена Национального координационного центра по компьютерным инцидентам их сразу увидит и начнет действовать: например, привлечет провайдеров к фильтрации вредоносного трафика или попытается прекратить функционирование бот-сетей. Чиновник утверждает, что еще в 2014 году во время Олимпиады в Сочи ФСБ удалось вывести из строя несколько центров управления бот-сетями.

Кроме того, ФСБ требует, чтобы госслужащие внимательнее относились к электронным письмам. «Одна из госкорпораций получила несколько [подозрительных] писем, сотрудники службы безопасности переслали их нам на исследование, — рассказывал Новиков на Уральском форуме по информационной безопасности в феврале 2017 года. — Мы провели экспресс-анализ и обнаружили известное семейство [вирусов]. Мы смогли установить, откуда были отправлены письма. Оказалось, что они ушли еще на 10 объектов, но мы смогли предотвратить атаку».

В декабре 2016 года премьер Дмитрий Медведев внес в Госдуму законопроект о безопасности критической информационной инфраструктуры, который обязывает все объекты обмениваться данными с ГосСОПКА. Документ не только предполагает создание специального реестра для компьютерных систем, использующихся на критически важных объектах, но и предусматривает новую уголовную статью за атаки на критическую информационную инфраструктуру. Максимальное наказание по ней — 10 лет тюрьмы, причем получить его могут не только хакеры, но и те госслужащие, из-за попустительства которых произошла утечка или атака.

По мнению ФСБ, курировавшей законопроект, если быстро не предпринять шаги по защите инфраструктуры, террористы и иностранные спецслужбы будут угрожать стабильности страны: Россия «поставлена в прямую зависимость от безопасности функционирования информационно-телекоммуникационных сетей и информационных систем». «При развитии событий по наихудшему сценарию компьютерная атака способна полностью парализовать критическую информационную инфраструктуру государства и вызвать социальную, финансовую и (или) экологическую катастрофу», — говорилось в пояснительной записке ФСБ к законопроекту. В качестве примеров возможных сценариев атак в документе упоминались Stuxnet и «паралич работы нескольких крупных финансовых учреждений Южной Кореи в марте 2013 года».

От ФСБ законопроект и критическую безопасность инфраструктуры курирует заместитель директора ведомства Дмитрий Шальков. В январе 2017-го он заявил, что за прошлый год из-за рубежа российские информационные ресурсы атаковали 70 миллионов раз (Владимир Путин называл эту же цифру, говоря о 2015 годе). «Российская инфраструктура постоянно подвергается хакерским атакам. В ноябре 2016 года совершалась массированная атака на финансовый сектор страны. Объектами стали Сбербанк, „Альфабанк", „Банк Москвы" и другие. Атаки были нейтрализованы специалистами по информационной безопасности ФСБ. Количество атак на официальные ресурсы России неуклонно растет», — объяснял Шальков, представляя законопроект в Госдуме.

В первом чтении его приняли 27 января 2017 года — однако второе чтение многократно откладывалось. 23 июня глава ФСБ Александр Бортников попросил депутатов ускорить принятие законопроектов о критической инфраструктуре; через две недели, 7 июля 2017, документ прошел второе чтение, а вместе с ним приняли поправку к закону о гостайне — к таким сведениям добавились меры обеспечения безопасности критической информационной инфраструктуры и ее защищенности от кибератак. Через несколько дней закон подписал Владимир Путин.

В феврале 2019 года российские власти решили изолировать российский сегмент интернета и фильтровать весь входящий интернет-трафик. Теперь при необходимости власти смогут отключить весь «внешний интернет», то есть все сайты, находящиеся не на российских серверах. Технический директор «Роскомсвободы», организации, которая следит за соблюдением свободы слова в сети, считает , что этот шаг — еще одна часть стратегии, с помощью которой власть пытается обезопасить себя от протестов: их участники обычно координируют действия именно через интернет.

***

Средства для защиты критической инфраструктуры выпускают многие коммерческие компании: Positive Technologies, «Лаборатория Касперского», Group-IB283 . Одна из них, «Информзащита», много лет работает с государством: например, она занималась обеспечением безопасности транспорта во время Олимпиады в Сочи. Журнал Forbes сообщал , что «Информзащита» за пять лет заключила четыре с половиной сотни контрактов с госзаказчиками на общую сумму в пять миллиардов рублей.

Основатели «Информзащиты» — выходцы из Генерального штаба и военных НИИ (в том числе из «Кванта»), В конце 1990-х они начали устанавливать свои системы защиты в российской Центральной избирательной комиссии и Центробанке; в 2000-х — выпустили средство защиты сетей и шифровки данных «Континент», которое используется многими государственными органами. Тогда же в «Информзащите» появился отдел «пентестеров» — перед тем как продать свои программы заказчику, компания тестировала устойчивость его систем.

С «Информзащитой» среди прочих работала Алиса Шевченко — на ее компанию «ЦОР Security» Минфин США в декабре 2016 года наложил санкции за вмешательство в президентские выборы.

В своем инстаграме Шевченко называла себя «еще одной миленькой девочкой-хакером». Знакомый Шевченко описал ее как одну из самых способных «пентестеров» России, которая может взломать почти любую систему. По его словам, Шевченко очень много работает, а все свободное время проводит за чтением специальной литературы. На ее сайте указано, что девушка «чаще всего работает над уязвимостями и эксплойтами». Весной 2014 года на ежегодном форуме российских хакеров Positive Hack Days она с легкостью взломала систему управления инфраструктурой города-полигона; его защиту она назвала «тривиальной».

Шевченко начинала свою карьеру, работая вирусным аналитиком в «Лаборатории Касперского»; после этого она организовала собственную компанию Esage, которая специализировалась на анализе киберзащиты различных организаций. Заказы компания получала от интегратора «ДиалогНаука», который обслуживал контракты Федеральной службы охраны и Минобороны. Позже Esage, переименованная в «Цифровое оружие и защита», начала заниматься тестами на проникновение, используя для этого фишинговые письма и вредоносные сайты (то есть те же методы, что и те, кто взламывал американских политиков и международных спортивных чиновников).

Работали с Шевченко около десяти человек — их всех девушка нашла на хакерских форумах. Вместе, как указывал Forbes, они занимались разработкой инструментария для взломов. Власти США считают , что компания Шевченко предоставляла свои исследования и разработки ГРУ. «Проснулась от тонны запросов о каком-то списке, о котором никогда не слышала, — написала Шевченко на следующий день после объявления Минфина США в твиттере. — Кажется, не выйдет сегодня покодить…» Знакомый Шевченко сказал мне, что она уехала из России; сайт ее компании перестал открываться.

 

Глава 34

Всемирный вымогатель

Офис «Лаборатории Касперского» находится на берегу Химкинского водохранилища, недалеко от станции метро «Водный стадион»: три больших новых здания компания приобрела в 2013 году за 350 миллионов долларов. За зданиями расположены два футбольных поля, несколько дорожек ведут к пляжу, по ним прогуливаются и обсуждают работу сотрудники компании. Летом неподалеку проходят соревнования по женскому волейболу, в обеденный перерыв многие берут кофе и идут на трибуны.

Когда 12 мая 2017 года по всему миру распространялся шифровальщик WannaCry, здания «Лаборатории» быстро опустели: на выезды к зараженным клиентам отправились даже те сотрудники, которые обычно сидят в офисах. По словам одного из сотрудников, с собой они обычно берут «специальные чемоданчики», в которых есть переходники на все разъемы, провода, «чистые» жесткие диски, энергетический батончик и банка с кофе.

Телефоны «Лаборатории» продолжали звонить, но сотрудников на всех не хватало. «Это было в пятницу, я говорил звонящим: „Давайте в субботу днем приедем" — они отвечали: „Нам все равно, главное — чтобы в понедельник все работало"», — вспоминает Сергей Голованов.

За следующие несколько дней WannaCry атаковал около 200 тысяч компьютеров: железнодорожного оператора Deutsche Bahn в Германии, автомобильные заводы Renault во Франции и Nissan в Японии, телекоммуникационную компанию Telefonica в Испании, государственные больницы в Великобритании. В России вирус атаковал телефонного оператора «Мегафон» — сотрудники не могли использовать внутреннюю систему компании. Также в России вирус зашифровал компьютеры некоторых отделений полиции — из-за этого там не могли выдавать водительские удостоверения.

В связке со своим вирусом-шифровальщиком создатели WannaCry использовали для атаки кибероружие EternalBlue, созданное американским АНБ. Именно эти эксплойты позволили так быстро и успешно распространить вирус. EternalBlue появился в открытом доступе 14 апреля 2016 года — его выложили хакеры из группы Shadow Brokers. Тогда они уверяли , что смогли получить разработку того же подразделения американских спецслужб, которое разработало Stuxnet. Президент Microsoft (программа использует именно уязвимости в Windows) сравнил случившееся с потенциальной кражей крылатых ракет «Томагавк».

Через месяц после WannaCry — в июне 2017 года — похожий на него вирус провел самую разрушительную и дорогостоящую кибератаку в истории.

NotPetya действовал очень просто. Вирус попадал в компьютер, работающий на Windows, скачивал из интернета программу и шифровал жесткий диск, блокируя к нему доступ. После этого компьютер показывал пользователю «синий экран смерти» с требованием выкупа: чтобы данные не были уничтожены, злоумышленники требовали перевести им 300 долларов в биткоинах. Вирус распространялся мгновенно: попав в один компьютер локальной сети, он быстро заражал все остальные.

Первыми жертвами вируса, который потом назвали NotPetya, стали украинские компании, но атака быстро поразила весь мир — от больницы в США до шоколадной фабрики в Тасмании, в России пострадали «Роснефть» и Evraz. «Вся экономика у нас транснациональная, и поэтому вирус из одних офисов перетек в другие, причем за несколько минут», — объясняли в «Лаборатории Касперского». По данным журнала Wired, общий ущерб от вируса составил 10 миллиардов долларов.

В работе вируса NotPetya могла использоваться программа Mimikatz, написанная французским программистом Бенджаменом Делфи. Делфи вспоминал , что в 2013 году он выступал с презентацией программы на конференции по компьютерной безопасности в Москве и однажды, когда вернулся в свой отель, обнаружил в своем номере мужчину в черной одежде, стоявшего у включенного ноутбука француза. Мужчина пытался войти в систему; увидев хозяина комнаты, он пробормотал, что перепутал комнату и что, видимо, ключ от его номера случайно подошел к номеру Делфи, — и ушел.

Спецслужбы США и Великобритании заявляли , что за вирусом NotPetya стояли российские военные из ГРУ. Изначальной целью атаки, видимо, была финансовая система Украины.

Заместитель секретаря Совбеза РФ Олег Храмов говорил , что российская критическая инфраструктура никак не пострадала из-за WannaCry и NotPetya благодаря ГосСОПКА. Впрочем, специалисты уверены, что это не последняя атака.

«Это эхо, демоверсия будущей масштабной кибервойны, — указано в отчете Group-IB о WannaCry. — Стало понятно, насколько уязвим современный мир перед цифровым оружием из арсенала спецслужб и киберармий, когда оно оказывается не в тех руках. К сожалению, вся история человечества показывает, что военные постоянно живут в ожидании новой войны: наличие внешнего врага позволяет раздувать бюджеты и получать звезды на погоны. Штука в том, что при современном развитии технологий любая война, в том числе и в киберпространстве, для человечества может оказаться последней».

***

Илья Сачков — один из немногих экспертов, согласившихся под собственным именем поговорить с мной о российских хакерах и их возможных связях с государством. Сачков создал компанию Group-IB. В начале октября 2016 года Сачков организовал в Москве конференцию, на которой присутствовали как представители Интерпола, так и сотрудники ФСБ и управления «К» МВД; после того как хакеры стали одной из главных тем для СМИ, Сачков стал постоянным героем глянцевых журналов и нанял себе охрану.

Офис Group-IB занимает несколько этажей в здании неподалеку от центра Москвы. В комнате расследователей стены завешаны символикой интернет-активистов Anonymous, в кабинете Сачкова на стене — благодарности за помощь от ФСБ и от МВД. Сачкову около тридцати, он закончил кафедру информационной безопасности МГТУ имени Баумана; по офису он ходит с блокнотом с наклейкой российского пропагандистского сайта Sputnik, на которой выведено: «Telling the Untold» («Рассказывая нерассказанное». — Прим. Авт.).

По его мнению, в мире «идет кибервойна» и государству «глупо не создавать киберкомандования и научные роты» (см. главу 25). Сачков рассказывает, что Минобороны, видимо, сталкивается и столкнется с проблемой поиска нужных специалистов: «безопасни-ков» нанимают и интернет-гиганты, и банки, и коммерческие расследователи киберпреступлений.

«После окончания холодной войны история шпионажа не закончилась, — рассуждает Сачков. — В России есть Служба внешней разведки, задача которой — добывать информацию. Ни для кого не секрет, что наиболее эффективный способ это сделать — это технологии».

Впрочем, Сачков надеется, что с хакерскими группировками российское государство не сотрудничает. По его мнению, хакеров можно контролировать, только если посадить их в комнату, наставить на них автоматы Калашникова или мотивировать их страхом: либо тюрьма, либо выполнение задач. Он уверен, что кибероружие в самое ближайшее время может выйти из-под контроля: удары будут нанесены не по сайтам или личной переписке, а по более серьезным объектам, например по критической инфраструктуре страны или по ее финансовой системе.

«Обычно [хакерские] группы, когда замечают, что их отследили, полностью меняют структуру [своих атак]. Fancy Bear совершили ряд резонансных взломов, но при этом несложно эти атаки увязать между собой: они действуют по одному алгоритму, — рассуждает Сачков. — Они [Fancy Bear] — либо идиоты, либо не боятся».

— То есть они уверены в собственной безнаказанности?

— Да.

 

Глава 35

За нами следят

В мае 2016 года Роман Удот убедился, что его телефон прослушивают.

Удот давно работает в ассоциации наблюдателей «Голос», которая отслеживает нарушения на выборах (и крайне нервирует российские власти). «Если ты представляешь интерес, твой телефон прослушивают, это как дважды два — четыре, — говорит он. — Узнают из разговора, куда я хожу ужинать с друзьями? Это издержки того, чем мы занимаемся. С этим нужно смириться».

В последнее время на многих встречах и мероприятиях «Голоса», о которых не сообщалось публично, появлялись сотрудники телеканала НТВ — из отдела, снимающего сенсационные «разоблачительные» фильмы, посвященные российским оппозиционерам (фильм о «Голосе» вышел 3 июня 2016 года).

Тогда Удот и его коллеги решили поставить эксперимент. Как-то раз с «Голосом» по электронной почте связались представители канадского посольства. Они попросили о встрече, чтобы обсудить грядущие думские выборы и работу ассоциации. Обычно такие встречи проходили в посольстве или в кафе, но в этот раз дипломаты предложили встретиться в офисе наблюдателей. Точные договоренности по месту и времени обсуждали исключительно по телефону — чтобы проверить, появятся ли после этого на встрече сотрудники НТВ.

Когда канадцы приехали в офис, возле здания почти сразу же появился автомобиль телекомпании. В разговоре с Удотом сотрудники НТВ сказали, что не прослушивают его телефон. Через несколько дней в этих же людях бывший посол США в России Майкл Макфол узнал тех, кто в 2012 году появлялся вместе с ним на мероприятиях, проведение которых никак не анонсировалось. Госдепартамент США тогда предполагал, что телекомпания получила доступ к календарю посла, взломав почту или телефоны.

Специалист по информационной безопасности одной из российских компаний, занимающихся киберзащитой, рассказывал мне, что в случае Удота речь может идти о слежке спецслужб через СОРМ (аппаратура для прослушки, которой оперативники ФСБ пользуются по решению суда) или вирусе-шпионе в телефоне. Есть, однако, и еще один вариант — прослушка могла осуществляться через уязвимость в мобильной связи, о которой знают только специалисты по информационной безопасности и операторы связи: «дыру» в системе протоколов SS7, используемой телефонными компаниями для передачи служебных команд. Благодаря этой уязвимости после несложного взлома можно перехватывать и прослушивать звонки, отслеживать местонахождение абонента, читать и даже переписывать SMS.

Под ударом может оказаться практически любой обладатель телефона — политик, правозащитник, журналист, бизнесмен, жена ревнивого мужа, муж ревнивой жены; прочие семь с половиной миллиардов абонентов мобильных телефонов. Хакеры могут атаковать любые телефоны — и старые кнопочные, и смартфоны, и устройства на базе iOS или Android.

От атак через SS7 не защищены около 90 % мобильных операторов мира (в безопасности находятся операторы, заменившие устаревшие протоколы и те, которые постоянно анализируют всех абонентов для выявления вредоносных действий); SMS-сообщения 89 % абонентов можно перехватить; 58 % абонентов можно отследить; разговоры половины абонентов можно прослушать. Об этом говорится в докладе российской компании Positive Technologies, исследовавшей системы безопасности крупнейших мобильных операторов мира.

***

Протоколы SS7 начали разрабатывать в 1970-х годах. В то время радиолюбители увлекались конструированием самодельных аппаратов, с помощью которых удавалось имитировать передачу сигналов между телефонными станциями («межстанционную сигнализацию») и отправлять на них нужные команды. Такие аппараты, известные как «синие коробки», позволяли звонить почти бесплатно по любым направлениям, оплачивая звонки как местные. «Синюю коробку» в своем гараже собрали, например, создатели Apple Стив Джобс и Стивен Возняк.

Для борьбы с мошенниками телефонные компании разделили абонентский (передачу голоса) и служебный трафик (технические команды). Так появилась SS7, система сигнальных протоколов для обмена информацией и маршрутизации вызовов (какой номер вызывает, кого, откуда и так далее). Ее можно сравнить с системой метрополитена: SS7 — это служебные тоннели для рабочих, а не те, по которым ходят поезда.

SS7 начала работать в начале 1980-х и объединила телефонных операторов по всему миру. В России, США, Азии и Европе протоколы называются по-разному, они незначительно различаются, но совместимы друг с другом; в целом система по своему устройству напоминает интернет. В России SS7 называют ОКС-7 (общий канал сигнализации № 7), в США — CCS7, в Германии — N7, в Великобритании — CCIS7; общепринятое название — SS7.

В начале 2000-х годов было разработано дополнение к SS7 — программное обеспечение Sigtran, которое позволило передавать сообщения и команды по IP-сетям: компоненты сети SS7 стали доступны в публичных сетях, подключиться к некоторым из них можно через интернет. Новое и инновационное ПО продолжило работать на старой системе, которую никак не защитили; более того, осуществить «врезку» в эту систему теперь оказалось даже проще.

Публичное обсуждение «дыры» в SS7 началось в 2008 году. На хакерской конференции Chaos Computer Club (одна из крупнейших в мире) немецкий исследователь информационной безопасности Тобиас Энгель показал собравшимся способы слежки за абонентами мобильной связи, основанные на проникновении в SS7. В правительствах и спецслужбах об уязвимости, видимо, знали еще раньше. В книге специалистов по телекоммуникациям Томаса Портера и Майкла Гуфа, вышедшей в 2007-м, указывалось, что администрация президента США серьезно обеспокоена высоким уровнем угрозы атак на основе SS7; в других американских документах такие атаки упоминались еще с 1998 года. Об уязвимости не могли не знать мобильные операторы, но они, как правило, отказываются признавать существование проблемы.

В 2013-м бывший сотрудник ЦРУ и Агентства национальной безопасности США Эдвард Сноуден передал журналистам The Guardian и The Washington Post архивы, подтверждающие, что спецслужбы США и Великобритании сами могут следить за любым человеком на планете (и пользуются этой возможностью). В том же году The Washington Post рассказала , что АНБ использовала «дыры» в SS7 как один из методов слежки. А еще через год журналисты издания сообщили о специальных программах для слежки на основе SS7 и том, что с помощью SS7 хакеры могут «определить местоположение абонента в любой точке мира, прослушивать разговоры в реальном времени или записывать зашифрованные звонки и текстовые сообщения для дальнейшей расшифровки».

В первые годы к SS7 имели доступ избранные коммерческие и государственные телефонные компании. В конце 2010-х подсчитать количество легальных подключений к SS7 невозможно: это и мобильные операторы, и виртуальные мобильные операторы, и развлекательные контент-провайдеры. В этих компаниях работают сотни тысяч человек; среди них могут оказаться и нелояльные сотрудники с необходимыми навыками.

***

В 2014 году российские специалисты по кибербезопасности Дмитрий Курбатов и его коллега Сергей Пузанков проверили, насколько легко найти оператора, готового подключить незнакомцев к SS7. Беседуя с представителями мобильных операторов из Южной Америки и Средней Азии, они прикинулись начинающими контент-провайдерами дополнительных услуг, которым требуется подключение к SS7, чтобы «рассылать абонентам лучшие прогнозы погоды». Многие операторы согласились дать им доступ официально, другие предлагали подключение за четыре тысячи долларов. По словам Курбатова, имея знакомых в любом из операторов связи, получить доступ к SS7 очень легко.

Для атаки на абонентов не требуется сложное оборудование. «Не нужно быть гением или службой разведки, чтобы все это реализовать, — говорит Курбатов. — Программный комплекс мы сами написали, дополнив скачанное из интернета. Порог входа — низкий».

Достаточно с помощью соответствующего софта узнать номер IMSI — специальный идентификатор, который присваивается каждому мобильному абоненту (содержит код страны, код оператора и внутренний уникальный номер сим-карты). Одновременно хакер получает параметры MSC / VLR (коммутатор вызовов и местоположения), благодаря которым абонент находится в сети.

Все это требуется, чтобы обмануть «домашнюю» сеть абонента и перевести его в свою — фальшивую. Для «домашней» сети это будет выглядеть так, будто абонент («цель») уехал в роуминг; сам абонент об этом никогда не узнает. Фальшивая сеть передаст команду оператору, что теперь сама обслуживает абонента (то есть оператор получит сигнал, что его абонент находится в зоне обслуживания другого мобильного оператора). После этого с помощью специального ПО хакер сможет перехватить SMS, прослушать звонки, отследить местоположение «цели».

Курбатов говорит, что такой доступ в меньшей степени используется для слежки; чаще — для воровства денег с мобильных кошельков и SMS-банкинга: это обычно небольшие деньги, но преступные группировки берут оборотом .

Получив доступ к SS7, хакер может перехватить коды авторизации от Telegram, WhatsApp и пароли двухфакторной авторизации Gmail, Facebook, «ВКонтакте». Инициировав подключение к Telegram, злоумышленник может получить SMS с паролем на захваченный телефон, ввести его и получить полноценный доступ к мессенджеру — писать сообщения от лица абонента и прочитать всю его переписку, которую Telegram автоматически подгружает в новый телефон; закрытыми для чтения останутся только зашифрованные чаты. В WhatsApp старую переписку прочитать не удастся: она не хранится на сервере, с апреля 2016 года WhatsApp включил полное шифрование для всех пользователей.

«Все, что зависит от SMS, может быть взломано — и было уже взломано с момента, когда заработала SS7, — говорил немецкий хакер Карстен Нол. — Мобильная сеть, видимо, самое слабое звено в нашей цифровой защите».

Жертвы редко узнают, что их взломали. Согласно исследованию американской компании FireEye, занимающейся разработкой программ от кибератак, среднее время нахождения хакера во взломанной сети или аккаунте до обнаружения — 205 дней.

В ночь на 29 апреля 2016 года о взломе своих аккаунтов в Telegram сообщили оппозиционер Олег Козловский и сотрудник Фонда борьбы с коррупцией Георгий Албуров, оба — абоненты МТС. Неизвестные перехватили SMS с авторизационными кодами от их аккаунтов. Этого было достаточно, чтобы войти в систему, — у оппозиционеров не была включена двухфакторная авторизация с паролем. Козловскому и Албурову SMS с авторизацией не пришли. Козловский рассказывал, что в момент взлома МТС отключил службу доставки SMS.

В службе поддержки ему якобы заявили : «Услугу коротких сообщений вам отключил наш отдел технической безопасности». Позже активисты выложили квитанции за услуги за апрель 2016 года: и у Козловского, и Албурова в них указано отключение услуг коротких сообщений. МТС это опровергал, представитель МТС Дмитрий Солодовников сообщил : «Никаких целенаправленных действий по отключению услуг не производилось. Не исключаю вероятности вирусной атаки или доступа к аккаунту через вебинтерфейс». Таким же образом, возможно, прослушивали заместителя госсекретаря США Викторию Нуланд с послом США в Киеве Джеффри Пайеттом — тогда неизвестные выложили запись их телефонного разговора. Первым ссылку на аудиозапись тогда выложил помощник Дмитрия Рогозина, вице-премьера по обороне в правительстве.

Если оппозиционеров атаковали через SS7, хакеры вполне могли сделать так, чтобы взломанным абонентам не пришло SMS.

Помимо перехвата звонков и сообщений с помощью атак через SS7, хакер сможет вывести телефон из строя: устройство показывает, что ловит сигнал, но до него нельзя дозвониться. Такие атаки могут навредить бизнесменам во время переговоров, журналистам, связывающимся с источниками. Они также могут использоваться во время вооруженных конфликтов.

Российские спецслужбы давно занимаются созданием вирусов-шпионов, которые подсаживаются на телефоны — обычно для этого нужен физический контакт с устройством. Впрочем, есть у них и другие способы слежки, не требующие сложных ухищрений: например, они могут использовать СОРМ, систему технических средств для обеспечения оперативно-розыскных мероприятий, которая позволяет в том числе следить за телефонными переговорами или интернет-трафиком. По российскому законодательству спецслужбы имеют право задействовать систему только по решению суда, однако в 2012 году Верховный суд России признал законным право спецслужб прослушивать оппозиционеров только на основании того, что они занимаются протестной деятельностью. В расследовании российского Forbes указывалось, что решение о прослушке сотрудник ФСБ никому показывать не обязан: операторы связи не имеют права знать, чьи переговоры или почту перехватывают спецслужбы. Пункты управления СОРМ соединены по защищенному кабелю с серверами мобильных операторов и интернет-провайдеров, для прослушки сотруднику ФСБ достаточно ввести команды на пульте управления СОРМ, который находится в здании местного управления ведомства.

 

Глава 36

Анонимы против государства

4 марта 2018 неизвестные взломали сайт Государственного ракетного центра имени академика В. П. Макеева — производителя «непредсказуемых ракет», которыми Владимир Путин хвастался во время своего обращения к Федеральному собранию. Вместо привычной титульной страницы на сайте появилась картинка с изображением темнокожего мужчины в БДСМ-наряде; рядом была надпись «putin moya raketa gotova».

Впрочем, сайт быстро вернули в прежний вид, а продолжения взлом не имел. В последние годы «оппозиционных» хакерских атак вообще стало гораздо меньше — их расцвет пришелся на первую половину 2010-х, после чего российское государство фактически объявило нападавшим гражданскую кибервойну.

В феврале 2012 года неизвестные хакеры взломали почтовый ящик главы Росмолодежи Василия Якеменко — идеолога и создателя прокремлевских молодежных движений, которые были созданы в начале нулевых для борьбы с «оранжевой революцией» и оппозицией. Корреспонденция Якеменко была выложена в открытый доступ под хэштегом #OpYoungBustards в нескольких блогах: KremlinGate, UltraZashkvar, Rumol-Leaks. Интереснее других была переписка Якеменко с пресс-секретарем Росмолодежи Кристиной Потупчик, которая долгое время была одной из самых заметных участниц движения «Наши».

Из переписок можно было узнать, что Якеменко обсуждал со своими соратниками организацию DDoS-атак и взломы почтовых ящиков оппозиционеров. Значительная часть переписки касалась платного размещения материалов в популярных российских блогах — за них платили сотни тысяч рублей. Самым дорогим якобы было размещение постов у Ильи Варламова — около 400 тысяч рублей за два материала о посещении Путиным авиасалона МАКС-2011 и о съезде «Единой России», на котором стало известно о том, что Путин идет на третий срок. В разговоре со мной Варламов отрицал, что получил за посты деньги. Кроме того, деньги от государства получал проект «Спасибо, Ева», для которого многие видеоблогеры делали ролики. Один из них — Данила Поперечный, делавший серию пропагандистских мультфильмов про Владимира Путина, — признавался, что не знал, из каких денег ему платили зарплату.

Кроме прочего, из переписки можно было узнать про работавших на Якеменко платных комментаторов — прообраз того, что потом станет называться «фабрикой троллей» (см. главу 25). Якеменко и Потупчик решили собрать группу людей «с подвешенным языком, хорошо пишущих, не дебилов», которые должны были «обсирать оппозицию и хвалить Путина» на форумах и в соцсетях, чтобы имитировать мнение народа». «Нужна картинка того, что за нас большинство», — поясняли в переписке. Зарплата таких сотрудников составляла от 20 до 30 тысяч рублей в месяц; точная сумма зависела от количества удачных комментариев и дискуссий; некоторых награждали айпадами. Расходы на таких комментаторов, как было указано в одном из отчетов, составляли около 600 тысяч рублей в месяц.

В другом письме якобы Кристина Потупчик (письма были отправлены с того же адреса, который был указан в качестве личной почты в «Живом журнале» активистки) предлагала организовать DDoS-атаку на «Коммерсант», чтобы «парализовать сайт на 5 часов, создать невыносимые условия, психологически и физически доканать». В отчете, составленном для Якеменко, она указывала, что «серьезные ресурсы, которые нельзя полностью ликвидировать, периодические подвергаются активным DDoS-атакам».

В одной из смет отдельно фигурировал некий Арсен Мухматмурзиев — его сфера полномочий характеризовалась как «ИТ-специалист, хакер, выведение из строя ресурсов противников, взлом сайтов, взлом аккаунтов»; платили ему 40 тысяч рублей в месяц. Другой активист в письме главе Росмолодежи предлагал услуги «спаминга и троллинга ведущих блогеров, которые публикуют антигосударственные записи», DDoS-атак и вывода из строя «даже самых защищенных ресурсов», требуя за них 18 миллионов рублей в год.

Кристина Потупчик сейчас ведет блог о книгах и позиционирует себя как гражданскую активистку. Василий Якеменко сначала открыл кафе «Ешь пирог», потом занялся книжным клубом и купил дом в Баварии. Другие участники операций Росмолодежи заняли окологосударственные должности в разных российских регионах. Методы борьбы с оппонентами, которые они опробовали в России, через несколько лет начали использоваться на выборах в США и европейских странах.

***

В апреле 2014 года один из руководителей организации, занимающейся прокремлевскими ботами, назначил мне встречу в любимом месте выходцев из движения «Наши» — баре неподалеку от метро «Сухаревская».

Он начал заниматься информационными войнами в декабре 2011 года — после массовых оппозиционных протестов. Сначала его работа заключалась в том, чтобы руководить группой «мурзилок» — журналистов и блогеров, которые за определенную плату отрабатывали нужную Кремлю повестку, при этом не показывая в лоб, что они работают на власть. По его словам, каждый день он рассылал «мурзилкам» брифы, полученные из администрации президента, — документы, в которых указывалось, как и с какими акцентами освещать события.

Некоторых партнеров он находил в кафе, популярных у интеллигенции. «Приходишь, смотришь: кто-то, может, в деньгах нуждается, кто-то, может, не совсем ярый оппозиционер, — рассказывал он. — Выцепляли кого-то, предлагали попробовать: тысяч за пятнадцать написать про какого-нибудь проворовавшегося главу управы Бибирево. Человек думал примерно так: благое дело, еще и денег получу, девочку в „Жан-Жак" свожу. И так ты ему раз, два, а на третий говоришь: „Напиши-ка про Навального". Он отказывается. Говоришь: „Ха, ты хочешь, чтобы все узнали, что ты уже брал деньги?"»

По словам моего собеседника, после взлома почты Кристины Потупчик все стали действовать аккуратнее: регистрировали секретные ящики или даже, чувствуя себя супершпионами, проверяли, нет ли за ними слежки, при встречах с коллегами по бизнесу.

Все деньги он получал наличными и мог распоряжаться ими по своему усмотрению: снимать офис, нанимать людей. Кроме его организации, похожими вещами в Москве 2014 года занимались еще 7 организаций. На общих собраниях они в том числе обсуждали, кому заказать DDoS-атаки на оппозиционные сайты и кого нанять для накрутки просмотров и лайков у прогосударственных видеороликов и твитов. Для этого, например, использовались фишинговые приложения вроде «Узнай свой психологический возраст», с помощью которых можно было получить доступ к аккаунтам и использовать их для ретвитов.

В конце разговора собеседник, усмехнувшись, сказал, что, учитывая последние успехи Путина (имелись в виду Олимпиада в Сочи и присоединение Крыма), скоро может остаться без работы. «В информационных войнах мы всех переиграли», — уверенно заявил он. Он ошибался. Если в России помощь ботов и хакеров больше почти не требовалась, то в мировом масштабе в следующие годы их атаки начали учащаться с невероятной скоростью.

***

В феврале 2012 года хакеры, взломавшие Василия Якеменко и других чиновников, согласились пообщаться со мной в зашифрованном чате. Себя они назвали российским подразделением Anonymous — международного движения киберактивистов, которые с 2008 года начали проводить атаки на корпорации, кино- и звукозаписывающие компании под лозунгами свободы распространения информации. Люди, ассоциировавшие себя с Anonymous, активно участвовали в так называемой Арабской весне — волне революций, прокатившейся по нескольким странам Ближнего Востока в начале 2010-х годов. В России переписками госслужащих и прокремлевских активистов их деятельность не ограничилась — хакеры также взломали сайт калужского отделения «Единой России» и разместили на нем видеоролик, в котором обещали чиновникам постоянную слежку и хвастались тем, что найти их невозможно: хакером может быть «ваш бухгалтер, почтальон, секретарь, адвокат, даже ваш сын».

«Единственное, что все мы разделяем, — это стремление защитить свободу слова в интернете, — писал мне один из хакеров. — Не наступит день, когда аноним позволит кому-либо подменять его мысли». Он объяснял, что кремлевских чиновников они взламывали, в частности, в отместку за взлом почты Алексея Навального, осуществленный «хакером Хэллом» (см. главу 22).

В марте 2012 года «анонимы» организовали DDoS-атаку на сайт телеканала НТВ, где вышел пропагандистский фильм «Анатомия протеста» (в нем сообщалось, что участники оппозиционных митингов получали деньги за участие в акциях). Сайт НТВ не работал 12 часов.

6 мая 2012 года — во время оппозиционного митинга на Болотной площади, закончившегося столкновениями с полицией и уголовными делами против рядовых протестующих — «анонимы» призвали сторонников атаковать сайты президента и правительства. Для новичков они выложили подробные инструкции, как действовать, и ссылки на нужные программы. «Мы поддержим этот протест отключением лживых государственных сайтов — и в первую очередь сайта правительства Российской Федерации… Всего несколько простых действий приблизят прогнившую коррумпированную систему к закономерной гибели. Она разрушит себя сама», — заявляли они в своем обращении. Своей цели они достигли: государственные сайты — в том числе сайт президента — ненадолго перестали открываться.

Пока одни спецслужбы заводили «Болотное дело» против участников митингов, другие начали искать тех, кто протестовал в интернете. Уже через месяц сотрудники ФСБ в Красноярске задержали двадцатилетнего студента колледжа радиоэлектроники Павла Спасского и бывшего чиновника Василия Никитина; в Томске задержали менеджера местной мелкой фирмы Сергея Тюлюпова. Все они были новичками, которые ничего не понимали в хакинге. Следуя инструкциям Anonymous, они скачали нужные программы и настроили их для DDoS-атак. Все в итоге получили сроки: Спасского приговорили к двум годам условно и штрафу в 25 тысяч рублей, Никитин отсидел год, Тюлюпов — полтора.

Впрочем, «анонимов» это не остановило. В июне 2013 года они начали атаковать сайты Роскомнадзора — ведомства, которое отвечает за контроль над интернетом. Параллельно активисты опубликовали в «Ютьюбе» обращение к россиянам. Как и их зарубежные коллеги, российские хакеры выкладывали в «Ютьюб» обращения с измененным голосом, во всех роликах присутствовала маска Гая Фокса — символ борьбы с репрессивными правительствами:

Много лет вы подвергаетесь унижениями и показным издевательствам в своей собственной стране, отдавая все и ничего получая взамен. Правовой и законодательный беспредел, коррупция и вдобавок — непрерывный поток лживой пропаганды, льющийся на вас из телевизора, привели к тому, что многие люди принимают это как должное и не представляют своей жизни иначе, а сопротивляющиеся подвергаются гонениям.

Однако есть место, где пока еще гражданам России не получается промывать мозги. Это интернет. Здесь человек всегда может найти единомышленников, узнать информацию, не подвергнутую цензуре, из первых рук и сделать выводы. Самостоятельно. Но под прикрытием заботы о детях и борьбы с пиратством, а на самом деле с целью установления тотальной цензуры над сетью интернет и из желания получать больше денег, развернута кампания по контролю над сетью. Вместо настоящих новостей вы будете видеть ту же ложь, что и на «Первом канале», отдавать из вашей небольшой зарплаты на поделки, которые вам преподносят как «искусство». Тот, кто захочет попасть в свободный интернет, будет вынужден «нарушить» закон и. вполне вероятно, окажется в тюрьме.

Если вы позволите забрать у вас интернет, то больше никогда не получите его назад. Протестуйте против любых законов, покушающихся на вашу свободу в сети, не позволяйте ограничивать свободный обмен информацией и не верьте в лживые заявления об опасности мировой паутины. А всем ответственным за эти действия необходимо понять, что попытки установить в сети свой контроль и повлиять на интернет-сообщество, не будут смиренно приняты. На каждый закрытый вами сайт мы взломаем два, на каждую вашу ложь мы ответим разоблачающей правдой, на каждую вашу меру мы найдем контрмеры. Мы — Анонимы, и имя нам — легион. Мы не прощаем, мы не забываем.

Предостережения «анонимов» оказались точными, но защитить интернет им так и не удалось: в последние годы российские власти последовательно ограничивают его свободу.

***

Ведомство, которое отвечает за контроль над интернетом, — Роскомнадзор — располагается в восьмиэтажном здании на Китай-городе, отделанном серой плиткой и окруженном голубыми елями; там же сидит Министерство культуры. До администрации президента от Роскомнадзора — пять минут медленным шагом.

До осени 2012 года о деятельности ведомства знали только профильные специалисты. Роскомнадзор появился в 2008 году — подразделение «откололось» от Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия. В его полномочия попали надзор за СМИ (в том числе выдача предупреждений о нарушениях — издание, получившее два и больше предупреждений, может быть закрыто) и связью: оформление лицензий на радиочастоты, выдача разрешений на судовые радиостанции и на строительство линий связи.

По-настоящему прославился Роскомнадзор после того, как в 2012 году приняли поправки в закон «О защите детей от информации, причиняющей вред их здоровью и развитию» — его еще называли «законом о черных списках». Главным нововведением стал «Единый реестр доменных имен, указателей страниц», то есть спи-ми надзорных органов. Реестр создавался для операторов связи, которые должны блокировать для своих клиентов доступ к попавшим в список сайтам. Одним из инициаторов поправок выступала Елена Мизулина, депутат Госдумы, прославившаяся законом о «запрете гей-пропаганды».

На этом репрессивные меры в отношении интернета не закончились. 22 апреля 2014 года в почту сотрудника администрации президента Тимура Прокопенко упало сообщение от близкого к Кремлю политолога Дмитрия Бадовского (почту Прокопенко впоследствии взломали и опубликовали в интернете). К письму был приложен файл под названием «интернет_короткое предложение». В тексте говорилось: «Контроль над Интернетом до сих пор официально принадлежит США», потому что у них в руках «система тотальной слежки АНБ». Политолог предлагал «разработать и принять… закон, обязывающий зарубежные интернет-компании организовать полную обработку данных российских пользователей исключительно на территории России».

Уже через два месяца этот закон внесли в Госдуму — и быстро приняли. Теперь все сервисы, обрабатывающие персональные данные граждан России, обязаны хранить их на серверах, расположенных в России.

В феврале 2017 года был принят «пакет Яровой», который в том числе обязал хранить все записи звонков и любые сообщения, которыми обмениваются пользователи, в течение полугода. В течение трех лет провайдеры и мессенджеры должны хранить метаданные — то есть не само содержание разговоров и переписки, а сведения о том, что такой-то разговор или такой-то обмен смс-сообщениями состоялся такого-то числа в таком-то часу. Эти же правила действуют и для «организаторов распространения информации в сети Интернет» (к ним относятся интернет-ресурсы, внесенные в соответствующий реестр) — только срок хранения метаданных в их случае составляет не три года, а один.

К 2017 году Роскомнадзор каждый день в среднем блокировал 244 страницы в интернете, а каждые восемь дней суды приговаривали к реальному сроку людей, которых обвиняли в экстремизме по 282 статье УК РФ — каждый год по ней в тюрьмы попадали больше 500 человек (в конце 2018 года их перестали возбуждать после декриминализации статьи). За последние пять лет Роскомнадзор заблокировал более 10 миллионов сайтов.

Активность «анонимов» тем временем почти сошла на нет. Последние атаки они провели весной 2014 года. В марте 2014-го Anonymous в ответ на увольнение главного редактора lenta.ru атаковали сайт Кремля, некоторое время он оказался недоступен. В твиттере они написали : «Сайт Кремля взъебан». Вскоре они же атаковали сайты МИДа, «Первого канала», «Российской газеты». Когда сайты переставали открываться, они радовались и писали в твиттере: «Tango down!»

В 2015 году несколько твиттеров активистов были взломаны; а в 2016 году на одном из их ютьюб-каналов начали выкладывать видео от имени группировки Fancy Bear — прогосударственных российских хакеров. Они рассказывали о взломе антидопингового агентства WADA, обвиняли американских спортсменов во лжи и заявляли, что будут добиваться чистоты в международном спорте.

 

Глава 37

Бангкокский связной

14 августа 2014 года около десяти утра неприметный мужчина зашел в кафе в районе Тишинской площади в Москве. Он заказал кофе, устроился в дальнем углу заведения, открыл недорогой нетбук и запустил несколько программ: текстовый редактор, зашифрованный чат и браузер. Потом он подключился к бесплатному вайфаю и вышел в интернет через VPN на собственном сервере — так, чтобы отследить его действия было невозможно. Открыл в браузере твиттер, ввел логин и пароль, которые были сохранены в отдельном документе, и написал первый твит: «Ухожу в отставку. Стыдно за действия правительства. Простите».

Запись появилась в официальном аккаунте премьер-министра России Дмитрия Медведева. Ее увидели два с половиной миллиона подписчиков.

Попивая кофе, мужчина написал еще несколько твитов: «Стану свободным фотографом. Давно мечтал»; «Несмотря на наши инициативы, неким сетевым хулиганам ср@ть на доступ в сеть по паспорту (((»; «Давно хотел сказать. Вова! Ты не прав!»; «Мне нравится читать @navalny». Затем ретвитнул бывшего главу предвыборного штаба Алексея Навального Леонида Волкова и оппозиционного журналиста Романа Доброхотова. Наконец написал: «Вы думаете, в Ялте сегодня скажут что-то важное? Сомневаюсь. Вот сижу тут, а сам думаю, а на х*я?»

Мужчине не казалось, что он делает что-то экстраординарное. Он вообще поначалу не собирался идти в это кафе и писать в аккаунт премьер-министра — просто больше было некому. В тот день он оказался единственным не занятым на основной работе человеком из группировки «Анонимный интернационал», широко известной как «Шалтай-Болтай». Хакеры из «Шалтая» получили ключи от твиттера премьера уже давно, когда выкачали из iCloud электронные копии трех смартфонов Медведева: пароли от соцсети премьер хранил в заметках на айфоне. Взлом твиттера группировка приурочила к ялтинской речи Владимира Путина. В Крыму, уже присоединенном к России, президент выступал с речью перед правительством и парламентом.

«Мы следили за Медведевым два года, но ничего интересного не попадалось, поэтому решили просто потроллить», — так мне объяснил смысл взлома один из членов «Анонимного интернационала».

Спустя полчаса после первого твита пресс-секретарь президента России Дмитрий Песков заявил информагентствам: «С большой долей вероятности могу предположить, что это проявление хакерства». В правительстве подтвердили: твиттер премьера взломали. Последние сообщения, размещенные в микроблоге, не соответствуют действительности». Сотрудники пресс-службы премьер-министра удалили несколько опубликованных твитов, однако мужчина из кафе успел написать еще кое-что: «Мы можем вернуться в 80-е годы. Это печально. Если цель моих коллег в Кремле в этом, то она скоро будет достигнута»; «Россияне не должны страдать из-за проблем в восприятии здравого смысла у верховного руководства страны».

На прощание он ретвитнул аккаунт «Анонимного интернационала» — @bOltai: «Цирк закончился клоуны разбежались. Запрещайте электричество)».

«Творческий техник», как в «Анонимном интернационале» называют человека, писавшего в твиттер Медведева, мог бы строчить твиты столько, сколько ему заблагорассудится: выкинуть его из соцсети никто бы не смог. Пресс-служба, чтобы остановить происходящее, должна была попросить администрацию сервиса заблокировать аккаунт Медведева. Впрочем, спустя час мужчина написал коллегам в чат: «Скучно, я сваливаю», закрыл нетбук и вышел из кафе.

***

«Шалтай-Болтай» — последний успешный проект российского киберсопротивления. Впервые они заявили о себе 31 декабря 2013 года, опубликовав текст новогоднего обращения Владимира Путина за несколько часов до того, как оно вышло в эфир. Следующие 12 месяцев «Анонимный интернационал» выкладывал в основном переписку, выкачанную из электронных ящиков и телефонов российских политиков разной степени влиятельности. В конце они всегда подписывались: «Всегда с Вами, даже тогда, когда Вы об этом не подозреваете».

Весной 2014-го «Шалтай» слил в сеть сценарий московского митинга в поддержку присоединения Крыма к России, документы о том, как администрация президента готовила референдум на полуострове, и предположительную личную переписку Игоря Стрелкова-Гиркина, бывшего сотрудника ФСБ, который в тот момент вместе со своими сторонниками вел боевые действия на востоке Украины. А еще — документы о том, как компания Евгения Пригожина «Конкорд» курирует кремлевских «интернет-троллей» через «Агентство интернет-исследований» (подробнее о «фабрике» см. в главе 25).

Игорь Осадчий (он упоминался в переписке «Агентства интернет-исследований» как руководитель проекта «Переводчик», ответственного за размещение сообщений в зарубежных СМИ) обнаружил в публикациях свои персональные данные и подал в суд. Представитель Роскомнадзора тогда сообщил: «Суд вынес определение, что информация должна быть удалена, но хостинг-провайдер на наше уведомление не отреагировал, поэтому служба отправила операторам связи предписание о блокировке блога». 27 июля 2014 года доступ к ресурсу bOltai.org из России был заблокирован по требованию Роскомнадзора; вскоре та же участь постигла основной твиттер группировки. Был заблокирован и основной твиттер группировки @bOltai. Сейчас «Шалтай-Болтай» доступен в РФ только через VPN или зеркальный сайт ; запасной твиттер @b0ltai2 дублирует все записи из заблокированного — вплоть до ретвитов.

За несколько дней до блокировки интернет-активисты выложили предполагаемую переписку вице-премьера Аркадия Дворковича: он требовал изменить параметры бюджета на 2015–2017 годы, иначе «будет невозможно обеспечить решение большинства задач, поставленных в программных документах». Через месяц «Анонимный интернационал» рассказал о трех почтовых ящиках Дмитрия Медведева и показал переписку депутата «Единой России» Роберта Шлегеля об организации атак «троллей» на сайты крупнейших зарубежных СМИ (The New York Times, CNN, BBC, USA Today, The Huffington Post).

Осенью 2014-го «Шалтай» слил электронную переписку аффилированной с московским правительством компании «Московские информационные технологии» с российскими СМИ («Комсомольская правда», «Известия», «Российская газета», «Литературная газета», Regnum) — так чиновники размещали в прессе заказные статьи. Также была опубликована предполагаемая переписка замначальника секретариата первого вице-премьера Игоря Шувалова. В декабре 2014-го «Анонимный интернационал» выложил фотографию, на которой бывшая пресс-секретарь движения «Наши» Кристина Потупчик сидит, предположительно, в кабинете в администрации президента с сумкой, набитой деньгами .

Через две недели активисты слили предполагаемую переписку заместителя начальника управления внутренней политики администрации президента Тимура Прокопенко. В своей почте он обсуждал заказные материалы против Алексея Навального, по SMS общался с Алексеем Гореславским, который в тот момент работал заместителем директора по внешним коммуникациям крупного российского интернет-холдинга Rambler&Co (в его состав входили два самых популярных интернет-СМИ в стране: «Лента. ру», где я тогда работал, и «Газета. ру»):

— Слушай, а они тебя вообще не слушают чтоль? интересовался Прокопенко.

— Я им всем не начальник, это во-первых. Я могу очень сильно рекомендовать, но уволить и оштрафовать не могу. В Газете слушаются, но редакция не до конца отдрочена, поэтому есть косяки. В Ленте своя позиция на все, Галя (Тимченко, главный редактор издания. — Прим. Авт.) ссылается на то, что у нее такой «стандарт» и она его будет исполнять. Вопрос перед акционером поставлен. Делаю, что могу.

Через 20 дней после этого сообщения главного редактора «Ленты. ру» Галину Тимченко уволили; вслед за ней ушла почти вся команда издания — включая меня.

По сообщениям и письмам Прокопенко вообще было хорошо понятно, как работает управление внутренней политики администрации президента России. Например, предполагаемые сотрудники президента России отслеживали каждый шаг оппозиционера Алексея Навального в интернете, готовили записки о редакционной политике независимых изданий, изучали твиты и демотиваторы в социальных сетях. Прокопенко каждый день получал многостраничные доклады о главных темах, обсуждаемых в Twitter, Facebook и «Живом журнале». Каждый отчет заканчивался рекомендациями о том, как следует освещать эти темы. Например, такими: «Тему с инвалидом, которая живет в гараже из-за бездействия чиновников, может взять на себя ОНФ (Общероссийский народный фронт, созданный в 2011 году для противодействия оппозиции и поддержки Владимира Путина. — Прим. Авт.), обеспечив женщину необходимой информационно-юридической поддержкой для решения жилищной проблемы и наказания виновных в ней чиновников».

Прокопенко много общался с руководством Роскомнадзора о блокировках неугодных сайтов. В разговоре с главой ведомства Жаровым он обсуждал блокировки группы украинских националистов «ВКонтакте»: Жаров жаловался, что тогдашний глава «ВКонтакте» Павел Дуров «дурку включил, не дает дальше блокировать»; Прокопенко предлагал задействовать Генпрокуратуру и «дожать» (через некоторое время Дуров уехал из России и перестал управлять «ВКонтакте»), Обсуждалась и публикация ВВС о марше за «федерализацию Сибири». Сотрудник Роскомнадзора предлагал их заблокировать и писал: «Люди с острова охамели»; Прокопенко напомнил, что «там [в Британии] Russia Today может пострадать». В итоге Роскомнадзор не тронул ВВС; проверять российский филиал корпорации ведомство начало в начале 2019 года — фактически в качестве прямого ответа на интерес британских властей к Russia Today.

Прокопенко — сын генерала ФСБ и выпускник Военного университета и Академии госслужбы при президенте России. Какое-то время он работал корреспондентом в ИТАР-ТАСС (иногда такие должности служат прикрытием для разведчиков), потом — в Госдуме и прокремлевских молодежных движениях. В администрацию президента его привел Вячеслав Володин, которого после массовых протестов назначили ответственным за российскую внутреннюю политику.

Вся деятельность Прокопенко в начале 2010-х напоминала то, что делал в 1970-х в США Говард Хант — сотрудник администрации президента Никсона, ставший одним из главных фигурантов Уотергейтского скандала. Хант в итоге почти три года отсидел в тюрьме — переписку Прокопенко никто даже не расследовал, хотя из нее следует, что Кремль занимается цензурой и преследованием оппозиции. Прокопенко и сейчас работает в администрации президента.

В интервью (их давали в крипточатах) пресс-секретари «Анонимного интернационала» Шалтай и Болтай утверждали , что публикуют сливы, потому что их «не устраивают ограничение свободы в сфере интернета и агрессивная внешняя политика», а также другие особенности российской политики: нечестные выборы и даже плохие условия, созданные для малого и среднего бизнеса. Своей целью «Анонимный интернационал» объявлял «изменение мира к лучшему, хотя бы к большей свободе и информированности общества».

Один из членов группировки цитировал фильм «Хранители»: «Мы делаем это потому, что вынуждены. Когда человек хоть раз видит черную изнанку общества, он больше никогда не обернется к ней спиной».

***

В твиттере группировки я нашел их электронную почту и написал письмо с предложением встретиться. «Насколько я понимаю, вы находитесь не в Москве и не в России. Или кто-то есть и здесь?» — спросил я. Они ответили в тот же день: «Немного ошибаетесь) Мы НЕ встречаемся в Москве или в других городах России. Практически все члены команды — граждане РФ и большая часть проживает на территории РФ. Но наши представители и правда встречаются исключительно за пределами РФ. В ближайший месяц наши представители могут встретиться в следующих местах: Стамбул, Бейрут, Бангкок, Киев. Точное время и точное место на территории любого из этих городов — за нами». Я спросил, когда им удобно встретиться в Стамбуле.

Через две недели они написали: «Из Стамбула человек уехал. Возможно, там не появится больше (Есть люди в Бейруте, Киеве, Бангкоке». Еще через неделю выяснилось, что встреча возможна только в Юго-Восточной Азии, лучше всего — в Бангкоке. Я ответил, что это слишком далеко. «Зато тут тепло, недорогое спиртное и женщины))) Шутка))), — ответили они. — Ну тогда как потеплеет) а то поближе холодно)». «Да ладно, мороз бодрит. Может, поближе?» — написал я.

— Ну если серьезно, то есть еще причины [не встречаться ближе].

— Думаете, вышли на ваш след? — спросил я.

— Думаем не вышли))) У нас много следов. Да и не боимся мы ничего если честно)) Хочешь верь, хочешь не верь чисто семейные мотивы))) Все мы люди, все человеки))).

В декабре 2014 года я написал им, что собираюсь в отпуск в Гонконг и смог бы оттуда заехать в Бангкок. Они согласились и посоветовали лететь эфиопскими авиалиниями, потому что «там очень прикольные стюардессы — эфиопки: темная кожа и голубые глаза». Были и другие советы: «В Гонконге в период Сочельника и Рождества (католических) перекрывают центр даже для пешеходов. Поэтому не удивляйся, если вечером 26-го ты увидишь, что в центре пешеходов будут направлять полицейские в обход каких-то улиц. Сам удивился, когда в первый раз увидел, так и не понял почему. И если гостиницу не бронировал, то поторопись. Цены на эти даты в Гонконге традиционно высокие».

***

Прилетев в Бангкок, я сразу же купил сим-карту и написал сообщение на нужный номер. Приехав в отель, я стал ждать. Они позвонили через несколько часов и назначили встречу в самом людном районе города — на Каосан-роуд. Алекс Гарленд в романе «Пляж» описывал эти места как «страну пеших туристов»: «Почти все здания на ней превращены в гостиницы… В кафе крутят по видео новейшие американские фильмы; вы не пройдете и нескольких метров, чтобы не наткнуться на ларек, торгующий пиратскими кассетами. Улица служит своего рода кессонной камерой для тех, кто только что приехал в Таиланд или собирается покинуть эту страну, лежащую как раз на полпути между Востоком и Западом».

В январе 2015 года район выглядел примерно так же. Каждый второй европеец прогуливался, держа за руку тайскую проститутку; веселые местные дельцы то и дело шептали на ухо: «Трава? Трава есть. Любовь? Любовь есть». Я немного заплутал, заглядевшись на прилавки, на которых продавали аудиокассеты — в том числе почему-то с российской поп-музыкой конца 1990-х.

Человек из «Шалтая» перезвонил — теперь с другого номера — и попросил подойти к дому № 6 на соседней улице. Когда я подошел к зданию, мужчина на противоположной стороне улицы помахал мне рукой.

Я перебежал дорогу, пока он ловил моторикшу. На встречу пришел улыбчивый мужчина в соломенной шляпе и легкой летней одежде; через плечо у него была перекинута небольшая сумка для ноутбука. Он, конечно, не стал представляться, но я решил называть его Льюисом: участники группировки считали, что «Алиса в стране чудес» с ее вывернутой наизнанку логикой наиболее точно описывает мир российской политики.

Тук-тук сразу же сорвался с места, разогнался и начал петлять между автомобилями. Льюис сразу же начал рассказывать о деятельности группировки, но на улице было так шумно, что я слышал только отдельные слова: «побочный продукт других игр», «представители башен», «Прокопенко», «план работы по себе».

Минут через 15 тук-тук остановился в центре Бангкока. Льюис протянул водителю пару купюр, уточнив, что поездки тут стоят очень мало, и предложил зайти в метро, чтобы точно убедиться, что за нами нет хвоста.

«Мы должны были встретиться недавно с российским журналистом, — объясняет он. — Ну, у нас массивов [информации] много — проверили. Оказалось, что его почту вскрыли [сам] понимаешь кто, и за ним слежка. Пришлось с ним встречу отменить в последний момент. Тебя проверили, за тобой ничего не нашли. Но я все равно попросил Болтая проследить, нет ли за нами хвоста».

— Болтай тоже здесь? — уточнил я.

— Да, он здесь живет. А я приехал на один день передать файлы. Когда у тебя несколько гигабайт информации, иногда проще просто жесткий диск передать лично, чем передавать по сети. Вся информация у нас хранится минимум в двух копиях в разных странах. И нет человека, который имеет полный доступ ко всему. С Болтаем хотели сегодня искупаться в бассейне в его кондоминиуме, но холодно.

— Пойми, «Анонимный интернационал» — это не моя и не наша основная работа, — продолжил Льюис. — Мы не занимаемся ей постоянно. «Шалтай-Болтай» — это побочный продукт других игр. Мы занимаемся IT-безопасностью и… Как это сказать?

— Опасностью?

— Да. И IT-опасностью.

— Взломами?

— Неточная формулировка. Мы занимаемся получением доступа. Не обязательно путем взлома.

— Но взломать можете?

— Конечно. Но чаще доступ или информацию можно получить другими путями. Например, сходить за человеком в кафе, посмотреть, что он набирает [на клавиатуре]. Иногда, чтобы получить информацию, нужно убеждать. Иногда добрым словом, иногда другим, иногда деньгами, иногда менять одну информацию на другую информацию. Часто проходят мимо нас проекты, тесно связанные с Кремлем. После основной работы всегда остается то, что не пригодилось. Эта информация попадает в «Анонимный интернационал».

— У вас много клиентов?

— У нас есть постоянный небольшой круг клиентов. Нам хватает. Ценник на нашу работу начинается от нескольких десятков тысяч долларов. Про верхнюю планку говорить не буду. Нам всем хватает на жизнь и путешествия.

— Кто ваши заказчики? Кому вы продаете информацию?

— По нашей основной работе мы получаем заказы и от государственных структур, и от частных лиц. Никогда не работаем с теми, кто связан с наркотиками. Но мы утверждаем, что мы независимая команда. Просто часто невозможно понять, кто заказчик. Бывает, добываем информацию для посредников, не зная конечного заказчика.

В тот момент никто не знал, кто стоит за «Анонимным интернационалом». Многие гадали: одни думали, что это сам Тимур Прокопенко, другие — что люди еще одного сотрудника администрации президента Алексея Громова (поскольку про него не было публикаций), третьи — что это Владислав Сурков. «Самое смешное, что всем как-то вообще параллельно, ну типа есть и есть, — говорил мне один из сотрудников управления внутренней политики. — Вначале все на шухере были, летом, например, а сейчас нет. Вообще, тут все вроде как бьются очень давно [чтобы найти их]. Одна группа в свое время даже дошла в своих поисках до Лондона, а потом следы теряются. Но большинство мыслей о конторе (то есть о ФСБ. — Прим. Авт.). У чуваков уйма информации, и их никто не может спалить».

— Мы знаем, что нас ищут, — продолжал Льюис. — С мая работает по нам один генерал, сначала работало МВД, потом ФСБ и ФСО. У нас есть десяток эсэмэсок Прокопенко, в которых этот генерал докладывает, что вот-вот, мы уже близко, почти подобрались, ага. Летом через посредников на нас вышли люди, которые попросили взломать аккаунты «Анонимного интернационала», конечно, не зная, что мы — это они и есть. И главной целью ставили не взлом, а последующее выяснение личностей участников. Мы заломили ценник в 100 тысяч долларов. И они отказались. Хотя я не очень понимаю этого, потому что цена-то и не такая большая.

(Уже после нашей встречи, в 2015 году, «Шалтай-Болтай» начал не только выкладывать архивы переписок, но и продавать их на интернет-биржах. На сайте Joker.buzz группировка заключила сделок на 1000 биткоинов — около 275 тысяч долларов по тогдашнему курсу; на февраль 2019 года — 3,4 миллиона долларов.)

— Значит, ваша основная работа — это сбор компромата?

— Нет. Мы занимаемся изменением реальности. Иногда по работе нужно не просто собрать информацию.

— Ничего непонятно.

— У О'Генри есть рассказ — не помню название — про то, как молодой человек никак не может сделать предложение девушке, потому что она очень занята (имеется в виду рассказ «Золото и любовь». — Прим. Авт.). И вот случается так, что молодой человек попадает с этой девушкой в пробку, еще какие-то события происходят, и он объясняется ей в любви. А потом к отцу приходит человек со сметой: вот столько нужно заплатить таксистам, вот это полицейским, всем, кто участвовал в пробке. Мы занимаемся примерно тем же. Чтобы человек оказался или не оказался в определенном месте, чтобы информация была выложена в определенный момент.

— Приведите пример изменения реальности.

— По основной работе мы добились отставки губернатора. Положили нужному человеку на стол папочку. Я не буду называть имена.

— Кто принимает решение о публикации файлов?

— Все вместе обсуждаем. Но могу и я один принять решение опубликовать.

— Что вызывало больше всего споров?

— Гиркин, конечно. Болтай у нас самый радикальный, говорил: «Выкладывать по полной нужно этого гондона». Шалтай наоборот. Ну а техникам было по барабану. А Прокопенко не вызывал споров. То, что мы выложили тогда сначала фотографию Потупчик [с деньгами], было открыткой Прокопу. Он сразу понял, что у нас есть. Вообще, мы выкладываем только общественно полезную информацию. Никогда не выкладываем личную.

— Значит, запрет только на личную?

— Мы не будем никогда публиковать гостайны.

— Если бы у вас были данные вроде файлов Сноудена, выложили бы?

— Скорее, нет. Не всё нужно выдавать.

— А если файлы говорят о государственном преступлении?

— Тогда выложим.

— Но Сноуден выложил файлы о государственном преступлении.

— То, что он выложил, всем специалистам знающим было давно известно.

— Как файлы к вам попадают, кроме взлома? Кто источники?

— Некоторым сотрудникам администрации президента нравится, что они причастны к борьбе. Когда приезжаю в Москву, встречаемся с некоторыми за ланчем, я даю информацию, мне дают информацию. В основном источники — это многолетние знакомые там. Но некоторые дают информацию нам по основной работе, не зная, что мы «Анонимный интернационал». А вот с незнакомыми инициатив-щиками мы не работаем. Очень сложно проверить.

— Про кого будут следующие сливы?

— У нас примерно два терабайта файлов. Есть много файлов о людях, близких к ВВП (то есть к Путину. — Прим. Авт.). По Прокопенко мы выложили только 10 %. У нас 40 тысяч SMS, там большая переписка с либеральными журналистами, например. Знаем, что самая частая версия, что работаем на Громова, но то, что ничего не публиковалось о нем, не значит, что ничего не будет опубликовано.

— Значит, будет?

— Я сказал: не значит, что ничего не будет опубликовано.

— Почему такое внимание Прокопенко уделяете?

— Мы за Прокопенко наблюдаем больше двух лет. Сейчас он переходит на другую работу (вместо информационной политики чиновник в декабре 2014 года занялся в структурах администрации президента федеральными выборами — взаимодействием с партиями, Центризбиркомом, молодежными организациями. — Прим. Авт.). Нам показалось важным показать напоследок, чем он занимался в последнее время.

Льюис достал из сумки ноутбук, долго рылся в файлах, развернул экран ко мне. На нем был Дмитрий Медведев, развалившийся на стуле в рабочем кабинете, на его столе лежало много разноцветных папок. «Вот на столе папочки, в них самое интересное, до них бы добраться», — сказал Льюис.

По его словам, после публикаций «Анонимного интернационала» в администрации всем сотрудникам запретили пользоваться нерабочей почтой. Теперь у каждого есть защищенный ящик, на который можно зайти только с определенного IP и с определенного компьютера, но, объяснял Льюис, все сотрудники выше помощника вице-премьера эти предписания не соблюдают: «Не придет же фэсэошник к Дворковичу и не скажет: „Ну-ка, давай-ка выключай"».

Мы вышли из метро на улицу.

— Я когда тебя увидел — с рюкзаком и наушниками, — подумал, что ты легко можешь меня и записать, и сфотографировать, — сказал Льюис. — И выложить завтра мою фотографию.

— И что вы тогда делать будете? Если выложу.

— Больше не приеду в Россию. Напротив твоей фамилии поставлю галочку и при случае подставлю. Ну, а так? Прокопенко киллеров пришлет, что ли? Хотя… Ну как меня можно найти в Азии? Это невозможно.

Я спросил, можно ли сфотографировать его ноутбук или шляпу . Он запретил фотографировать компьютер, а шляпу повесил на забор — так, чтобы не было никаких вывесок на фоне. «Очень легко потом приехать сюда, дать денег и получить записи с камер наблюдения», — объяснил Льюис, покупая на улице апельсиновый сок. Он достал из сумки небольшую бутылку джина, отхлебнул; достал из кармана одноразовый телефон, который использовал для связи со мной. Платком стер отпечатки пальцев, вынул сим-карту и аккумулятор, выбросил их в разные мусорные ящики и убежал на поезд в аэропорт.

***

10 ноября 2017 года в аэропорту Пулково перед вылетом в Минск задержали гражданина России Владимира Аникеева вместе с подругой. Через три дня его выпустили.

Уже после этого выяснилось, что Аникеев был связан с «Шалтай-Болтаем», и именно с ним я встречался в Бангкоке. «Может быть, у вас были случаи, когда человек попал в аварию, у него сотрясение мозга, то есть люди после этого становятся какие-то такие приторможенные, странные, — вспоминал потом другой участник группировки. — Примерно так же изменился [после задержания] Аникеев. У меня было некое недоверие, и я попросил его сходить в Жан-Жак» на Таганке и сделать селфи на фоне вывески заведения. Он это сделал. После того, как он прислал мне селфи, я сказал, чтобы он прислал мне фотографию чека, он прислал фотографию чека, это был столик номер пять и была фамилия официантки, там было два кофе. Я позвонил в „Жан-Жак" попросил эту официантку и спросил: «Вот у вас сейчас был заказ на столике номер пять 10 минут назад. Скажите, там был один мужчина или их было двое?»»

Официантка ответила, что Аникеев был один, но его партнер продолжал сомневаться: как можно выпить две чашки кофе за десять минут? По словам участника группировки, Аникеев признал, что спецслужбы обсуждали с ним деятельность «Шалтая-Болтая», но утверждал, что «все вопросы основные решены, а какие-то детали утрясаются». «[Аникеев] говорил, что по договоренности с теми людьми, которые помогли решить этот вопрос, проект дальше может работать, но все участники должны приехать в Россию и находиться под контролем в целях их же безопасности», — рассказывает участник «Шалтая-Болтая». В итоге Аникеев уговорил одного из компаньонов приехать в Россию — после чего сотрудники ФСБ сразу задержали и самого Аникеева, и приехавшего, и еще нескольких участников «Шалтая».

В марте 2017 года в квартиру, в которой я жил до 18 лет и в которой до сих пор живут мои родственники, пришли сотрудники ФСБ. Они искали меня и оставили повестку с вызовом на разговор.

Не зная, чего ожидать, на следующий день я приехал в родной район. Обычно я чувствовал себя там спокойно, но теперь все ощущалось иначе. В знакомом дворе я вглядывался в прохожих, высматривая мужчин в темных костюмах не по размеру, но нашел там только нескольких женщин, привычно беседующих на лавке у подъезда.

Через день я отправился в Лефортово — главное следственное управление ФСБ, которое находится в одном здании с одноименным СИЗО. Расположено это здание за восьмиэтажным жилым домом, к которому прилегает детская площадка; рядом — несколько кафе, в которых родственники обвиняемых обычно встречаются с адвокатами.

Я знал, что на проходной нужно будет сдать телефон, поэтому оставил его в автомобиле: подумал, что оставить его в руках ФСБ — значит фактически согласиться на прослушку и взлом. На проходную пришел следователь, представившийся Ястребовым. Он провел меня наверх. Выйти обратно без него бы не получилось: лабиринт коридоров петлял, лестницы уходили то влево, то вправо, коридоры начинались между этажами и тянулись очень далеко.

Около кабинета следователя из стены торчала металлическая конструкция с прикрепленными наручниками. «Для допросов?» — спросил я. «Ну да», — пошутил Ястребов. В кабинете на потертом линолеуме стоял стол, заваленный бумагами, и большой серый металлический сейф; на двери висел календарь с портретом Феликса Дзержинского.

Ястребов сообщил, что им не разрешают пользоваться интернетом, поэтому он не читал мой репортаж о встрече с «Шалтаем-Болтаем». Чтобы получить доступ к тексту, следователю нужно было записываться в список на листке, ждать очереди, получить ключи, после чего можно было зайти в комнату, где стоял компьютер, подключенный к интернету. Телефоны следователи, как и посетители, сдавали на входе в здание.

Ястребов расспрашивал о встрече с Аникеевым в Бангкоке и попросил пересказать весь репортаж. Через несколько часов следователь предложил выйти покурить. Мы прошли этаж насквозь и остановились около коридора, перекрытого решеткой. «А тут начинается тюрьма, сюда лучше никогда не попадать», — сказал следователь. «Ага», — кивнул я, докуривая.

***

Аникеева обвинили в нескольких взломах. Его дело рассматривалось публично, хотя обычно такие заседания проходят в закрытом режиме.

Пока Аникеева судили, участник группировки, оставшийся на свободе, — он называл себя Шалтай, — обратился в СМИ с предложениями дать интервью. Он встретился в Риге с «Медузой», потом — с «Дождем» в Таллине, где решил просить политическое убежище. С журналистами он разговаривал, видимо, в надежде ускорить этот процесс.

Звали Шалтая Александр Глазастиков. Он сообщил, что, раз других участников группировки поймали, скрывать ему нечего — наверняка спецслужбы всё о нем знают. Глазастиков рассказал, что будущие участники «Анонимного Интернационала» познакомились друг с другом в 2004 году на эротических вечеринках Дмитрия Грызлова — сына политика Бориса Грызлова, долгое время руководившего «Единой Россией» и Госдумой. Потом они периодически общались, но «Шалтай-Болтай» придумали только в 2013 году. Аникеев к тому моменту около десяти лет занимался «черным пиаром» и обзавелся кругом знакомых в правительстве и около него, которые сливали ему инсайдерскую информацию.

Одни из первых документов «Шалтай-Болтай» получил после того, как их знакомые хакеры провели массовую фишинговую рассылку по российским чиновникам. После этого «Шалтай» получил контроль над несколькими ящиками; некоторые чиновники так и не узнали, что их взломали.

«Организация создавалась с политической целью, чтобы раскрыть тайны о лицах, связанных с правительством России, с президентской администрацией», — объяснял Глазастиков. Раскрывать тайны он хотел выборочно: например, не трогать спецслужбы. Коллеги думали иначе. В августе 2015 года группировка опубликовала открытое письмо контрразведке. В нем говорилось, что им удалось вскрыть почтовые ящики высокопоставленных сотрудников Минобороны. «Мы с сожалением убедились в полной некомпетентности сотрудников ряда подразделений Министерства обороны РФ в области информационной безопасности, а если говорить более конкретно — в преступной небрежности, — заявил «Шалтай-Болтай». — Через бесплатные почтовые сервисы типа Yandex.ru, Mail.ru и американский mail.com передавались незашифрованные служебные документы, часто представляющие собой секретную информацию, связанную с обороноспособностью РФ». В почтовых переписках чиновников оказались пароли для служебных серверов других подразделений Минобороны.

Глазастиков уверен, что именно после этого за ними активно начали охотиться. Вскоре знакомые сообщили хакерам, что в ГРУ знают их настоящие имена. Видимо, после этого ФСБ вышла на контакт с Аникеевым и встретилась с ним в Москве. Группировке пообещали спокойное будущее при условии, что однажды они смогут через «Шалтая» опубликовать какую-то свою информацию. Глазастиков думает, что с Аникеевым общался Сергей Михайлов, работавший тогда в ЦИБ ФСБ и курировавший хакеров. Михайлова задержали вскоре после ареста Аникеева, но адвокат «Льюиса» утверждал, что обвинения в адрес сотрудника ФСБ никак не связаны с «Шалтаем-Болтаем».

Аникеева в итоге приговорили к двум годам тюрьмы; других участников «Шалтая» — к трем; Глазастиков получил убежище и остался в Эстонии. Архивы, выложенные группировкой, и сейчас остаются одним из главных источников информации о том, как на самом деле устроена внутренняя политика в России.

В августе 2018 года Аникеев вышел из тюрьмы. Хакер снова оказался на свободе — и заявил, что теперь займется обеспечением кибербезопасности. Работа для него в ближайшие годы точно найдется.