Самый громкий взлом может оказаться для «Дарксайд» (DarkSide) последним: в начале мая группировка запустила программу-вымогателя против компании «Колониэл пайплайн» (Colonial Pipeline), которая обеспечивает половину поставок топлива на Восточное побережье США. Из-за масштабов взлома компании пришлось закрыть трубопровод. Цены на бензин подскочили, наступил дефицит топлива. Президент Джо Байден объявил чрезвычайное положение. Сообщается, что «Дарксайд» получила выкуп в пять миллионов долларов, но, похоже, это дорого ей обошлось. 14 мая сайт «Дарксайд» вышел из строя, и группа сообщила, что лишилась доступа к средствам связи и платежам, — либо их настигло возмездие США, либо они решили самораспуститься.
«Дарксайд», если так можно выразиться, — предприятие по предоставлению вымогательских услуг, но само при этом кибератаками не занимается. Вместо этого оно оказывает аффилированным хакерам ряд услуг — от ведения переговоров до обработки платежей. У них был блог и удобный интерфейс, куда хакеры могли загружать и публиковать похищенную информацию. Когда «Дарксайд» дебютировало на русскоязычных хакерских форумах в августе прошлого года, его объявление напоминало бизнес-презентацию. «Мы создали „Дарксайд", потому что не нашли для себя идеального продукта, — говорилось в нем. — Теперь он у нас есть». У группировки была скользящая шкала расценок — от 25% на выкуп менее полумиллиона долларов до 10% на выкуп пяти миллионов долларов и более.
Рынок программ-вымогателей «под ключ» как часть современной экономики эволюционировал в сторону специализации: каждый его участник предлагает определенный набор навыков. Взлом вроде атаки «Дарксайд» на «Колониэл пайплайн» начинается с «индивидуального доступа», — хакер или группа хакеров проникают в сеть намеченной жертвы. Другой хакер в этом время занимается контроллером домена — сервера, отвечающего за безопасность и доступ пользователей, — и устанавливает там программу-вымогателя. («Дарксайд», помимо прочего, предлагает собственное вредоносное программное обеспечение для блокировки и извлечения данных). Взломав сервер жертвы и заморозив ее компьютерную систему, хакеры передают информацию операторам программы-вымогателя, которые занимаются всем остальным: определяют сумму выкупа, общаются с пострадавшими организациями и утрясают подробности платежа. «Это то, с чем хакеры обычно иметь дело не хотят, — сказал генеральный директор частой фирмы киберразведки Intel 471 Марк Эрина (Mark Arena). — У них для этого не хватит ни терпения, ни социальных навыков».
10 мая Байден заявил, что по данным американской разведки, «Дарксайд» базируется в России, даже несмотря на отсутствие улик, связывающих ее с российским государством. Как и во многих других сферах киберпреступности, в области программ-вымогателей под ключ преобладают, пусть и не полностью, хакеры из России и других бывших советских республик. (Но есть и масса исключений: например, государственные хакерские группировки из Северной Кореи, специализирующиеся на взломе онлайн-банков.)
Такая карьера выглядит тем более привлекательной, учитывая, что риски кажутся весьма небольшими, по крайней мере, если выбирать себе западные цели. Хотя российские правоохранительные органы периодически и проводят рейды против отечественных хакеров, но тех, кто взламывает зарубежные сети, обычно не трогают. Отчасти это вопрос юрисдикции и особенностей следовательской работы. Если на территории России не найдется жертвы, которая явится лично, подаст заявление в полицию и представит улики для уголовного разбирательства, то властям и преследовать некого. «При всем желании правоохранительных органов, расследовать тут нечего», — сказал известный московский консультант по кибербезопасности Алексей Лукацкий.
Чтобы обезопасить себя от проблем на родине, большинство сайтов, предлагающих программы-вымогатели под ключ, запрещают взламывать компании и учреждения в России и на территории бывшего Советского Союза. «У хакеров есть правило: с доменом. ru не работать», — сказал Голованов. В случае с «Дарксайд» программа проверяла установленные на сервере языки, — и если обнаруживала русский или любой другой с постсоветского пространства, то не запускалась и самоудалялась.
Но есть еще одно немаловажное объяснение, почему киберпреступникам в России так вольготно. Хакеров, которые нападают на западные корпорации, правительства и частных лиц, российские службы безопасности рассматривают, не как угрозу, а как ценный ресурс. В 2014 году ФБР обвинило российского хакера по имени Евгений Богачев в хищении сотен миллионов долларов с банковских счетов по всему миру, и американские прокуроры обратились к своим российским коллегам за помощью. Однако вместо того, чтобы арестовать Богачева, российские власти воспользовались его взломами, чтобы заполучить файлы и электронную переписку с устройств госслужащих и подрядчиков из США, Грузии и Турции. Как заметила «Нью-Йорк таймс», российское государство, по сути, «переложило шпионскую операцию на плечи продвинутой хакерской группировки, избавив тем самым себя от тяжелой работы собственно по взлому компьютеров».
В стратегическом документе за 2012 год под названием «Основание для ответственности» директор инициативы по кибербезопасности Атлантического совета Джейсон Хили (Jason Healey) предложил оценивать ответственность государства за хакерские атаки по шкале от «запрещены государством» до «интегрированы с государством». Куда по этой шкале попадает атака «Дарксайд» на «Колониэл пайплайн» и что имел в виду Байден, сказав, что Россия «несет определенную ответственность за то, чтобы с этим разобраться», пока не ясно. Пока что общедоступные свидетельства ставят взлом в разряд «игнорируемых государством» — по Хили, это когда «национальное правительство знает о сторонних атаках, но не желает предпринимать какие-либо официальные действия в соответствии со своей политикой».
Кремль, со своей стороны, отверг всякие предположения о том, что не принимает достаточно мер, чтобы пресечь деятельность группировок вроде «Дарксайд». «Россия не имеет к этому никакого отношения», — заявил официальный представитель Владимира Путина Дмитрий Песков. Но обвинения в причастности России к крупным хакерским атакам уже стали привычными явлением. Всего месяц назад Байден наложил на Россию санкции за атаку на поставлявшую аппаратуру американскому правительству компанию «Соларуиндз» (SolarWinds), когда российские спецслужбы взломали минимум девять федеральных агентств и сотни частных компаний. «Мы в России давно привыкли к обвинениям, будто мы взламываем всё и вся», — сухо сказал Лукацкий.
Тем временем русскоязычные хакерские форумы, которые были рынком сбыта для «Дарксайд», отлучили группу от своих сайтов. Само слово «выкуп» звучит «опасно и ядовито», — написал один администратор, отметив, что российские хакеры и их сообщники меньше всего хотят портить жизнь Кремлю: «Пескову приходится оправдываться перед нашими зарубежными „друзьями" — это ерунда и признак того, что ситуация зашла слишком далеко».
Никто не ждет, что всё исправится в одночасье. Ряд крупнейших группировок, предлагающих программы-вымогатели под ключ, объявили, что продолжат работу в «частном» режиме, прекратят рекламировать себя в теневом интернете и будут общаться лишь со знакомыми хакерами, кого знают и кому доверяют. Еще они заявили, что будут активнее проверять будущие цели и утверждать их заблаговременно. Что касается самой «Дарксайд», то она, скорее всего, перегруппируется и начнет работать под новым названием — своего рода ребрендинг после публичного скандала. «Такие люди без работы не останутся», — заверил технический директор московской компании по кибербезопасности «Груп-АйБи» (Group-IB) Дмитрий Волков.
Главная опасность от рынка программ-вымогателей — это насколько успешно они работают, по крайней мере, на данном этапе. В случае с «Колониэл пайплайн» почти пять миллионов долларов зараз — неплохой заработок для хакеров, а для компании, ворочающей миллиардными прибылями, — наоборот, гроши. Как показал анализ «Эллиптик» (Elliptic), фирмы по безопасности криптовалют, биткойн-кошелек «Дарксайд» пополнился с марта семнадцатью с половиной миллионами долларов, включая выкуп от «Колониэл пайплайн». «Предстоит еще выкуп на сто миллионов долларов, — но эти деньги уже вполне могли поступить, просто нам об этом еще не известно», — сообщил мне Марк Эрина. Он добавил, что встает еще один, не менее важный вопрос: «Сколько еще денег предстоит вывести из национальной экономики, прежде чем программы-вымогатели официально начнут считаться угрозой национальной безопасности?».
Джошуа Яффа — московский корреспондент журнала «Нью-Йоркер» и автор книги «Меж двух огней: правда, амбиции и компромисс в путинской России»
