«Русские хакеры» — мем, который стал популярен на Западе пару десятилетий назад. Их след находят в самых громких киберпреступлениях и атаках на США, а Вашингтон нередко обвиняет их в работе на российские спецслужбы. При этом в русскоязычном даркнете о существовании отдельных преступных киберподразделений, работающих на разведку, говорят очень осторожно. С такой точкой зрения соглашаются и хакеры из Европы: они называют позицию официального Вашингтона удобной и признают, что спихнуть проблемы куда проще, чем признаться в собственных недостатках. «Лента.ру» разбиралась, могут ли настоящие российские хакеры из влиятельных группировок состоять на службе у государства и стоять за крупнейшими кибератаками на США.
«Ко мне неоднократно обращались с проектами, в которых требовалась помощь в проведении атак на американские компании. Но никогда не фигурировали американские ведомства или системы учреждений, — говорит хакер-фрилансер Алексей (имя изменено), попросивший не называть его ник. В даркнете публичность считается дурным тоном, но дело не только в этикете: тот, кто имеет хоть какие-то отношения со СМИ, теряет доверие коллег.
На вопрос, знает ли он о существовании «русских хакеров», работающих в интересах разведки, Алексей присылает смайлик и добавляет: «Чтобы понимать, что кибершпионаж существует в современном мире, не нужно сутками сидеть на хакерских форумах. Другое дело, что я не представляю себе ситуацию, в которой сотрудники ФСБ, СВР и прочих структур проводят вербовку среди членов известных группировок или берут их на подряд».
Собеседник «Ленты.ру» подчеркивает, что большинство среднестатистических хакеров атакой на госведомства США даже не заинтересуются. Он уточняет, что платят за такую работу наверняка хорошо, однако последствия для специалиста могут быть самыми неприятными. Кроме того, большинству киберпреступников просто не хватает квалификации для таких атак.
«Скорее всего, российские спецслужбы работают с серьезными хакерами, которых в современной истории России можно пересчитать по пальцам. Такие люди пропадают из даркнета навсегда, а их имена никто никогда не связывал ни с какими серьезными атаками. Это должны быть настоящие интеллектуалы, профессура киберпреступности, в интересах которых работают своеобразные НИИ, разрабатывающие все новые и новые виды программ», — предполагает он.
Алексей добавляет, что интерес хакеров из России к объектам американской экономики продиктован вовсе не желанием насолить Западу. Хакеры не разделяют жертв по национальному признаку, для них важнее экономическая составляющая вопроса. Именно поэтому инфраструктура США привлекает их чаще: просто там можно больше украсть.
В англоязычной части «Википедии» есть сразу несколько статей о российском вмешательстве в выборы в США. Названия у них почти одинаковые, а годы публикации разные: 2016, 2018, 2020. Именно эти атаки, вне зависимости от того, кто за ними стоял и были ли они в реальности, начали современный этап в отношениях Америки с «русскими хакерами».
В США утверждают, что цели атак российских специалистов менялись с течением времени. Перед выборами 2016 года, на которых победил Дональд Трамп, целью якобы были попытки Главного разведывательного управления (ГРУ) поддержать Трампа и очернить его конкурентку от демократической партии Хиллари Клинтон. Тогда в сеть сливали документы и переписку демократов, полученные в ходе фишинговых атак. Они выставляли в негативном свете либо Клинтон, либо ее соратников по партии, либо внутрипартийную обстановку в целом.
Ключевой момент операции «Проект Лахта» (такое название в США присвоили операции по вмешательству в выборы) — атака на Национальный комитет Демократической партии США. Ее якобы провернули группировки Cozy Bear и Fancy Bear, причем сделали это независимо друг от друга. Это значит, что система комитета была заражена двумя типами вредоносного ПО одновременно. Первое — X-Tunnel — удаленно выполняло команды взломщиков через NAT-систему. Второе — X-Agent — еще и передавало киберпреступникам интересующие их файлы и вело логи нажатых клавиш.
Объемы украденных данных оказались колоссальными. Первую партию компромата слили в интернет за три дня до съезда Демократической партии. Оказавшаяся в открытом доступе информация дискредитировала Национальный комитет партии: создавалось впечатление, что он изначально предвзято относился к Берни Сандерсу, главному конкуренту Клинтон в стане демократов. Дело кончилось отставкой председателя комитета. Вторую партию слитых данных обнародовали через считаные часы после того, как Барак Обама официально обвинил Россию в кибершпионаже, а американские медиа выложили компромат на Трампа, в котором он хвастался методами общения с женщинами.
В первом случае украденные документы и переписку выложил представившийся хакером-одиночкой Guccifer 2.0, во втором — WikiLeaks. Спустя еще месяц демократы проиграли выборы.
«Мир киберкриминала аполитичен, — признается пользователь европейского сегмента даркнета Vicious, который дал комментарий «Ленте.ру», узнав о подготовке материала через посредника, — но мы с интересом следили за тем, что говорили в США о тех событиях. Это важно для понимания использованного арсенала технических средств, развития всей индустрии. С сожалением приходится отметить, что никаких конкретных сведений предоставлено не было, а все отсылки к "русским" базируются на "секретной информации из Агентства национальной безопасности"».
Спустя два года обвинения американской стороны в том, что атаки на системы устраивают хакеры, связанные с Россией, базировались на одном факте: после взлома сайта одного из кандидатов в Сенат США его посетителей перенаправляли на ресурс с кириллицей. Те выборы прошли на фоне постоянных обвинений в адрес России.
В 2020 году последовали новые обвинения. Их можно было списать на предвыборную борьбу между демократами и республиканцами: Джо Байден частично строил свою кампанию на том, что Трамп стал президентом только благодаря вмешательству России. При этом, по мнению некоторых представителей американской стороны, накануне очередных выборов, помимо «русских хакеров», вмешиваться во внутреннюю политику США начали еще и китайские и иранские киберпреступники. В конце 2020 года произошли мощные атаки на правительственные ведомства США, в ходе которых пострадало сразу несколько госорганов.
К этому времени американские медиа писали о причастности россиян ко всем этим атакам как о доказанном факте. Свою позицию они подкрепляли данными разведки, однако за пять лет не было предоставлено ни одного однозначного доказательства: всю информацию, которая могла бы подтвердить факты вмешательства «русских хакеров» в выборы, продолжали называть засекреченной. В итоге американская разведка признала, что никаких прямых доказательств влияния «русских хакеров» на результаты голосования нет.
Позиция американских властей оказалась достаточно удобной для российских коллег: опровергать заявления соперника, у которого нет доказательств, совсем несложно. На протяжении нескольких лет российская сторона ограничивала свои ответы на обвинения хлесткими фразами, которые звучали то от пресс-секретаря президента Дмитрия Пескова, то от официального представителя МИД Марии Захаровой, то от российского лидера Владимира Путина. Но почему все заявления Вашингтона остались голословными, понять сложнее.
Где россияне действительно наследили — так это в инцидентах с американскими компаниями в 2021 году. Сначала под удар попал крупнейший трубопровод США Colonial Pipeline (хакеры получили в качестве выкупа как минимум пять миллионов долларов), из-за чего четыре американских штата объявили режим ЧП. В этом нападении обвинили кибервзломщиков из группировки DarkSide. Затем последовала атака на IT-компанию Kaseya, которая поставляет программное обеспечение и удаленно им управляет. В зоне поражения оказались сотни ее клиентов. Ответственность за случившееся власти США возложили на хакерскую группировку REvil.
Итогом атак стал телефонный звонок Байдена Путину с просьбой наказать преступников, за которым последовало внезапное исчезновение из даркнета лучших российских группировок. Потом президент США передал российскому коллеге список тех отраслей экономики США, на которые нельзя нападать. При этом западные медиа не считают, что REvil и DarkSide связаны с российскими спецслужбами.
Настоящие хакеры сегодня — это члены серьезных организаций с четкой структурой, выстроенной вертикалью управления, надежными источниками финансирования, собственными департаментами продаж, разработки и развития. Но начиналось все, как и в любом опасном деле, с романтиков-одиночек. Многие из них попали в тюрьму, но отдельным авантюристам удалось не только попасть в списки самых разыскиваемых преступников, но и оставаться свободными долгие годы.
Впрочем, первый известный (осужденный) русский хакер — не киберпреступник, а хулиган-вредитель, обиженный на руководство АвтоВАЗа за нарушенное обещание повысить в должности и поднять зарплату. В 1983 году Мурат Уртембаев намеренно изменил настройки программы, управляющей конвейером, из-за чего тольяттинский гигант встал на три дня. Уртембаев получил 1,5 года условно и штраф. Кроме того, организатора успешной атаки понизили от программиста до слесаря.
Первый громкий взлом, к которому были причастны россияне, произошел вскоре после развала Советского Союза. Петербургский микробиолог Владимир Левин смог взломать корпоративные счета американского Citibank и в течение трех месяцев 1994 года вывести оттуда, по разным оценкам, от 2,8 до 10 миллионов долларов. Почти все украденное в итоге вернули банку, а Левина после неудачных попыток затеряться нашли и осудили в Нью-Йорке, приговорив к тюремному заключению, которое он практически отбыл к моменту оглашения решения суда. В 1998 году Левина депортировали из США, и его следы потерялись. Впрочем, «русские хакеры» спустя годы признавались, что на самом деле Левин мог стать игрушкой в руках более серьезных профессионалов из международных группировок.
Главным российским хакером наступившего чуть позже периода расцвета компьютерных преступлений называют Евгения Богачева, работавшего под ником lucky12345. Он и его подельники из Украины и Великобритании создали печально известный вирус Gameover ZeuS, атаковавший американский бизнес и граждан в прошлом десятилетии. Полную сумму убытков подсчитать не удалось до сих пор, но она почти наверняка превышает 100 миллионов долларов.
Программа-вымогатель заражала сети жертвы, после чего требовала выкуп: частные лица могли отделаться сотнями долларов, для финансовых корпораций ставка была в разы выше. Хакер до сих пор является обладателем собственной странички в разделе самых разыскиваемых ФБР преступников, а за информацию о его местонахождении предлагают три миллиона долларов.
«Из даркнета lucky12345 пропал в середине прошлого десятилетия, — рассказал «Ленте.ру» администратор одного из ресурсов, на которых покупают и продают вредоносное ПО. — Нельзя сказать, что он был активным пользователем каких-то форумов, но под различными никами, некоторые из которых были известны только избранным, периодически появлялся. Конечно, Богачев — элита, используемые им методы были достаточно новыми для того периода. Наши американские братья по оружию считают, что он был пойман в России и согласился сотрудничать с разведкой, чтобы избежать наказания. Не могу сказать, что это маловероятно, вполне рабочая версия».
«Это не очень рабочая версия, — не соглашается Vicious. — Время специалистов уровня Богачева давно ушло, хотя мы и говорим о событиях всего лишь прошлого десятилетия. Тогда самой прибыльной стратегией было проведение масштабных и широких молниеносных атак, рассчитанных на сиюминутную выгоду и оставлявших после себя много следов. Теперь же, когда уровень специалистов по информационной безопасности вырос, а на защиту компаний и государств встают бывшие хакеры, приходится действовать аккуратнее: незаметно проникать в чужие сети и годами оставаться там незамеченными, похищая не деньги, а чувствительную информацию. Методы работы Богачева не создают ощущения, что он был бы успешен в новых реалиях. Скорее всего, он залег на дно или был убит».
Первая большая атака «русских хакеров» на США случилась через пару лет после проделок Левина в сетях Citibank. Инцидент получил романтичное название Moonlight Maze («Лабиринт лунного света»). В течение нескольких лет неизвестные преступники воровали данные Пентагона, НАСА, Министерства энергетики США, военных и гражданских ученых. По подсчетам пострадавшей стороны, в общей сложности злоумышленники украли так много данных, что в распечатанном виде они выглядели бы как полукилометровая стопка бумаги. В атаке обнаружили «русский след»: хакеры недостаточно эффективно зашифровали один из IP-адресов — он принадлежал пользователю из России.
Эта атака стала одной из первых в мире, отнесенных к классу APT (Advanced Persistent Threat — постоянная серьезная угроза): ее суть как раз и заключается в том, чтобы проникнуть в сети жертвы и незаметно выживать в них на протяжении нескольких лет. Сегодня в США считается, что в 90-е на такое была способна только одна организация в мире — Служба внешней разведки России.
В следующие два десятилетия методы (и даже конкретные программные инструменты, пусть и доработанные), которые применяли в ходе инцидента Moonlight Maze, всплыли еще в нескольких атаках, самой значимой из которых стала Turla, организованная одноименной группировкой. Доказать это смогли специалисты «Лаборатории Касперского» и британские ученые. В США, памятуя о том самом российском IP-адресе в Moonlight Maze, сделали однозначный вывод о причастности россиян к десяткам атак на американские правительственные объекты.
«Похоже, в отношениях русских хакеров с официальным Вашингтоном наметилось потепление», — говорит хакер-фрилансер Алексей, намекая на недавний выход в публичное пространство группировки BlackMatter, позиционирующей себя новым лидером даркнета.
Неназванный член объединения заявил, что расформирование DarkSide, REvil, Avaddon, BABUK связано с геополитическими причинами. По словам Алексея, оно стало следствием деятельности двусторонней российско-американской рабочей группы, направленной на борьбу с программами-вымогателями. Хакер отдельно отметил, что BlackMatter тщательно отбирает цели и «не планирует атаки на объекты критической инфраструктуры США», чтобы не привлекать к себе лишнего внимания, хотя и готова противостоять американским наступательным операциям в киберпространстве.
«Это заявление многие могут трактовать как признание в связях хакеров с ГРУ, СВР и другими российскими госорганами, — добавляет Vicious. — Это действительно выглядит как команда сверху о том, что пора отстать от американцев. В пользу этого варианта говорит и то, что прошло слишком мало времени между исчезновением элитных российских группировок и появлением BlackMatter. Возможно, это просто ребрендинг. Но не позволяйте себе думать, что если за атаками прошлых лет стояли русские, то сейчас они по просьбе Байдена внезапно перестанут это делать. Я думаю, новые заявления Вашингтона о "русских хакерах" еще впереди, ведь это очень удобный способ оправдания собственных промахов».