Завтра день рождения хакерских войск
Вот ну ни чуточки не удивлюсь, если когда-нибудь 8 августа будут отмечать как день российской кбер-армии примерно так, как 23 февраля отмечают день армии другой.
Речь идёт о 10-летней годовщине нападения Грезии на Южную Осетию с целью принудить ту вернуться в состав Грузии.
Чем там закончилось, все знают. Но не все помнят, что в тот же день все СМИ стран Запада подняли истерию о том, что российские войска бомбят столицу Южной Осетии Цхинвал, тупо показывая сцены бомбёжки мирных кварталов со стороны грузинской армии. И продолжалось это довольно долго.
Что же там было и какое отношение это имеет к хакерским войскам?
В ночь на 8 августа 2008 года грузинские войска начали обстреливать столицу Южной Осетии Цхинвали, а затем приступили к штурму города. Через несколько часов Россия ввела в Грузию войска; конфликт продлился пять дней и закончился фактическим отделением Южной Осетии от Грузии. Эта война шла не только на грузинской территории, но и в киберпространстве: российские хакерские группировки атаковали сайты грузинских СМИ и госорганов и размещали на них свои сообщения. Именно тогда российские спецслужбы обратили внимание на патриотически настроенных хакеров - и начали систематически пользоваться их услугами в добровольно-принудительном порядке. Спецкор «Медузы» Даниил Туровский рассказывает предысторию и историю кибервойны в Грузии - и объясняет, как она связана со взломом серверов Демократической партии США и арестованными в 2016 году сотрудниками ФСБ.
8 августа 2008 года хакер Леонид Стройков - в интернете он чаще всего подписывался как R0id - сидел дома, в своей хабаровской квартире, пил пиво и читал «Башорг». В какой-то момент его внимание привлек экстренный выпуск новостей по телевизору - там сообщали, что грузинские войска начали обстреливать столицу Южной Осетии Цхинвали.
Впечатлившись услышанным, опытный хакер Стройков (в 2006 году он, например, подробно рассказывал, как взломать онлайн-банк) начал изучать сайты грузинских правительственных организаций и СМИ - искать дыры в защите, через которые можно их атаковать. Вскоре было взломано несколько сайтов грузинских СМИ и госучреждений; атаки продолжались все время, что шел конфликт, - и происходили после него.
По словам нескольких русскоязычных хакеров, именно события в Грузии стали катализатором того, что российские спецслужбы начали сотрудничать с патриотически настроенными хакерами, обратив внимание на их действия во время конфликта. С тех пор их привлекают к работе регулярно - иногда добровольно, иногда принудительно: под угрозой уголовных дел.
Как рассказывает один из собеседников «Медузы», в спецслужбах предпочитают не держать в штате много технических специалистов, а курировать внештатных сотрудников - их находят через уголовные дела о взломах и кардинге или нанимают на подпольных профильных форумах. Другой хакер говорит, что в Минобороны и ФСБ «существует распространенная схема по привлечению нелегальных хакеров, их поощрению, созданию для них условий для работы, чтобы через них получать нужную информацию». Как рассказывает собеседник «Медузы», спецслужбы даже часто прячут хакеров на конспиративных квартирах - чтобы их не поймали расследующие киберпреступления полицейские из отдела «К» МВД.
Бывший глава отдела расследований «Лаборатории Касперского» Руслан Стоянов, много сотрудничавший по работе с ФСБ, открыто предупреждал, что такое сотрудничество опасно. «Существует огромный соблазн для „людей, принимающих решения“ воспользоваться готовыми решениями российской киберпреступности в целях влияния на геополитику, - писал Стоянов, который с января 2017 года находится в СИЗО „Лефортово“ по обвинению в госизмене, в своем открытом письме. - Самый ужасный сценарий - дать киберпреступникам иммунитет от возмездия за кражу денег в других странах в обмен на разведданные. Если это произойдет, появится целый слой „воров-патриотов“. Полулегальные „патриот-группы“ могут гораздо более открыто вкладывать ворованные капиталы в создание более современных троянских программ, а Россия получит самое продвинутое кибероружие».
На деле, услугами таких «патриот-групп» в спецслужбах пользуются уже не меньше десяти лет.
Замолчал в горах бандитский автомат
В августе и сентябре 1999 года в Москве и Волгодонске взорвали несколько жилых домов; погибли 307 человек, около 1700 пострадали (взрывчатку закладывали в подвалы домов). В случившемся обвинили чеченских террористов - в том же августе 1999-го отряды боевиков под руководством Шамиля Басаева начали боевые действия на территории Дагестана, чтобы освободить регион «от оккупации неверными».
Вскоре российские войска блокировали границы Чечни, а 30 сентября - через неделю после того, как президент Борис Ельцин подписал указ о проведении «контртеррористической операции» (КТО), - вошли на территорию республики. «Операция», которую на официальном уровне так и не назвали войной, продолжалась следующие десять лет: формально режим КТО был отменен только в апреле 2009 года.
Вторая чеченская оказалась первым конфликтом, в котором российские хакеры встали на сторону государства и фактически воевали с противником. Пока после взрывов в жилых домах в большинстве российских городов люди дежурили у своих подъездов, высматривая подозрительных незнакомцев у подвалов, несколько человек решили бороться с врагом активно - не покидая собственных домов.
Несколько студентов Томского политехнического университета организовали «Сибирскую сетевую бригаду». Она проводила DDoS-атаки на сайты чеченских боевиков, где они публиковали свои новости и интервью, - причем киберактивисты начали действовать еще до того, как конфликт перешел в активную фазу. 1 августа 1999 года на главной странице сайта kavkaz.org они разместили рисунок - на нем был изображен поэт Михаил Лермонтов в камуфляже и с автоматом Калашникова. «Здесь был Миша, - сообщала подпись в цветах российского флага. - Этот сайт террористов и убийц был закрыт по многочисленным просьбам россиян».
Участники «Бригады» также посылали письма в американские хостинг-компании с требованием больше не предоставлять свои услуги террористам. 17 ноября 2001 года лидер организации отправил в американские СМИ и Госдепартамент США очередное обращение. «События, произошедшие в вашей стране 11 сентября 2001 года, сблизили позиции наших государств в вопросах борьбы с международным терроризмом, - сообщал он. - Компания XO Communications, Inc. предоставляет услуги хостинга информационному агентству „Кавказ-центр“, принадлежащему лицам, признанным международными террористами, в том числе и в вашей стране. Данный сайт используется не только для размещения материалов, дискредитирующих усилия мирового сообщества по борьбе с международным терроризмом, но и для вербовки новых боевиков и сбора денежных средств для террористов». Через месяц ресурсу отказали в хостинге, и «Кавказ-центр» переехал на серверы в Грузию (не в последний раз: после этого сайту приходилось переезжать в Эстонию, Латвию и Финляндию; где он расположен сейчас, неизвестно - сервис защиты от DDoS-атак Cloudflare скрывает за своей инфраструктурой настоящие адреса серверов компаний).
В 2002 году хакеры-патриоты из «Бригады» снова взломали сайт «Кавказ-центра», оставив на его главной странице сообщение. «Мы вырвали жало из вонючей пасти „Гавгав-центра“, и над логовом чеченских террористов повисла тишина. Захлебнулся лаем удугов. Замолчал в горах бандитский автомат. Не отправил чеченским наемникам деньги хитрый араб. Загрустил злой талиб в Афгане. Если завтра эту пасть заткнете вы, мир станет еще спокойнее и еще безопаснее».
Участники «Бригады» открыто призывали коллег также атаковать ресурсы боевиков: «Награда лучшим - восхищение братьев по online-цеху и счастливое, залитое солнцем завтра». Через пару месяцев русскоязычные хакеры начали массово распространять вирус Masyanya, названный в честь популярного в тот момент интернет-мультфильма, - он был безвреден для пользователей, но по его команде зараженный компьютер становился участником DDoS-атаки на «Кавказ-центр».
Руководитель «Кавказ-центра» Мовлади Удугов был уверен, что за действиями хакеров стоит ФСБ. В томском ФСБ публично говорили, что «Сибирская сетевая бригада» не нарушает российское законодательство, а действия ее участников «являются выражением их гражданской позиции, которая достойна уважения», - несмотря на то, что в тот момент уже существовала 272-я статья Уголовного кодекса о неправомерном доступе к компьютерной информации (расследованиями таких дел тогда занималось новое управление министерства внутренних дел).
Еще через несколько месяцев, 23 октября 2002 года, когда чеченские боевики захватили московский театральный центр, где показывали мюзикл «Норд-ост», их сайты снова были атакованы. Вскоре, впрочем, «Сибирская сетевая бригада» перестала проводить свои акции; чем ее участники занимались в последующие годы, неизвестно.
«Гражданский антитеррор»
В 2005 году в истории хакеров-патриотов началась новая эпоха - именно тогда на профильных форумах стали появляться призывы объединиться, чтобы атаковать экстремистские ресурсы.
Активнее других призывал участвовать в этих проектах человек под ником Petr Severa, на тот момент - один из самых известных русскоязычных хакеров и спамеров. Под этим именем скрывался Петр Левашов из Петербурга - человек, который в 2000-х создал один из крупнейших мировых ботнетов Kelihos, состоявший из 100 тысяч зараженных компьютеров. В США Левашова называли «королем спама».
Несколько знакомых Левашова сказали, что он одним из первых среди российских хакеров начал сотрудничать со спецслужбами. Свои навыки он позже использовал в политических целях - его ботнет обвиняли в том, что в 2012 году, во время президентской кампании в России, он рассылал письма, рассказывающие о гомосексуальности кандидата в президенты Михаила Прохорова. В них размещались ссылки на материал с приписанной политику цитатой «Всем знающим меня давно понятно, что я - педик». Также Левашов заявлял, что с 2007 года «работал на „Единую Россию“, собирал различную информацию про оппозиционные партии и занимался доведением этой информации до нужных людей в нужное время».
1 апреля 2013 года Severa выложил на хакерском форуме, видимо, шуточный пост, приуроченный к Дню дурака. В нем рассказывал о том, что при Центре информационной безопасности ФСБ будет создан новый отдел для противодействия кибервойскам США и других стран. «Мне поручено не только возглавить, но и создать основной [кадровый] состав, - писал Левашов. - Наличие высшего технического образования является плюсом, но не будет обязательным, гораздо важнее то, что вы реально умеете. Наличие законченной военной кафедры или пройденной срочной службы в Вооруженных силах РФ также является плюсом. Родина вырастила нас, дала нам всем образование, теперь пришло и наше время послужить России».
Знакомый хакера рассказал «Медузе», что Petr Severa предлагал своим знакомым послужить России, помогая государству в интернете, еще с середины 2000-х. Сначала он призывал атаковать сайты чеченских террористов, потом российской оппозиции. Они занимались этим бесплатно. Об этом же писали журналисты Андрей Солдатов и Ирина Бороган, много расследовавшие деятельность российских спецслужб.
Призывал Левашов вступать и в «Гражданский антитеррор» - сообщество, которое весной 2005 года создали некоторые хакеры-патриоты. Они опубликовали манифест, провозгласив, что самое важное оружие в XXI веке - это информация. «Наша цель - перекрыть доступ к информационным ресурсам, размещавшим искаженную информацию о терроризме и террористах, пропагандирующим правильность их действий, на чем бы она ни основывалась», - заявляли хакеры. Действовали они теми же методами, что и предшественники, - с помощью DDoS-атак.
Через месяц появился другой похожий проект - Internet Underground Community vs. Terrorism. Его сайт был оформлен в черно-синих тонах; на логотипе было изображено противостояния хакера и человека в мусульманском платке. Создатели проекта указывали, что ищут в «сплоченную команду», собранную по всей России и СНГ, специалистов по DDoS, и отрицали связь с российскими властями и спецслужбами, заявляя, что сами являются людьми, находящимися «по ту сторону закона». В разделе «Программы» они выложили обеспечение для DDoS-атак; там же велась таблица, в которой указывались успешные акции организации.
После нападения боевиков на Нальчик в октябре 2005 года хакеры атаковали не только «Кавказ-центр», но и СМИ, которые, по их мнению, неправильно рассказывали о действиях террористов: «Эхо Москвы», «Новую газету», «Радио Свобода». Еще через месяц они сломали сайт Национал-большевистской партии (запрещена в России) Эдуарда Лимонова - на следующий день после этой атаки Верховный суд как раз ликвидировал межрегиональную общественную группу НБП. После этого DDoS-атаки на оппозиционные сайты и сайты акций протеста стали все более частыми. Весной 2007 года, когда эстонские власти решили перенести из центра Таллина памятник советским солдатам, погибшим во Второй мировой войне, хакеры-патриоты напали на эстонские государственные сайты.
Примерно тогда же петербургскому программисту Антону Москалю позвонили. Как рассказывал журналист Андрей Солдатов, звонивший представился сотрудником Национального антитеррористического комитета ФСБ. Он спросил, действительно ли Москаль владеет сайтом «Гражданский антитеррор». Сайт Москалю на деле не принадлежал - он только сделал его зеркало у себя в блоге. Сотрудник ФСБ «завел с программистом разговор о патриотизме и борьбе с сайтами террористов». Узнав, что позвонил не тому, он спросил, как связаться с хакерами, работающими над проектом.
Остановить Грузию
Летом 2008 года DDoS-атаки на грузинские правительственные сайты начались за две недели до начала войны - когда на границе Грузии и Южной Осетии начались постоянные перестрелки.
9 августа - на следующий день после того, как Россия ввела свои войска на территорию Грузии, - русскоязычные хакеры создали сайт Stopgeorgia.ru. Там были размещены советы, какие грузинские сайты атаковать, ссылки на необходимые программы, советы новичкам. На форуме сайта было около 30 постоянных участников - в основном хакеры, которые зарабатывали кардингом; призывы поучаствовать в проекте появлялись на форуме журнала «Хакер» и других площадках для общения программистов - exploit.in, zloy.org, web-hack.ru.
Создатели сайта представлялись «представителями русского хак-андеграунда». «Не потерпим провокации со стороны Грузии в любых ее проявлениях, - заявляли они в своем обращении. - Мы хотим жить в свободном мире, а существовать в свободном от агрессии и лжи Сетевом пространстве». Они обещали атаковать грузинские ресурсы «до тех пор, пока ситуация не изменится» и призывали помочь «всех, кому не безразлична ложь политических грузинских сайтов». На Stopgeorgia появился список «первоочередных целей» для атак - после этого перестали работать сайты грузинского президента, парламента, МВД, Минобороны.
Случались в те дни и кибератаки на российские ресурсы: нападали на РИА «Новости» и другие российские и осетинские СМИ; сайт Russia Today в результате DDoS-атаки не работал около часа. Кто-то создал сайт с фальшивыми новостями, выглядевший как осетинское информагентство.
Stopgeorgia продолжал действовать и после войны. Когда в декабре 2009 года грузинские власти демонтировали мемориал воинской славы в Кутаиси (на месте памятника советским солдатам собирались построить здание парламента), хакеры снова начали обрушивать грузинские государственные сайты. «Не потерпим уничтожения нашего исторического наследия и попыток столкнуть лбами народы бывшего СССР, - писали они в своем призыве на одном из хакерских форумов. - Мы выступаем за мир и дружбу наших народов и не допустим разжигания межнациональной розни между людьми, чья история навеки скреплена узами братства».
Позже исследователи выяснили, что Stopgeorgia.ru был зарегистрирован у хостера «Наунет», который отказывается выдавать данные о владельцах по запросу правоохранительных органов. Организация Spamhaus давно занесла эту компанию в черный список - за то, что она предоставляет площадку спамерам и киберпреступникам. Здание компании «Наунет» находится неподалеку от Белорусского вокзала в центре Москвы - хостер делит его с НИИ «Эталон», близким государству предприятием, которое занимается производством систем информационной безопасности. В 2015 году «Эталон» стал частью «Ростеха» - госкомпании, которая многие годы интересуется программами и оборудованием для проведения DDoS-атак.
Указанные при регистрации сайта Stopgeorgia.ru почта и телефон были неоднократно засвечены на форумах кардеров - они принадлежали некоему Андрею Угловатому, который продавал базы украденных кредитных карт, а также поддельные паспорта и водительские удостоверения (скорее всего, имя было вымышленным).
IP-адрес Stopgeorgia.ru принадлежал небольшой компании Steadyhost, находящейся на Хорошевском шоссе, 88, - в районе Москвы, где почти все здания связаны с ГРУ. В соседнем здании - в доме 86 - находится 6-й НИИ Минобороны, центр военно-технической информации и исследования военного потенциала зарубежных государств, ранее подчинявшийся ГРУ. Местные жители называют это четырехэтажное здание, построенное в 1930 году, «Пентагоном» - не из-за формы, но из-за секретности; сотрудников НИИ характеризовали как «самых информированных людей в ГРУ», а руководство института входит в Совет безопасности России.
Человек с ружьем
Леонид Стройков - он же R0id - атаковал грузинские сайты сам, без поддержки коллег и хакерских организаций. Сначала он начал ломать местные СМИ и поисковик. «Ни одно крупномасштабное событие не обходится без участия СМИ, они активно используют интернет для передачи своего видения происходящего, публикуют исключительно то, что хотят, или то, что подсказали», - объяснял хакер позже. Потом он обратил внимание на государственные ресурсы. Вскоре на главной странице грузинского парламента появились фотографии грузинского президента Михаила Саакашвили, на которых он сравнивался с Гитлером. «И кончит он так же… - гласила подпись. - Hacked by South Ossetia Hack Crew».
Источник