После странных взломов почты американских политиков русская киберугроза остается одной из главных мировых тем. Но существует ли она на самом деле или это очередная постправда?
Глиникский мост, перекинутый через тихую реку Хафель, запомнился в XX веке как один из главных символов холодной войны. «Шпионский мост», на котором меняли Гэри Пауэрса на Рудольфа Абеля, стал героем многих фильмов и книг, у него есть даже фанатский сайт, который ведет немец Томас Блис. Сейчас он трудится в пресс-службе одной из берлинских аудиторских компаний, а в 1995 году, работая журналистом, так увлекся историей «шпионского моста», что написал о нем большую историческую книгу.
Возможно, героев крупнейшего в современной истории хакерского скандала, который продолжает сотрясать отношения США и РФ и отрасль IT-безопасности по обе стороны океана, тоже ждет свой шпионский мост – в марте американский Минюст потребовал выдать арестованного в России за государственную измену сотрудника ФСБ Дмитрия Докучаева, причем в США его обвиняют во взломе серверов Yahoo!. Источники GQ говорят, что шансы на возможный обмен русских фээсбэшников, которые могли быть завербованы, есть. Вероятно, об этом тоже кто-то напишет книгу или снимет фильм. Пока же скандал со взломом серверов демпартии США и вроде не связанные с ним странные аресты в ФСБ вернули всемирную актуальность образу русского хакера – всесильного и неуловимого. Журнал New Yorker рисует на него карикатуры, в России отмахиваются от обвинений во «взломе» американской политики, а однозначного ответа на вопрос, существует ли в самом деле та российская киберугроза или это выгодный многим миф, пока не слышно.
ВРУБЛЕВСКИЙ
Обвинения в адрес России по поводу ее вмешательства в американские выборы, прозвучавшие летом 2016 года, выглядели одновременно мощно и неправдоподобно. Хакерские группировки Cozy Bear и Fancy Bear, укомплектованные чуть ли не сотрудниками Минобороны РФ, странные следы, ведущие к Москве, – во всем этом многоголосии выделялись подробные доклады компании CrowdStrike, основанной перебравшимся в 1990-е из России в США Дмитрием Альперовичем. Он первым и пустил американские медиа и официальных лиц по следу русских хакеров, когда с серверов демпартии США в разгар выборов утекли важные документы. Во многом из-за этого, как утверждали демократы, Хиллари Клинтон проиграла выборы Дональду Трампу, которого оппоненты не перестают обвинять в связях с Россией. Дмитрий Альперович в своих докладах был убедителен, называя виды вирусов, серверы и указывая на их связь с Россией. «В докладе очень четко атрибутированы атаки. Понятно, что они велись из ведомства в России, но указать конкретный департамент, увы, пока не удалось», – говорит главред сайта Agentura.ru и эксперт по спецслужбам Андрей Солдатов. Тогда еще никто не подозревал, что в Москве тихо живет человек, который через несколько месяцев перевернет этот скандал с ног на голову. Во всяком случае, сам он так утверждает.
В конце декабря 2016 года основатель платежной системы ChronoPay Павел Врублевский лежал на диване, уставившись в смартфон. Пришедшее сообщение заставило его подскочить. Тихо матерясь, чтобы не разбудить жену Веру и троих детей, он вгляделся в экран внимательнее. Знакомый писал, что буквально на днях прямо с рабочего совещания в наручниках увели главу второго оперативного управления Центра информационной безопасности (ЦИБ) ФСБ Сергея Михайлова, следом был задержан сотрудник «Лаборатории Касперского» Руслан Стоянов. Позже, в январе 2017‑го, газеты напишут, что под арестом оказался еще один сотрудник ЦИБ, Дмитрий Докучаев, в прошлом хакер, известный под ником Forb. Формально аресты никак не связаны с тем, что произошло в США, но чистка в ЦИБ выглядела очень странно. Все арестованные проходят по одному делу о государственной измене, а следовательно – работе на зарубежные спецслужбы. По одной из версий, именно Михайлов с товарищами несколько лет сливали ЦРУ данные о российских хакерах, которых задерживали по всему миру, хотя Андрей Солдатов и находит ее странной: «Выходит, что информация о хакерах для России стратегически важная и ее распространение подрывает нацбезопасность?»
Следующим утром Павел Врублевский лихорадочно наводил справки о случившемся у компетентных друзей, благо таких за беспокойную карьеру накопилось немало. Его взволнованность можно было понять: Михайлов, ФСБ, государственная измена – мощный привет из прошлого. В этом прошлом силами ЦИБ ФСБ и конкретно Михайлова Врублевский отправился в колонию на два с половиной года за организацию DDoS-атак на компанию-конкурента: по версии следствия, в 2010 году он, бодаясь с соперниками Assist за право обработки онлайн-платежей «Аэрофлота», обвалил сервис (в итоге, правда, авиаперевозчик ушел не в ChronoPay, а к Альфа-Банку).
Защищаясь, Врублевский обвинял сотрудников ЦИБ не в коррупции или пытках, как это бывает, а, по сути, в той же государственной измене. И именно в том, что тихий любитель серых недорогих костюмов, Михайлов уже не первый год сливал, и, скорее всего, в США, материалы не только его уголовного дела, но и досье на многих других россиян, обвиненных в киберпреступлениях.
Возможно, спустя семь лет материалам, собранным Врублевским, дали ход, хотя эксперт Солдатов и считает, что в отсутствие любой информации по делу чекистов основатель ChronoPay просто повышает свою медийность. Но меньше всего Павел, отчетливо помнящий, как выглядят СИЗО «Лефортово» и колония в Рязанской области и что такое навязчивое внимание чекистов, хочет снова погружаться в такие воспоминания.
Человек, своими разоблачениями семилетней давности сегодня фактически занявший центральное место в публикациях о шпионско-хакерском скандале, много курит, носит синие костюмы и обладает харизмой героя тарантиновского кино и адвоката Сола Гудмана. После выхода из тюрьмы Павел Врублевский вынужден был съехать из башни «Федерация» в более скромный офис у метро «Спортивная». Как напоминание о былых успехах в новых переговорных висят благодарственные грамоты от МТС, в кабинете самого Врублевского – фото с бывшим вице-премьером Сергеем Ивановым.
После того как стало ясно, что это именно Врублевский семь лет назад разоблачил Михайлова и его коллег, в западной прессе он нарасхват. Он энергично редактирует очередное свое интервью американской газете, выбегая курить в подсобку каждые пять минут, и параллельно рассказывает мне, почему считает понятие «русская киберугроза» международной профанацией. Врублевский шумно затягивается, активно использует обращение «бро», цитирует создателя VISA Ди Хока и не особенно подбирает выражения, так что я заранее представляю, как будет пунцоветь расшифровщица, слушая диктофонную запись нашего интервью. «Хакеров в России нет – вот тебе тема для статьи. Все эти рассказы о русских кибервойсках – полная [чушь]. Умножь десять тысяч [глупых людей] на ноль, все равно на выходе получишь ноль. Для каждой задачи каждый раз нужен новый инструмент, кто это будет делать вообще?» – рассуждает Павел. Он готов назвать тех, кто сформировал миф о всемогущих русских хакерах, поименно: Сергей Михайлов, передавший, только по его подсчетам, данные на сто россиян американцам, журналист Брайан Кребс и владельцы частных компаний, занимающихся кибербезопасностью. «Ведь их бизнес – создавать хайп. Вот и досоздавались», – веселится он.
Но обо всех по порядку. «Михайлов с коллегами, передавая все эти годы информацию американцам, сформировали тот образ, которым сейчас пользуются СМИ и политики, рассказывая о том, что русские сломали американские выборы, сервера американской демпартии и так далее», – говорит Врублевский. Собственно, благодаря журналисту Брайану Кребсу Врублевский понял, что данные о русских киберпреступниках утекают налево.
Бывший журналист Washington Post давно и подробно пишет о российских хакерах. Павел Врублевский стал героем не одной его публикации, а впоследствии и книги под названием Spam Nation. Кребс сделал многое для укрепления репутации Врублевского как одного из главных российских киберпреступников, и Павел этого явно не забыл. Впрочем, говорить, что без Кребса его репутация была бы безупречной, тоже нельзя. Ему приписывают и участие в незаконном фармакологическом онлайн-бизнесе, и владение крупнейшим форумом для порно-веб-мастеров Crutop, и отмывание денег. Врублевский в ответ улыбается: «Меня ни в одном из этих бизнесов нет. Но смотри: вот трое бьют ногами человека, а четвертый дурак не бьет, но стоит рядом и подбадривает. Вот этих троих посадят за избиение, а четвертый дурак либо отделается минимальным наказанием, либо какой-то мягкой статьей за то, что рядом был. Вот я этот дурак. Только не дурак». Подпольный предприниматель, занимающийся ботами для кардинга, с которым пообщался GQ, подтверждает, но с оговорками: «Он умный парень, но все-таки думать о своей безопасности надо капельку больше. Товарищи по деятельности говорят, что схемы у Врублевского были гениальными в свое время, но подсмотренными у других». Иными словами, Врублевский, как и положено, чтит Уголовный кодекс. Даже говоря о своем уголовном деле, он указывает на то, как громко, публично и подробно разбирались все сфабрикованные документы и доказательства, наполнявшие его тома.
По книге Кребса же Врублевский – спамер и киберпреступник номер один. Хотя она и не документальная, а художественная (чтобы избежать исков), но Врублевский в ней считывается на раз. Десятки страниц его переписки каким-то образом оказались в руках у автора, который подробно показал общение Врублевского с предполагаемыми соучастниками DDoS-атаки на конкурирующую компанию и его роль в других дурнопахнущих аферах. Собственно, читая эту книгу, Врублевский и задался вопросом, как эти данные попали американцу в руки. Наведя справки, он понял, что одним из главных источников Кребса стал сотрудник ЦИБ Михайлов, да и сам журналист неоднократно на это намекал, хотя и говорил, что получил материалы через посредников. «Возникает резонный вопрос: какого [черта] сотрудник ФСБ сливает информацию об уголовных делах россиян американцу? Но тогда на это почему-то закрывали глаза, хотя я все рассказал службе собственной безопасности ФСБ. Видимо, решили подержать информацию, но передержали», – говорит Врублевский, которого следователи по делу о госизмене готовятся вызвать на допрос в качестве свидетеля. Кардер (похититель данных пластиковых карт), сталкивавшийся с ФСБ, говорит, что версия Врублевского выглядит правдоподобно. Вряд ли чекисты сотрудничали с американской разведкой именно для запуска медийной кампании в 2016 году, но многое для этого сделали. «Вполне вероятно, что уже потом это слили тем, кто сделал из этого национальную угрозу и медиабомбу, взрывные волны которой до сих пор огибают мир».
ХАКЕРЫ ЕСТЬ
Илья Сачков – полная противоположность Врублевского. И даже больше. Обаятельный бауманец и его компания по расследованию и предотвращению киберпреступлений Group-IB в рамках дела ChronoPay по заказу ФСБ делали экспертизу использовавшегося для DDoS-атаки софта. И ее результаты говорили не в пользу Врублевского. В Group-IB сегодня не комментируют ничего, что касается этой истории, но в 2014 году Сачков, отвечая на обвинения адвокатов Врублевского в заказном характере экспертизы, говорил журналу Forbes следующее: «Любой эксперт разобьет в пух и прах заказную криминалистику, и это будет конец бизнеса. Какой смысл ее делать? Я уверен, что Врублевский лично заказал DDoS». И при этом сходился во мнении с анонимным кардером: «Это по-своему гениальный человек, но он оказался на темной стороне». Сачков, на светских коктейлях одетый в безупречно сидящие костюмы, а в офисе на тихой Шарикоподшипниковской улице предпочитающий простые футболки, как раз из тех, кто небезосновательно верит, что русскоязычные хакеры – такая же мощная экспортная статья, как русский балет.
Только это не те хакеры, о которых в пространстве постправды сегодня рассуждают политики, а пресловутые кардеры, взломщики банкоматов, онлайн-мошенники и прочие «по-своему гениальные, но оказавшиеся на темной стороне».
Русскоязычных хакеров команда Сачкова называет одной из главных угроз отечественным, а теперь западным и азиатским финансовым системам, а не политическим партиям. Русскоязычных – потому что речь идет как о России, так и о странах СНГ, в первую очередь об Украине. Сооснователь Group-IB Дмитрий Волков рассказывает, что по-прежнему лучшее вредоносное ПО, которым пользуются киберпреступники по всему миру, в основном написано теми, для кого русский – родной язык. «Я связываю это с тем, что в девяностые и нулевые Россия переживала бум интернета, а хороших специалистов в области IT в ней всегда было много. Еще драйвером послужила и открытость форумов, на которых выкладывали в общий доступ разные программы. Так за годы сформировался и рынок, как у золотоискателей: одни ищут золото, другие продают им инструменты, третьи занимаются их обслуживанием», – говорит Волков. Со временем, рассказывает он, российское хакерское сообщество успело срастись не только и не столько со спецслужбами, сколько с представителями «классической» организованной преступности: «Это и обналичка, и вывод денег за рубеж, и многое другое. Все по-рыночному: аутсорс, делегирование».
В июле 2016 года видеокамеры, установленные над 34 банкоматами First Bank на Тайване, записали следующую картину. Молодые люди в масках, озираясь, подходили к банкоматам, доставали мобильные телефоны и куда-то звонили. Спустя мгновение банкоматы начинали выдавать хранившиеся в них купюры. Ни взломов, ни скиммеров. Так First Bank лишился более двух миллионов долларов. В августе похожую картину фиксировали камеры, установленные над банкоматами Government Savings Bank в Таиланде. Если вы смотрели фильмы про хакеров, то забудьте: взломанный банкомат не начинает хаотично выплевывать банкноты, устраивая на улице бумажный листопад. Купюры одного достоинства уложены в машинку брикетами и систематизированы, так что опустошение банкомата – дело небыстрое. И люди из укомплектованной россиянами группировки Cobalt, а в Group-IB считают, что она и стоит за обеими атаками, это прекрасно знали.
Доступ, например, к системам First Bank они получили через взлом его филиала в Великобритании, а после дело дошло до сотрудничества с оргпреступностью. Вообще-то опустошить несколько десятков банкоматов в один присест – сложная логистическая задача. Нужен человек, который будет контролировать процесс, глядя на данные по каждому банкомату (сколько в нем купюр и какого достоинства, какие у них номера и т. д.), бригадир и мулы – те, кто будет забирать наличность.
В Group-IB считают, что группировка Cobalt – это осколки другой русскоязычной суперуспешной команды хакеров, Buhtrap. Раньше они атаковали исключительно юридические лица, но переключились на физические. С конца лета 2015 года по февраль 2016-го хакерам удалось совершить 13 успешных атак на российские банки. Они похитили в общей сложности 1,8 млрд рублей.
Утверждение Врублевского о том, что «хакеров в России нет» уже не кажется таким уж неопровержимым. Другой сотрудник Group-IB, Дмитрий Русаков, предлагает такую оговорку: «Русские хакеры есть, но заняты немного другими вещами, которые приносят более очевидный доход, а не политическими взломами». Русаков знает, о чем говорит. Вместе с оперативниками МВД ему приходилось выезжать на задержания киберпреступников, которых вела Group-IB. Например, Дмитрия Федотова – жителя Тольятти, который не зарабатывал непосредственно взломами. Федотову удалось прилично заработать на продаже и обслуживании эксплойтов – программ, использующих уязвимости в системах безопасности.
Прилично настолько, что талантливый программист, переметнувшийся на темную сторону, стал единственным в Тольятти обладателем белого Porsche Cayenne, который в итоге и сослужил ему дурную службу. «Во время задержания все нужно было делать четко: нам нужен был доступ к компьютерам у него дома, но мы знали, что другое важное нам оборудование он хранит в автомобиле. Естественно, когда оперативники ворвались к нему домой и стали спрашивать, где автомобиль, он ответил: «Ищите сами», – вспоминает Русаков. Делать было нечего: расследователи вышли на улицу и стали приставать к прохожим с одним вопросом: «Белый «порш» не видели?» Уже спустя полчаса они с полицейскими копались в багажнике вскрытой городской достопримечательности. «Это та реальность, с которой мы имеем дело, а образ русских хакеров, ломающих американские выборы, скорее сформирован медиа», – считает Русаков.
СИМУЛЯКРЫ
«Я на Сачкова не злюсь и не обижаюсь, это его бизнес. Просто когда ты в такой бизнес приходишь, ты не можешь не связываться со спецслужбами. И тебя начинают использовать», – говорит Врублевский, пока мы на его белом Land Cruiser продираемся сквозь московские пробки. Да, да, а потом оказывается, что работал ты не с сотрудником ФСБ, а с американским шпионом. Но Сачков и Group-IB, во всяком случае, и не пытались выдавать русских хакеров за тех, кем они не являются. Просто, говорит Врублевский, сам рынок кибербезопасности слишком порочен, а сотрудничество со спецслужбами редко доводит до добра. Уж ему-то не знать.
Сегодня основатель ChronoPay может быть доволен собой, даже может позлорадствовать (что и делает). «Если бы атаки вели русские, то они хотя бы попытались привязать их к какому-то другому государству. Я не утверждаю, но мне кажется, что они там сами наняли румынов и все сломали, уж не знаю, в рамках каких интриг. Но силами разных людей это выросло в большую репутационную проблему для России», – горячится Врублевский. Прошли годы, и теперь в неловком положении оказались те, кто пытался его уничтожить. «Бро, а нас же таких немало, нигилистов, которые троллят всю эту пропагандистскую машину: Ассанж, Ким Дотком. Просто есть отморозки, находящиеся в серой зоне, которые в итоге обламывают всех этих [врунов]», – человек, из-за которого хакерский скандал превращается в шпионский, притормаживает на светофоре.
В марте выяснилось, что многие сведения из скандалообразующего доклада Альперовича не подтвердились, поэтому его вызвали объясняться на закрытом заседании в американском Сенате (куда он не пошел), в ЦИБ ФСБ все еще идут проверки, а их коллеги из службы собственной безопасности выглядят довольно глупо, если выясняется, что больше семи лет у них под носом был шпион. Но даже если отбрасывать версию с вербовкой, Михайлов вел дела неаккуратно. Основатель сайта об IT-отрасли Roem.ru Юрий Синодов вспоминает, как Михайлов слал ему запросы, требуя раскрыть источники информации из статей. И они слабо соотносились с интересами ФСБ. «Из этого я сделал вывод о росте расхлябанности в ФСБ и подумал, что те, кто отвечает за эти обращения, слишком легкомысленно относятся к своей работе. И это для них должно кончиться чем-то нехорошим», – говорит Синодов. Врублевский о таком и не размышляет.
«Честно говоря, мне уже [все равно]. Кислород нашей компании все равно крепко перекрыли, выживаем как можем. Я просто надеюсь, что меня перестанут считать преступником за рубежом и можно будет тут все закрыть и поехать делать небольшой бизнес куда-то подальше», – в оконную щель белого Land Cruiser вылетает уже пятая за поездку сигарета, а где-то далеко вода продолжает течь под Глиникским мостом.
0
