Как киберпреступность превратилась в одну из главных угроз XXI века

Обычная многоэтажка на окраине Петербурга. Стихийная парковка во дворе, детская площадка под окнами. Сегодня здесь чуть более шумно, чем обычно, — железную дверь на пятом этаже режет болгаркой полицейский спецназ. В это же время по другую ее сторону братья-близнецы Дмитрий и Евгений Попелыши пытаются смыть в унитаз полмиллиона рублей наличными, флешки и сим-карты.

Меньше чем за два года братья-хакеры взломали несколько тысяч счетов клиентов российских банков и сняли 12,5 млн рублей. В их подчинении находились программисты, трафферы (распространители вредоносных программ, с помощью которых хакеры завладевали счетами), дропы — специалисты по обналичиванию краденых денег, прозвонщики, представлявшиеся сотрудниками банков.

На краденые деньги Попелыши купили несколько квартир, машины — Porsche Cayenne и BMW X5, яхты. Но руководить операциями предпочитали из квартиры на окраине Петербурга — такой же, как и любая другая в этом районе, если бы не мощная электромагнитная пушка, установленная здесь — для моментального уничтожения информации на жестких дисках на случай визита полиции. Такого, как сегодня.

Железная дверь наконец поддалась, и в квартиру ворвались спецназовцы. Вслед за ними вместе с оперативниками и следователями вошли еще два человека. Их имена и внешность засекречены, как у сотрудников спецслужб. Они специалисты компании Group-IB, пожалуй, самой известной команды борцов с киберпреступностью в стране. Их задача — собрать цифровые доказательства для уголовного преследования хакеров. Так, чтобы и электромагнитная пушка не помогла.

«Долгое время киберпреступники чувствовали себя в безопасности. Они получали незначительные сроки за гигантские кражи. Компьютерный преступник, хакер, не вызывал в обществе негативных эмоций, в отличие, например, от наркодилера. Сейчас ситуация меняется», — это цитата из блога сооснователя и генерального директора Group-IB Ильи Сачкова.

По итогам суда братья получили восемь лет заключения. Их дело — одно из тысячи, проведенных командой Сачкова за последние 16 лет. Полторы сотни дел завершились для киберпреступников тюрьмой.

Московский офис Group-IB занимает четыре этажа бизнес-центра в Южнопортовом районе Москвы. На стеклянном столике в холле аккуратно разложены журналы, на обложках — Илья Сачков. Рядом черные папки с логотипом, напоминающим эмблему «Людей в черном». Это для потенциальных клиентов — как правило, владельцев крупного бизнеса, людей из финансового сектора.

Защита международных банков и корпораций от киберпреступников — сегодня главный источник дохода Group-IB. При этом, когда хакеров нужно отправить за решетку, команда Сачкова плотно сотрудничает с российскими правоохранительными организациями, Интерполом и Европолом.

Мы идем по длинному коридору, мимо помещений, напоминающих одновременно и Центр управления полетами (большой экран на стене, ряды компьютеров перед ним), и комнату в студенческом общежитии: на стенах — плакаты с героями комиксов и рок-музыкантами, откуда-то доносится голос Дженис Джоплин.

Когда офис только открывался, Сачков лично участвовал в его оформлении — развешивал маски Гая Фокса, борца против режима из фильма «V — значит вендетта», а впоследствии — одного из самых популярных символов интернет-сопротивления; постеры с надписями Hole to Another Universe («Дыра в другую вселенную») и «Правилами успешных людей».

На одной из стен плакат «Полезные животные». На нем — милые, словно нарисованные для детей-дошкольников звери. Под каждым — подпись. Заяц: «Не забывай заботиться о себе». Ежик: «Ты мило выглядишь сегодня». Утенок: «Сопротивляйся темноте внутри себя и выйди победителем, укутавшись внутренними демонами, возродись снова».

— Это какой-то новый, недавно Илья повесил, — усмехается один из сотрудников компании, замечая, что я разглядываю плакат. Мы идем на встречу с Рустамом, специалистом департамента киберразведки.

На Рустаме обычные футболка и джинсы. Он выглядит немного застенчивым.

— За последние пять лет почти 98% известных нам киберпреступлений были финансово мотивированными. Главной целью кибератак были банки и их клиенты, — говорит Рустам. — Но сегодня тенденция меняется. Все чаще мы наблюдаем, как проправительственные хакерские группы из разных стран совершают кибератаки на другие государства. Их задача — шпионаж или саботаж. 

Если забить в поисковик слова «Натанз» и «Иран», то первая ссылка приведет вас на TripAdvisor, сайт с советами для путешественников. Отзывы о ресторанах, музеях и оте­лях, тысячи фотографий — в основном живописные виды и снимки древних мечетей. Но Натанз интереснее, чем кажется на первый взгляд. В паре часов езды от города, глубоко под солончаковой пустыней, — завод по производству обогащенного урана. В огромном подземном цехе 5000 центрифуг с ураном вращаются со скоростью 1000 оборотов в секунду. Позже его используют, например, в боеголовках ядерных ракет. Территорию охраняют комплексы ПВО и вертолеты, вооруженная охрана и бронетехника, установлена сложная система паролей. Предприятие полностью изолировано от интернета.

Но когда в январе 2010-го один из сотрудников завода вставил в свой рабочий компьютер USB-флешку, все меры безопасности оказались бессмысленными.

Владелец флешки не подозревал, что на ней записан вирус Stuxnet. Программа проникла в систему, перехватила управление центрифугами с ураном и ускорила их вращение — до 1400 оборотов в секунду. Цех начал разрушаться. Иранцам удалось вернуть себе управление, но 1000 центрифуг были уничтожены.

За считаные минуты иранская ядерная программа была отброшена на пару лет назад. О том, что это была операция американской и израильской разведки под кодовым названием Olympic Games («Олимпийские игры»), мир узнал случайно — после взлома серверов хакерской группы Equation Group, которая считалась тесно связанной с АНБ (Агентство национальной безопасности США).

«Олимпийские игры» стали поворотным моментом в кибервойне, идущей между государствами. Медиа заговорили о хакерах как об оружии, о проправительственных хакерских группировках, работающих по наводке спецслужб, и об опасности, которую они могут представлять для всего мира.

В 2017 году эксперты Всемирного экономического форума назвали кибератаки, «достигшие беспрецедентных масштабов», одним из главных глобальных рисков после экологических и геополитических проблем. «Пока кибератакам отведено шестое место в десятке технологических рисков, — прокомментировал тогда заседание ВЭФ Илья Сачков. — Но не пройдет и пяти лет, как эта угроза может занять первую строчку». К 2019 году кибератаки вошли в пятерку.

Два года назад заседание ВЭФ прошло после атаки вируса-шифровальщика WannaCry, одной из самых масштабных хакерских атак в истории. За три дня программа атаковала 200 000 компьютеров в 150 странах мира, включая сети университетов в Китае, заводы Renault во Франции и Nissan — в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии.

Атака WannaCry едва не обернулась техногенной катастрофой, и обеспокоенность экспертов ВЭФ легко понять. Ущерб от вируса оценили в $1 млрд, а эксперты страхового рынка Lloyd’s of London посчитали, что мир легко отделался — потери могли достичь $121 млрд. Это было бы разрушительнее, чем шторм «Сэнди» в 2012 году (ущерб — $70 млрд) или ураган «Катрина» в 2005-м ($108 млрд).

Кто стоял за глобальной хакерской атакой — неизвестно, но ряд мировых экспертов, включая Group-IB, считают, что это дело рук северокорейской проправительственной группы Lazarus.

«Установить принадлежность той или иной страны к взлому не просто, — рассказывает Рустам. — Иногда разработчики программ по ошибке оставляют артефакты в коде, которые позволяют установить их родной язык. Иногда мы проводим так называемый частотный анализ — если атак было множество, смотрим, в какое время они были совершены и во сколько начинался рабочий день в той или иной стране. Данные позволяют сделать какой-то вывод».

Северокорейские хакеры из Laza­rus и до этого атаковали мировые финансовые центры, например, годом ранее — центробанки ряда стран мира, включая российский. Но с меньшим успехом.

«В 2016 году Lazarus атаковали финансовые учреждения Бангладеш, России, стран Южной Америки, Европы, — перечисляет Рустам. — Они целились в банки 30 государств. Нам удалось пройти по их следу, что было довольно сложно — они использовали трехслойную структуру, поэтапно заражая компьютеры в разных уголках мира».

Незадолго до появления Wanna­Cry группа хакеров The Shadow Brokers опубликовала архив файлов, принадлежащих АНБ. Согласно документам, АНБ проводили атаки на ряд крупных банков. Но не с целью хищения денег. Они хотели проследить финансовые потоки.

Помимо этих документов The Shadow Brokers опубликовали инструменты для взлома, которыми пользовались американские хакеры. Именно их использовали Lazarus в одной из самых разрушительных хакерских атак в истории.

На кожаном диване в лаборатории компьютерной криминалистики Group-IB — крупнейшей в Восточной Европе по числу раскрытых преступлений — сидит ее руководитель, 32-летний Валерий Баулин. В отличие от Сачкова, предпочитающего хорошие костюмы, Баулин не заморачивается внешним видом — на нем светлые джинсы, футболка, на руке простые спортивные часы.

В отделе Баулина работают 16 человек, в основном мужчины, средний возраст — 28 лет. Основные требования при приеме на работу, не считая профподготовки, — четкие моральные и этические принципы. «Бывших хакеров на работу не берем, какими бы талантливыми ни были. Искушения большие. Нужно иметь железную силу воли, чтобы отказаться от миллиона долларов, которые тебе могут пообещать преступники», — Валерий вспоминает о реальном предложении, поступившем одному из его подчиненных.

Чем компьютерная криминалистика отличается от обычной? Улики — цифровые. Специалисты устанавливают, как проводилась кибератака, какие инструменты использовали хакеры, как похищали и обналичивали деньги. В поисках улик приходится перелопачивать террабайты информации. Не так давно сотрудникам Group-IB пришлось разбирать данные с двух тысяч жестких дисков из банка, в котором шло финансовое расследование. Специалисты лаборатории регулярно выступают на судах в качестве экспертов. «Ни разу за всю историю суд не отклонил наши доводы», — с гордостью говорит Валерий.

«Сегодня вероятность стать жертвой компьютерного преступления выше, чем шанс пострадать от обычных преступников», — еще одна цитата из блога Сачкова. Валерий говорит, сегодня это тренд: миру известны случаи, когда преступники, занимавшиеся рэкетом или разбоем, переключаются на хакерские атаки. Для этого необязательно разбираться в IT — можно нанять команду специалистов и направлять их. 

Вечером 7 марта 2019 года Венесуэла начала погружаться во тьму. В целых районах страны возникли перебои с электричеством. За считаные дни без света оказалась и столица, Каракас. В городе и округе начались массовые грабежи, ситуацию усугубили возникшие проблемы с водоснабжением. В полной темноте люди с факелами грабили магазины.

В пятницу, 9 марта, министр информации Венесуэлы Хорхе Родригес сделал заявление: проблемы с электричеством возникли в результате кибератаки со стороны США на систему управления ГЭС «Гури». С ним не согласился Хуан Гуайдо, лидер оппозиции, обвинивший в возникших проблемах правительство.

«Мы не можем однозначно сказать, что произошло в Венесуэле, нам не передавали технические данные, — говорит Рустам, — но то, что такие атаки реальны, — факт. Правительства разных стран тестируют такие возможности, они интересны им, а следовательно, в эти области вливаются деньги. И миру известны случаи, когда такие атаки проводились».

В декабре 2015 года после атаки хакерской группы Black Energy остались без света 1,4 млн человек в Ивано-Франковской области Украины.

«Энергетический сектор сейчас — это тестовый полигон для взломщиков, — объясняет Рустам. — То, что мы видим сегодня, — только проверка возможностей. В будущем такие группы смогут оставлять без света и воды целые мегаполисы».

Когда взломщики начали работать на спецслужбы, сказать невозможно. Есть данные, указывающие, что хакеры действовали в интересах США еще во время американской операции в Югославии в 1999-м, выводя из строя инфраструктуру и затрудняя связь в регионе.

До 2017 года целью вирусов-шифровальщиков в основном были физические лица и небольшие компании. Затем все изменилось — шифровальщики начали атаковать крупные корпорации и стратегические объекты — аэропорты, метро. «Сегодня хакеры — это цифровое оружие», — повторяет Рустам.

Методы атак проправительственных группировок все изощреннее — действуя вместе со спецслужбами, они придумывают все более сложные ходы. Если разведку интересует конкретный человек — они могут установить за ним наружное наблюдение и определить круг новых знакомств. А затем написать от имени нового знакомого письмо. Человек его откроет, будучи уверенным, что знает получателя, и пройдет по указанным ссылкам. На его устройство проникнут шпионские программы, способные вести слежку, записывать аудио и видео, заражать другие компьютеры и управлять ими.

С Рустамом и Пав­лом Седаковым мы обсуждаем Китай. На сегодняшний день в этой стране одна из самых развитых систем видеонаблюдения с функцией распознавания лиц. На китайских серверах формируется база данных с подробным досье на каждого гражданина страны. «Насколько я помню, Китай сейчас пытается собрать всю информацию о своих жителях. В том числе у них особая контртеррористическая база, — рассуждает Рустам. — На сервере будут данные обо всех, включая военнослужащих и людей из госсектора. Страшно представить, что с этой информацией можно сделать, попади она не в те руки».

Мы вспоминаем приложение Get Contact, получившее вирусную по­пулярность в России прошлым летом. Забив в программу любой телефон, вы могли увидеть, как адресат записан в телефонных книжках десятков других людей. «Приложение сливало вашу адресную книгу в общую базу. Известны случаи, когда человек вводил имя своего знакомого — условно, Антона — и видел, что у кого-то он записан "Антон СВР" (СВР — Служба внешней разведки России). На этом примере я хочу показать, насколько печальны могут быть последствия слива для людей, например, работающих под прикрытием».

В одной из своих лекций Сачков говорит о развитии системы «умных» городов — когда разные функции, начиная от водоснабжения и электричества, заканчивая системой светофоров и вывозом мусора, будут контролироваться через интернет автоматизированными алгоритмами. Сложно представить, в какой хаос может погрузить этот город тщательно спланированная хакерская атака.

Что может защитить нас от возможной технологической катастрофы?

«Мы часто говорим владельцам компаний, что сотрудников необходимо обучать цифровой гигиене, — говорит Рустам, — в ближайшем будущем обучать детей компьютерной грамотности будет так же логично, как учить смотреть по сторонам, переходя дорогу. Когда против хакеров ничто не сработает — ни железо, ни специалисты, — последним, кто сможет предотвратить катастрофу, будет человек.»

Материал был впервые опубликован на сайте Esquire.ru.