Обычная многоэтажка на окраине Петербурга. Стихийная парковка во дворе, детская площадка под окнами. Сегодня здесь чуть более шумно, чем обычно, — железную дверь на пятом этаже режет болгаркой полицейский спецназ. В это же время по другую ее сторону братья-близнецы Дмитрий и Евгений Попелыши пытаются смыть в унитаз полмиллиона рублей наличными, флешки и сим-карты.
Меньше чем за два года братья-хакеры взломали несколько тысяч счетов клиентов российских банков и сняли 12,5 млн рублей. В их подчинении находились программисты, трафферы (распространители вредоносных программ, с помощью которых хакеры завладевали счетами), дропы — специалисты по обналичиванию краденых денег, прозвонщики, представлявшиеся сотрудниками банков.
На краденые деньги Попелыши купили несколько квартир, машины — Porsche Cayenne и BMW X5, яхты. Но руководить операциями предпочитали из квартиры на окраине Петербурга — такой же, как и любая другая в этом районе, если бы не мощная электромагнитная пушка, установленная здесь — для моментального уничтожения информации на жестких дисках на случай визита полиции. Такого, как сегодня.
Железная дверь наконец поддалась, и в квартиру ворвались спецназовцы. Вслед за ними вместе с оперативниками и следователями вошли еще два человека. Их имена и внешность засекречены, как у сотрудников спецслужб. Они специалисты компании Group-IB, пожалуй, самой известной команды борцов с киберпреступностью в стране. Их задача — собрать цифровые доказательства для уголовного преследования хакеров. Так, чтобы и электромагнитная пушка не помогла.
«Долгое время киберпреступники чувствовали себя в безопасности. Они получали незначительные сроки за гигантские кражи. Компьютерный преступник, хакер, не вызывал в обществе негативных эмоций, в отличие, например, от наркодилера. Сейчас ситуация меняется», — это цитата из блога сооснователя и генерального директора Group-IB Ильи Сачкова.
По итогам суда братья получили восемь лет заключения. Их дело — одно из тысячи, проведенных командой Сачкова за последние 16 лет. Полторы сотни дел завершились для киберпреступников тюрьмой.
Сооснователь Group-IB Илья Сачков
Московский офис Group-IB занимает четыре этажа бизнес-центра в Южнопортовом районе Москвы. На стеклянном столике в холле аккуратно разложены журналы, на обложках — Илья Сачков. Рядом черные папки с логотипом, напоминающим эмблему «Людей в черном». Это для потенциальных клиентов — как правило, владельцев крупного бизнеса, людей из финансового сектора.
Защита международных банков и корпораций от киберпреступников — сегодня главный источник дохода Group-IB. При этом, когда хакеров нужно отправить за решетку, команда Сачкова плотно сотрудничает с российскими правоохранительными организациями, Интерполом и Европолом.
Мы идем по длинному коридору, мимо помещений, напоминающих одновременно и Центр управления полетами (большой экран на стене, ряды компьютеров перед ним), и комнату в студенческом общежитии: на стенах — плакаты с героями комиксов и рок-музыкантами, откуда-то доносится голос Дженис Джоплин.
Когда офис только открывался, Сачков лично участвовал в его оформлении — развешивал маски Гая Фокса, борца против режима из фильма «V — значит вендетта», а впоследствии — одного из самых популярных символов интернет-сопротивления; постеры с надписями Hole to Another Universe («Дыра в другую вселенную») и «Правилами успешных людей».
На одной из стен плакат «Полезные животные». На нем — милые, словно нарисованные для детей-дошкольников звери. Под каждым — подпись. Заяц: «Не забывай заботиться о себе». Ежик: «Ты мило выглядишь сегодня». Утенок: «Сопротивляйся темноте внутри себя и выйди победителем, укутавшись внутренними демонами, возродись снова».
— Это какой-то новый, недавно Илья повесил, — усмехается один из сотрудников компании, замечая, что я разглядываю плакат. Мы идем на встречу с Рустамом, специалистом департамента киберразведки.
На Рустаме обычные футболка и джинсы. Он выглядит немного застенчивым.
— За последние пять лет почти 98% известных нам киберпреступлений были финансово мотивированными. Главной целью кибератак были банки и их клиенты, — говорит Рустам. — Но сегодня тенденция меняется. Все чаще мы наблюдаем, как проправительственные хакерские группы из разных стран совершают кибератаки на другие государства. Их задача — шпионаж или саботаж.
Если забить в поисковик слова «Натанз» и «Иран», то первая ссылка приведет вас на TripAdvisor, сайт с советами для путешественников. Отзывы о ресторанах, музеях и отелях, тысячи фотографий — в основном живописные виды и снимки древних мечетей. Но Натанз интереснее, чем кажется на первый взгляд. В паре часов езды от города, глубоко под солончаковой пустыней, — завод по производству обогащенного урана. В огромном подземном цехе 5000 центрифуг с ураном вращаются со скоростью 1000 оборотов в секунду. Позже его используют, например, в боеголовках ядерных ракет. Территорию охраняют комплексы ПВО и вертолеты, вооруженная охрана и бронетехника, установлена сложная система паролей. Предприятие полностью изолировано от интернета.
Но когда в январе 2010-го один из сотрудников завода вставил в свой рабочий компьютер USB-флешку, все меры безопасности оказались бессмысленными.
Центр реагирования на инциденты информационной безопасности CERT Group-IB
Владелец флешки не подозревал, что на ней записан вирус Stuxnet. Программа проникла в систему, перехватила управление центрифугами с ураном и ускорила их вращение — до 1400 оборотов в секунду. Цех начал разрушаться. Иранцам удалось вернуть себе управление, но 1000 центрифуг были уничтожены.
За считаные минуты иранская ядерная программа была отброшена на пару лет назад. О том, что это была операция американской и израильской разведки под кодовым названием Olympic Games («Олимпийские игры»), мир узнал случайно — после взлома серверов хакерской группы Equation Group, которая считалась тесно связанной с АНБ (Агентство национальной безопасности США).
«Олимпийские игры» стали поворотным моментом в кибервойне, идущей между государствами. Медиа заговорили о хакерах как об оружии, о проправительственных хакерских группировках, работающих по наводке спецслужб, и об опасности, которую они могут представлять для всего мира.
В 2017 году эксперты Всемирного экономического форума назвали кибератаки, «достигшие беспрецедентных масштабов», одним из главных глобальных рисков после экологических и геополитических проблем. «Пока кибератакам отведено шестое место в десятке технологических рисков, — прокомментировал тогда заседание ВЭФ Илья Сачков. — Но не пройдет и пяти лет, как эта угроза может занять первую строчку». К 2019 году кибератаки вошли в пятерку.
Два года назад заседание ВЭФ прошло после атаки вируса-шифровальщика WannaCry, одной из самых масштабных хакерских атак в истории. За три дня программа атаковала 200 000 компьютеров в 150 странах мира, включая сети университетов в Китае, заводы Renault во Франции и Nissan — в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии.
Атака WannaCry едва не обернулась техногенной катастрофой, и обеспокоенность экспертов ВЭФ легко понять. Ущерб от вируса оценили в $1 млрд, а эксперты страхового рынка Lloyd’s of London посчитали, что мир легко отделался — потери могли достичь $121 млрд. Это было бы разрушительнее, чем шторм «Сэнди» в 2012 году (ущерб — $70 млрд) или ураган «Катрина» в 2005-м ($108 млрд).