Глава 34 Всемирный вымогатель

Офис «Лаборатории Касперского» находится на берегу Химкинского водохранилища, недалеко от станции метро «Водный стадион»: три больших новых здания компания приобрела в 2013 году за 350 миллионов долларов. За зданиями расположены два футбольных поля, несколько дорожек ведут к пляжу, по ним прогуливаются и обсуждают работу сотрудники компании. Летом неподалеку проходят соревнования по женскому волейболу, в обеденный перерыв многие берут кофе и идут на трибуны.

Когда 12 мая 2017 года по всему миру распространялся шифровальщик WannaCry, здания «Лаборатории» быстро опустели: на выезды к зараженным клиентам отправились даже те сотрудники, которые обычно сидят в офисах. По словам одного из сотрудников, с собой они обычно берут «специальные чемоданчики», в которых есть переходники на все разъемы, провода, «чистые» жесткие диски, энергетический батончик и банка с кофе.

Телефоны «Лаборатории» продолжали звонить, но сотрудников на всех не хватало. «Это было в пятницу, я говорил звонящим: „Давайте в субботу днем приедем" — они отвечали: „Нам все равно, главное — чтобы в понедельник все работало"», — вспоминает Сергей Голованов.

За следующие несколько дней WannaCry атаковал около 200 тысяч компьютеров: железнодорожного оператора Deutsche Bahn в Германии, автомобильные заводы Renault во Франции и Nissan в Японии, телекоммуникационную компанию Telefonica в Испании, государственные больницы в Великобритании. В России вирус атаковал телефонного оператора «Мегафон» — сотрудники не могли использовать внутреннюю систему компании. Также в России вирус зашифровал компьютеры некоторых отделений полиции — из-за этого там не могли выдавать водительские удостоверения.

В связке со своим вирусом-шифровальщиком создатели WannaCry использовали для атаки кибероружие EternalBlue, созданное американским АНБ. Именно эти эксплойты позволили так быстро и успешно распространить вирус. EternalBlue появился в открытом доступе 14 апреля 2016 года — его выложили хакеры из группы Shadow Brokers. Тогда они уверяли [298], что смогли получить разработку того же подразделения американских спецслужб, которое разработало Stuxnet. Президент Microsoft (программа использует именно уязвимости в Windows) сравнил [299] случившееся с потенциальной кражей крылатых ракет «Томагавк».

Через месяц после WannaCry — в июне 2017 года — похожий на него вирус провел самую разрушительную и дорогостоящую кибератаку в истории.

NotPetya действовал очень просто. Вирус попадал в компьютер, работающий на Windows, скачивал из интернета программу и шифровал жесткий диск, блокируя к нему доступ. После этого компьютер показывал пользователю «синий экран смерти» с требованием выкупа: чтобы данные не были уничтожены, злоумышленники требовали перевести им 300 долларов в биткоинах. Вирус распространялся мгновенно: попав в один компьютер локальной сети, он быстро заражал все остальные.

Первыми жертвами вируса, который потом назвали NotPetya, стали украинские компании, но атака быстро поразила весь мир — от больницы в США до шоколадной фабрики в Тасмании, в России пострадали «Роснефть» и Evraz. «Вся экономика у нас транснациональная, и поэтому вирус из одних офисов перетек в другие, причем за несколько минут», — объясняли в «Лаборатории Касперского». По данным журнала Wired, общий ущерб от вируса составил 10 миллиардов долларов.

В работе вируса NotPetya могла использоваться программа Mimikatz, написанная французским программистом Бенджаменом Делфи. Делфи вспоминал [300], что в 2013 году он выступал с презентацией программы на конференции по компьютерной безопасности в Москве и однажды, когда вернулся в свой отель, обнаружил в своем номере мужчину в черной одежде, стоявшего у включенного ноутбука француза. Мужчина пытался войти в систему; увидев хозяина комнаты, он пробормотал, что перепутал комнату и что, видимо, ключ от его номера случайно подошел к номеру Делфи, — и ушел.

Спецслужбы США и Великобритании заявляли [301], что за вирусом NotPetya стояли российские военные из ГРУ. Изначальной целью атаки, видимо, была финансовая система Украины.

Заместитель секретаря Совбеза РФ Олег Храмов говорил [302], что российская критическая инфраструктура никак не пострадала из-за WannaCry и NotPetya благодаря ГосСОПКА. Впрочем, специалисты уверены, что это не последняя атака.

«Это эхо, демоверсия будущей масштабной кибервойны, — указано в отчете [303] Group-IB о WannaCry. — Стало понятно, насколько уязвим современный мир перед цифровым оружием из арсенала спецслужб и киберармий, когда оно оказывается не в тех руках. К сожалению, вся история человечества показывает, что военные постоянно живут в ожидании новой войны: наличие внешнего врага позволяет раздувать бюджеты и получать звезды на погоны. Штука в том, что при современном развитии технологий любая война, в том числе и в киберпространстве, для человечества может оказаться последней».

***

Илья Сачков — один из немногих экспертов, согласившихся под собственным именем поговорить с мной о российских хакерах и их возможных связях с государством. Сачков создал компанию Group-IB. В начале октября 2016 года Сачков организовал в Москве конференцию, на которой присутствовали как представители Интерпола, так и сотрудники ФСБ и управления «К» МВД; после того как хакеры стали одной из главных тем для СМИ, Сачков стал постоянным героем глянцевых журналов и нанял себе охрану.

Офис Group-IB занимает несколько этажей в здании неподалеку от центра Москвы. В комнате расследователей стены завешаны символикой интернет-активистов Anonymous, в кабинете Сачкова на стене — благодарности за помощь от ФСБ и от МВД. Сачкову около тридцати, он закончил кафедру информационной безопасности МГТУ имени Баумана; по офису он ходит с блокнотом с наклейкой российского пропагандистского сайта Sputnik, на которой выведено: «Telling the Untold» («Рассказывая нерассказанное». — Прим. Авт.).

По его мнению, в мире «идет кибервойна» и государству «глупо не создавать киберкомандования и научные роты» (см. главу 25). Сачков рассказывает, что Минобороны, видимо, сталкивается и столкнется с проблемой поиска нужных специалистов: «безопасни-ков» нанимают и интернет-гиганты, и банки, и коммерческие расследователи киберпреступлений.

«После окончания холодной войны история шпионажа не закончилась, — рассуждает Сачков. — В России есть Служба внешней разведки, задача которой — добывать информацию. Ни для кого не секрет, что наиболее эффективный способ это сделать — это технологии».

Впрочем, Сачков надеется, что с хакерскими группировками российское государство не сотрудничает. По его мнению, хакеров можно контролировать, только если посадить их в комнату, наставить на них автоматы Калашникова или мотивировать их страхом: либо тюрьма, либо выполнение задач. Он уверен, что кибероружие в самое ближайшее время может выйти из-под контроля: удары будут нанесены не по сайтам или личной переписке, а по более серьезным объектам, например по критической инфраструктуре страны или по ее финансовой системе.

«Обычно [хакерские] группы, когда замечают, что их отследили, полностью меняют структуру [своих атак]. Fancy Bear совершили ряд резонансных взломов, но при этом несложно эти атаки увязать между собой: они действуют по одному алгоритму, — рассуждает Сачков. — Они [Fancy Bear] — либо идиоты, либо не боятся».

— То есть они уверены в собственной безнаказанности?

— Да.