Глава 21 Остановить Грузию

8 августа 2008 года хакер Леонид Стройков — в интернете он чаще всего подписывался как ROid — сидел дома, в своей хабаровской квартире, пил пиво и читал юмористический сайт «Башорг». В какой-то момент его внимание привлек экстренный выпуск новостей по телевизору: там сообщали, что грузинские войска начали обстреливать столицу Южной Осетии Цхинвали (Южная Осетия формально была частью Грузии, но у властей региона был давний вялотекущий конфликт с Тбилиси).

В ночь на 8 августа 2008 года Грузия начала обстреливать Цхинвали, столицу Южной Осетии. Перед артиллерийской атакой с обеих сторон происходили перестрелки в приграничных селах. Грузинские войска на день заняли город. Почти сразу же на российских телеканалах начали говорить о тысячах жертв и о «геноциде осетинского народа». После этого конфликт стремительно перерос в пятидневную войну между Грузией и Россией. Российские войска, подошедшие из Владикавказа, выбили грузинских солдат из Цхинвали. По данным Следственного комитета России, во время августовских событий 2008-го погибли 162 жителя Южной Осетии и 54 российских военных; со стороны Грузии, по некоторым данным, погибло до 397 человек (большинство — гражданские); тысячи грузин переехали в поселки беженцев.

Впечатлившись услышанным, опытный хакер Стройков (в 2006 году он, например, подробно рассказывал [125]. как взломать онлайн-банк) начал изучать сайты грузинских правительственных организаций и СМИ — искать дыры в защите, через которые можно их атаковать. Вскоре были взломаны несколько сайтов грузинских СМИ. Потом Стройков обратил внимание на государственные ресурсы. Вскоре на главной странице грузинского парламента появились фотографии грузинского президента Михаила Саакашвили, на которых он сравнивался с Гитлером. «И кончит он так же… — гласила подпись. — Hacked by South Ossetia Hack Crew».

«Ни одно крупномасштабное событие не обходится без участия СМИ, они активно используют интернет для передачи своего видения происходящего, публикуют исключительно то, что хотят, или то, что подсказали, — писал позже Стройков. — Абсолютно противоположные взгляды российских и западных  грузинских изданий побудили меня глубже вникнуть в ситуацию, со всеми вытекающими отсюда последствиями:)». О своей атаке на Грузию он подробно рассказал журналу «Хакер», сообщив, что «кибервойны стали неотъемлемой частью реальных кровопролитных событий».

Стройков был не единственным хакером, который «глубже вник в ситуацию». 9 августа — на следующий день после того, как Россия ввела свои войска на территорию Грузии, — появился сайт stopgeorgia.ru. Там были размещены [126] рекомендации о том, какие грузинские сайты атаковать, ссылки на необходимые программы и советы новичкам. На форуме сайта было около 30 постоянных участников — в основном хакеры, которые зарабатывали кардингом; призывы поучаствовать в проекте появлялись на форуме журнала «Хакер» и других площадках для общения хакеров — exploit.in, zloy.org, web-hack.ru.

Создатели сайта представлялись «представителями русского хак-андеграунда». «Не потерпим провокации со стороны Грузии в любых ее проявлениях, — заявляли [127] они в своем обращении. — Мы хотим жить в свободном мире, а существовать в свободном от агрессии и лжи Сетевом пространстве». Они обещали атаковать грузинские ресурсы «до тех пор, пока ситуация не изменится» и призывали помочь «всех, кому не безразлична ложь политических грузинских сайтов». На Stopgeorgia появился [128] список «первоочередных целей» для атак — после этого перестали работать сайты грузинского президента, парламента, МВД, Минобороны.

Случались [129] в те дни и кибератаки на российские ресурсы: нападали на РИА «Новости» и другие российские и осетинские СМИ; сайт Russia Today в результате DDoS-атаки не работал около часа. Кто-то создал сайт с фальшивыми новостями, выглядевший как осетинское информагентство.

На хакерских форумах атаки на Эстонию и Грузию в основном поддерживали: «респект „нашим людям"»)», «нужно ддоссить и де-фейсить эстонские сайты с пропагандой против России!», «Главный критерий — эффективность. Какая разница подло или нет? Тем более в военное время».

Stopgeorgia продолжал действовать и после войны. Когда в декабре 2009 года грузинские власти демонтировали мемориал воинской славы в Кутаиси (на месте памятника советским солдатам собирались построить здание парламента), хакеры снова начали обрушивать грузинские государственные сайты. «Не потерпим уничтожения нашего исторического наследия и попыток столкнуть лбами народы бывшего СССР — писали они в своем заявлении на одном из хакерских форумов. — Мы выступаем за мир и дружбу наших народов и не допустим разжигания межнациональной розни между людьми, чья история навеки скреплена узами братства».

Позже исследователи выяснили [130], что stopgeorgia.ru был зарегистрирован у хостера «Наунет», который отказывается выдавать данные о владельцах по запросу правоохранительных органов. Организация Spamhaus давно занесла эту компанию в черный список за то, что она предоставляет площадку спамерам и киберпреступникам. Здание компании «Наунет» находится неподалеку от Белорусского вокзала в центре Москвы: хостер делит его с НИИ «Эталон», близким государству предприятием, которое занимается производством систем информационной безопасности. В 2015 году «Эталон» стал частью «Ростеха» — госкомпании, где работает Василий Бровко, интересовавшийся программами и оборудованием для проведения DDoS-атак.

Указанные при регистрации сайта stopgeorgia.ru почта и телефон были неоднократно засвечены на форумах кардеров — они принадлежали некоему Андрею Угловатому, который продавал базы украденных кредитных карт, а также поддельные паспорта и водительские удостоверения (скорее всего, имя было вымышленным).

IP-адрес stopgeorgia.ru принадлежал небольшой компании Steadyhost, находящейся на Хорошевском шоссе, 88, — в районе Москвы, где почти все здания связаны с Главным разведывательным управлением Генштаба (ГРУ) ^{18}. В соседнем здании — в доме 86 — находится 6-й НИИ Минобороны, центр военно-технической информации и исследования военного потенциала зарубежных государств, ранее подчинявшийся ГРУ. Местные жители называют это четырехэтажное здание, построенное в 1930 году, «Пентагоном» — не из-за формы, но из-за секретности; сотрудников НИИ характеризовали [131] как «самых информированных людей в ГРУ», а руководство института входит [132] в Совет безопасности России.

По словам нескольких русскоязычных хакеров, именно во время и после событий в Грузии российские спецслужбы стали сотрудничать с хакерами системно. С тех пор их привлекают к работе регулярно — иногда добровольно, иногда принудительно: под угрозой уголовных дел.

Как рассказывает один из моих собеседников, в спецслужбах предпочитают не держать в штате много технических специалистов, а курировать внештатных сотрудников: их находят через уголовные дела о взломах и кардинге или нанимают на подпольных профильных форумах. Бывший глава отдела расследований «Лаборатории Касперского» Руслан Стоянов, много сотрудничавший по работе с ФСБ, открыто предупреждал, что такое сотрудничество опасно. «Существует огромный соблазн для „людей, принимающих решения" воспользоваться готовыми решениями российской киберпреступности в целях влияния на геополитику, — писал Стоянов, который с января 2017 года находится в СИЗО «Лефортово» по обвинению в госизмене, в своем открытом письме [133]. — Самый ужасный сценарий — дать киберпреступникам иммунитет от возмездия за кражу денег в других странах в обмен на разведданные. Если это произойдет, появится целый слой „воров-патриотов". Полулегальные „патриот-группы" могут гораздо более открыто вкладывать ворованные капиталы в создание более современных троянских программ, а Россия получит самое продвинутое кибероружие». На деле услугами таких «патриот-групп» в спецслужбах пользуются уже не меньше десяти лет.

Чем после грузинских событий занимался Леонид Стройков, неизвестно; судя по его нынешней странице во «ВКонтакте», Стройков любит камуфляжную одежду и ходит на охоту с ружьем. На мои вопросы он не ответил. В социальной сети у хакера 36 друзей, большинство из Хабаровска, где он по-прежнему живет. Исключение — Дмитрий Докучаев, сотрудник ФСБ, известный как хакер Forb. Докучаев был одним из первых хакеров, перешедших на постоянную работу в спецслужбы, а в 2016 году, возможно, курировал атаки на инфраструктуру Демократической партии США (подробнее о Докучаеве — в главе 31).