18. Хакеры-патриоты
18. Хакеры-патриоты
К 2005 ГОДУ ГРУППЫ прокремлевски настроенных и антизападных активистов стали собираться на форумах некоторых сайтов. Один из таких форумов возник на сайте Informacia.ru. Активисты не имели отношения к государственным структурам, не были высококлассными специалистами в области компьютерных технологий, зато они хорошо ориентировались в Интернете. Раздраженные тем, что власти не могут подавить сайты боевиков, такие как «Кавказ-центр», активисты решили действовать сами. Они заплатили 500 долларов специалисту, который написал для них программу, способную запустить так называемую DDoS-атаку (Distributed Denial of Service — распределенная атака типа «отказ в обслуживании») против конкретного сайта — простой, но эффективный метод обрушить сайт, по крайней мере, временно, направив на него огромный поток запросов и сообщений.
В августе 2005-го группа зарегистрировала по адресу Anticenter.org сайт «Гражданский антитеррор», который призывал к борьбе с «экстремистскими и террористическими» веб-ресурсами. На главной странице на черном фоне в перекрестье мишени размещалось изображение мужчины, видимо, араба, в палестинском платке. «Главной целью нашего сообщества является полное уничтожение сайтов, пропагандирующих террор и насилие, искажающих факты и бесстыдно лгущих своему читателю». За этой декларацией следовал перечень из пяти сайтов чеченских сепаратистов. Кроме того, объявлялась война сайтам Национал-большевистской партии.
Anticenter.org гордо сообщал о 25 успешных кибератаках, многие из которых были направлены против чеченских интернет-ресурсов. К примеру, 5 декабря 2005 года на сайте появилось заявление: «Большую половину дня был недоступен сайт chechenpress.info. Значительно был затруднен доступ и к последнему “зеркалу” сайта». 2 декабря: «Закрыт сайт imam-tk.fastbb.ru». 1 декабря: «В результате действий хакеров “Гражданского антитеррора” большие проблемы возникли у Chechenpress.net. В последние часы наблюдаются сбои в работе последнего “зеркала” этого же вебсайта, Chechenpress.info, который подвергается атакам. По-прежнему призываем всех наших посетителей скачать программу для атак на последнее зеркало Chechenpress.info».
В 2006 году по непонятным причинам группа закрыла сайт, но прежде, чем он прекратил свое существование, Антон Москаль, либеральный программист из Санкт-Петербурга, скопировал его на собственном сайте на случай, если «Гражданский антитеррор» снесут.
28 мая 2007 года Москалю позвонил домой человек, который представился как «Станислав, член Национального антитеррористического комитета». Просьба, с которой он обратился к Москалю, была проста: он сказал, что разыскивает группу «Гражданский антитеррор» и хотел бы узнать у Москаля, как на нее выйти1.
В течение 20-минут программист пытался объяснить Станиславу, что не разделяет взгляды создателей сайта Anticenter.org и не имеет к нему никакого отношения, что он просто скопировал его. Станислав, видимо, не слишком поверив, оставил Москалю свой рабочий телефон, явно не теряя надежды на дальнейшие контакты. Он очевидно пытался привлечь Москаля к сотрудничеству в кибер-войне с сайтами террористов и экстремистов, но ничего не добившись, оставил телефон на случай, если Антон узнает что-нибудь еще о хакерах-патриотах. Как мы выяснили, Станислав действительно служит в НАК, и оставленным им номер является служебным телефоном одного из подразделений Национального антитеррористического комитета2.
ВО ВРЕМЯ ПЕРВОЙ и Второй войны в Чечне Кремль страшно раздражал тот факт, что чеченские сепаратисты могут свободно общаться с прессой и внешним миром через Интернет. Первым и самым влиятельным чеченским сайтом был Kavkaz.org3. Открыл его Мовлади Удугов, главный пропагандист чеченских сепаратистов еще со времен Первой чеченской войны. Вскоре сайт стал основной трибуной чеченских лидеров и эффективным пропагандистским средством.
Во время Первой чеченской войны российские и зарубежные журналисты преодолевали все кордоны и получали полную информацию «с другой стороны». Чеченские повстанцы приветствовали телевизионные и газетные репортажи, где показывалась уничтоженная российская техника и убитые солдаты российской армии. Удугов часто появлялся перед телекамерами и раздавал комментарии в прямом эфире.
Поражение в Первой войне Кремль, армия и спецслужбы объяснили неподготовленностью к войне «информационной». Когда в 1999 году началась Вторая чеченская война, российские военные делали все возможное, чтобы воспрепятствовать журналистам в получении информации со стороны сепаратистов.
В декабре 1999 года, когда российские войска штурмовали Грозный, несколько журналистов находились в городе. Среди них были Маша Эйсмонт, корреспондент агентства Reuters, и Андрей Бабицкий, журналист радио «Свобода». Их репортажи разозлили российские власти, и пресс-секретарь ФСБ Александр Зданович обвинил зарубежные разведывательные службы в фабрикации новостей с целью ослабления поддержки военных действий России4. Обоим журналистам угрожали, и оба были задержаны5.
Судя по всему, российские газеты и телеканалы усвоили урок: журналистам не стоит вести репортажи с чеченской стороны, потому что это может плохо кончиться. В результате сложилась ситуация, когда из-за отсутствия корреспондентов на месте СМИ были вынуждены черпать информацию непосредственно у боевиков — с сайта Kavkaz.org. К примеру, 7 мая 2000 года представители российских Вооруженных Сил опровергли сообщение боевиков о том, что ими сбит российский реактивный бомбардировщик Су-24. Когда же на сайте Kavkaz.org появилась фотография боевиков, позирующих на фоне сбитого самолета, армия была вынуждена признать, что информация чеченской стороны соответствовала действительности6.
Изначально адресованный в основном иностранцам, сайт Kavkaz.org появился на русском, английском и турецком языках. Новости, публикуемые на нем, интервью с чеченскими полевыми командирами, видеорепортажи, фотографии — все это заинтересовало СМИ во всем мире.
В мае 2000 года специализирующийся на Чечне эксперт Британского института освещения войны и мира Майкл Рэнделл сказал корреспонденту радио «Свобода», что, несмотря на склонность сайта Kavkaz.org к преувеличениям, публикуемая на нем информация, как правило, основывается на фактах. Он отметил, что сайт держит происходящее в Чечне в поле общественного внимания и публикует факты жестокого обращения федеральных сил с заключенными, попавшими в плен боевиками и мирными жителями.
31 августа 1999 года сайт Kavkaz.org впервые атаковали хакеры. Они разместили на главной странице портрет Лермонтова в форме десантника с автоматом Калашникова в руках и поместили сообщения вроде «Этот сайт был закрыт по многочисленным просьбам россиян», подписавшись «Сибирской сетевой бригадой»7.
Взлом сайта повторился в 2002 году, когда группа томских студентов предприняла DDoS-атаку на этот сетевой ресурс. Группа состояла из семи человек, возглавлял ее Дмитрий Александров, который в 1996 году был вынужден уехать из Чечни в Томск. Студенты заявили, что занимаются этим сайтом уже три года, совершая взломы и отсылая письма с предупреждениями хостинг-провайдерам в США и Канаду8. УФСБ по Томской области, судя по всему, было в курсе происходящего. В ответ на запрос журналистов оно выпустило пресс-релиз в защиту действий студентов, заявив, что атаки являются «выражением их гражданской позиции, которая достойна уважения»9.
НА МОМЕНТ, КОГДА томские студенты приступили к хакерским атакам, в распоряжении российских спецслужб были самые современные средства ведения кибер-войны. Если бы они пожелали присоединиться к атакам на чеченские сайты, они бы это сделали. Однако они предпочли остаться в стороне.
Наследником КГБ в области электронной разведки стало Федеральное агентство правительственной связи и информации (ФАПСИ), выросшее из 8-го и 16-го управлений КГБ, занимавшихся, соответственно, шифровкой/дешифровкой и радиоперехватом10.
Подобно Агентству национальной безопасности США, ФАПСИ отвечало за информационную безопасность и радиотехническую и электронную разведку. И хотя американское Агентство национальной безопасности превосходило ФАПСИ по уровню оснащенности, российское ведомство унаследовало от КГБ отличную математическую школу, ныне Институт криптографии, связи и информатики ФСБ, а также зарубежные центры радиошпионажа, в том числе две базы радиотехнической/электронной разведки — в бухте Камрань (Вьетнам) и в Лурдесе (Куба). Кроме того, в распоряжении ФАПСИ были мощности секретного третьего главка (официальное название — Главное управление радиоэлектронной разведки средств связи ГУРРСС), занимавшегося радиоперехватом и электронной разведкой за рубежом11. Мало кто за пределами агентства знал полное название Третьего управления и род его деятельности12.
Электронное оборудование ФАПСИ высоко оценивалось американскими специалистами: считалось, что российское агентство располагает как полномочиями, так и техническими возможностями для доступа к базам данных любых правительственных и частных информационных служб в России. Помимо этого ему приписывалась успешная добыча информации о зарубежных коммерческих предприятиях, в том числе и о конфиденциальных банковских транзакциях13.
С середины 1990-х ФАПСИ стало проявлять интерес к Интернету, во всяком случае к его российскому сегменту. В 1996 году на слушаниях в Госдуме заместитель генерального директора ФАПСИ генерал-полковник Владимир Маркоменко заявил, что «Интернет представляет угрозу национальной безопасности» и что ФАПСИ наделено полномочиями по мониторингу электронных и финансовых сделок, а также сделок с ценными бумагами, подразумевающими в том числе и доступ к частным интернет-ресурсам14. Основной заботой ФАПСИ была не чеченская пропаганда, а защита коммуникационных сетей от проникновения зарубежных разведслужб. Профессионалы, специализирующиеся на информационной безопасности, вовсе не стремились оказаться в передовом отряде бойцов, ведущих кибервойну с чеченцами15.
В 2003 году Третье управление ФАПСИ вошло в состав ФСБ. К этому времени стало понятно, что для борьбы с сайтами боевиков российским властям удобнее всего воспользоваться деятельностью хакеров, напрямую не связанных с государством. Первые лица государства публично выразили недовольство присутствием в сети таких сайтов; независимые хакеры намек поняли — и перешли к активным действиям, дав в то же время властям возможность дистанцироваться от их деятельности.
Вскоре хакеры-патриоты перестали ограничивать свои атаки только чеченскими сайтами. Они принялись взламывать сайты оппозиционных СМИ и политических партий. Под удар попали и оппозиционные организации, признанные экстремистскими, как Национал-большевистская партия, и легальные, как движение Гарри Каспарова, а также либеральные СМИ — газета «Коммерсант» и радио «Эхо Москвы».
По нашему мнению, некоторые группы пользовались покровительством скорее администрации президента, чем спецслужб. За последние десять лет Кремль приобрел большой опыт в организации молодежных движений, не исключено, что хакеры были в их числе. Кроме того, Кремль открыто проявлял интерес к разным формам активности в Интернете, в том числе и к мобилизации молодежи для участия в пропаганде.
В мае 2009-го открылась «Кремлевская школа блоггеров», где блоггеров должны были учить распространять пропаганду в сети. Ключевую роль в проекте играл политтехнолог Алексей Чадаев, помощник Глеба Павловского, который при президенте Путине по поручению Кремля контролировал множество пропагандистских интернет-проектов16. В «школе блоггеров» обучались 80 человек, приехавшие из разных регионов России, каждый из них руководил еще несколькими активистами. Выпускникам школы давались задания по организации информационных кампаний в Интернете с патриотически-охранительным уклоном (в сети доступны видеоклипы школы «Бархатные революции — предостережение» или «Кто начал Вторую мировую войну?»)17. Вскоре школа была закрыта, однако вместо нее появился новый проект — «Молодежный призыв в МСУ» (МСУ — органы местного самоуправления), в рамках которого есть направление работы с интернет-средами. Проект курирует «Молодая гвардия», молодежная организация «Единой России». Кроме того, инициатива пошла в регионы: в феврале 2010 года в Дагестане «Информационно-аналитический центр» Министерства по делам молодежи республики запустил дагестанскую школу блоггеров, которая достаточно активно функционирует.
Во всех этих случаях Кремлю не нужно было прибегать к ресурсам ФСБ для атак на неугодные государству сайты — достаточно было просто направить энергию растущего сообщества «хакеров-патриотов» в нужном направлении.
После нападения боевиков на Нальчик 13 октября 2005 года МИД выразил недовольство тем, что веб-сайт боевиков «Кавказцентр» (так к тому времени назывался Kavkaz.org) по-прежнему существует на шведском сервере. «К сожалению, — говорилось на официальном сайте МИДа, — никаких конкретных шагов по прекращению вещания “Кавказ-Центра” шведскими властями до сих пор предпринято не было»18. В тот же день российский сайт Mediaactivist.ru начал атаку не только на «Кавказ-Центр», но и на сайты радио «Эхо Москвы» и «Свобода». Война была официально объявлена под девизом «Заткнем рот “Кавказцентру” и пособникам террористов!» Акция напоминала спам-кампанию: на сайте Mediaactivist.ru был размещен список электронных адресов, которые хакерам-добровольцам предлагалось атаковать письмами19.
Однако протест быстро сошел на нет: атакованные СМИ написали письмо в хостинговую компанию, и сайт отрубили от сети за распространение спама.
16 октября 2005 года был запущен еще один сайт под названием Internet Underground Community vs. Terrorism [Сообщество интернет-подполья против терроризма] (www.peace4peace.com). Он сразу же начал DDoS-атаки на «Кавказ-Центр». В манифесте сайта говорилось: «Мы всего лишь участники хак-сообщества самых разных специальностей. Большинство из нас уже давно находится по ту сторону закона, но это не мешает нам быть патриотами, ратующими за мир во всем мире»20.
Усилия, предпринимавшиеся российской дипломатией и неформальными хакерами, отчасти достигли успеха. В мае 2006-го шведские власти закрыли сайт «Кавказ-Центр», после чего сайт переехал в Грузию, а в 2008 году — в Эстонию.
В АПРЕЛЕ 2007 ГОДА впервые подверглись атаке несколько сайтов зарубежных правительств. Эстония разозлила Кремль решением убрать памятник Воину-освободителю из центра Таллина. Массовую антиэстонскую кампанию начала российская пресса, а 27 апреля российские хакеры предприняли серию атак на сайты эстонского правительства, парламента, банков, министерств, газет и телерадиокомпаний. Большинство нападений были DDoS-атаками.
Их осуществляли как частные лица, применявшие разнообразные старомодные средства типа «пинг-флуд» (простая атака по типу «отказ в обслуживании», когда атакующий парализует компьютер жертвы пакетами эхо-запросов), так и дорогие арендованные ботнеты, обычно используемые для распространения спама. Россия отрицала какую бы то ни было причастность к этим акциям, однако эстонский министр иностранных дел Урмас Паэт обвинил Кремль в непосредственном участии в этих кибер-атаках, а затем Эстония запросила — и получила — помощь НАТО в противодействии этой новой форме агрессии21.
Никакой информации о том, кто именно стоял за этими атаками, до сих пор нет. Эстонии не удалось представить доказательства участия российских властей, и в сентябре 2007 года министр обороны Эстонии был вынужден признать, что у него нет подтверждений причастности к кибератакам российского правительства. «Конечно, сейчас я не могу утверждать, что кибер-атаками руководили из Кремля или российских государственных учреждений», — сказал Яак Аавиксоо в интервью эстонскому телеканалу Kanal 222. Между тем Рафал Рогожински, ведущий эксперт в этой области, утверждал, что во вредоносном трафике есть явные признаки поддержки со стороны государственных структур. Он обратил внимание на то обстоятельство, что масса взломанных компьютеров начинали и заканчивали атаки строго по графику, с интервалом в одну неделю, что, по его мнению, свидетельствует о том, что их взламывали временно и с заранее известной целью23. В конечном итоге против России так и не было выдвинуто никаких официальных обвинений, и дипломатических санкций не последовало.
В июне 2008 года мишенью хакеров стала Литва. Эта бывшая советская республика вызвала раздражение Кремля, когда местный парламент проголосовал за запрет публичного использования государственной символики нацистской Германии и Советского Союза. Такая позиция Литвы немедленно навлекла на нее массированный киберудар: 30 июня Служба регулирования связи Литвы сообщила, что около 300 литовских сайтов подверглись хакерской атаке — в том числе сайты общественных организаций, таких как Национальный комитет по этике и Комиссия по ценным бумагам и биржам, а также целый ряд частных компаний. Контент пострадавших сайтов был заменен изображениями советских красных флагов и антилитовскими лозунгами24.
В августе 2008-го военный конфликт между Грузией и Южной Осетией тоже вызвал кибер-атаки на грузинскую сетевую инфраструктуру. Согласно отчету Project Grey Goose25, участники двух российских форумов, StopGeorgia.ru и Xakep.ru, «провели значительное количество времени, обсуждая преимущества и недостатки различных видов вредоносных программ, в том числе методов DDoS… Проанализировав методы DDoS, руководители форума представили самые простые и самые эффективные из них. Кое-кто слабо владел этим инструментарием, что позволяет предположить, что многие участники имели лишь низкие или средние технические навыки»26. От атак пострадало несколько грузинских правительственных сайтов, что вынудило правительство Грузии перейти на хостинги в США. Министерству иностранных дел Грузии пришлось «переселиться» на аккаунт BlogSpot — чтобы иметь возможность распространять информацию в режиме реального времени27.
В 2007 ГОДУ САЙТ сайт Informacia.ru попал в сферу общественного внимания. Судя по всему, им пользовались и хакеры, и спецслужбы.
Когда в мае 2007 года Солдатов опубликовал в «Новой газете» материал о хакерах-патриотах, хакерское сообщество ответило ему на сайте Informacia.ru. Через два года после этого, в июле 2009-го, сайт Informacia.ru был задействован в скандале вокруг одного британского дипломата. Заместитель британского консула в Екатеринбурге Джеймс Хадсон был вынужден уйти в отставку после того, как лондонский таблоид The Sun опубликовал кадры съемки, где человек, напоминающий Хадсона, запечатлен с двумя проститутками. Видеоролик продолжительностью 4 минуты 18 секунд был впервые размещен на сайте Informacia.ru, это произошло б июля. Оттуда он перекочевал в екатеринбургскую «Комсомольскую правду», а потом — на сайт Life, ru. Газета The Sun опубликовала свой материал 9 июля — и в тот же день Хадсон подал в отставку28. Каким образом скандальное видео попало к владельцам сайта Informacia.ru, точно не известно. В России существует давняя традиция использования компромата, однако против дипломатов это оружие применяется крайне редко.
В то же время именно этот способ использовался КГБ во времена Холодной войны.
Спустя месяц героем похожего видео стал американский дипломат Кайл Хэтчер: материал опять был опубликован на сайте Informacia.ru, а затем перепечатан «Комсомольской правдой». На сей раз добиться отставки дипломата не удалось: за него вступился посол США, ФБР провело расследование и заявило, что запись фальшивая. Госдепартамент назвал видео монтажом, включающим в том числе и реальные кадры: «Г-н Хэтчер стал жертвой клеветнической кампании в российской прессе и в Интернете, предпринятой с целью дискредитации его личности и деятельности, — сказал пресс-секретарь Госдепартамента Иэн Келли. — Мы осуждаем такого рода клеветнические кампании»29.
Сайт Informacia.ru еще до этого был известен своими связями со спецслужбами. Известный деятель правозащитного движения, бывший советский диссидент Сергей Григорьянц рассказал нам, как к своему великому удивлению нашел в собственной биографии, опубликованной на этом сайте, кое-какие детали, которых нет в открытых источниках.
В 2008 году то же сообщество, которое когда-то создало Anticenter.org, запустило новый сайт — Antiterror.tv. Его владельцы хвастались, что закрыли 200 сайтов и выследили интернет-адреса 100 авторов незаконных сайтов, передав их впоследствии в ФСБ. Антитеррористическая риторика лишь подтверждала, что патриотические хакеры вышли на передовую линию в кибер-войне.
ПОЗВОЛИВ ХАКЕРАМ-ПАТРИОТАМ вести киберборьбу с враждебными сайтами, спецслужбы сумели остаться в стороне. Кроме того, тот факт, что профильное подразделение ФСБ — бывший третий главк ФАПСИ — никак не связано с деятельностью хакеров-патриотов, имеет дополнительные преимущества. Уже несколько лет Россия настаивает на подписании международного соглашения о неприменении кибероружия. Лоббированием соглашения занимается Институт проблем информационной безопасности МГУ, который возглавляет помощник секретаря Совбеза Владислав Шерстюк, бывший глава ФАПСИ и третьего главка. США отказываются подписывать соглашение, что позволяет российским силовикам еще и обвинять американцев в лицемерии.