Киберпротест в России: скрытая угроза или «школьники ломают, что получится»?

В 2019 году в России прошло рекордное количество акций протеста. Самый массовый митинг организовала в Москве оппозиция. Но в конфронтацию с государством бесстрашно вступали и простые жители других городов и целых регионов, например, Екатеринбурга, Ингушетии и Архангельской области. Оказалось, что россияне в принципе готовы активно выражать недовольство, и протестные настроения охватывают все новые слои общества. Власть, как правило, подавляла уличные акции, а чтобы их предотвратить, приняла меры для контроля поведения граждан в интернете. Ведь интернет-протест легко разжечь и выплеснуть на улицы.

Блокировка мессенджера Telegram, закон об оскорблении власти в интернете и пакет Яровой — эти меры, с одной стороны, призваны расширить возможности государства по борьбе с преступностью и терроризмом. С другой — заставляют радикально настроенных к власти граждан всерьез задуматься, стоит ли публично озвучивать свою точку зрения. Тем более призывать к протестам. Логично предположить, что, ощутив внимание правоохранителей, протестные группы будут уходить в даркнет — туда, где в России процветает торговля наркотиками и персональными данными. Мы решили бегло исследовать теневой сегмент интернета в поисках скрытых очагов сопротивления.

Cyph3rpunk

«Криптография — это крайнее выражение ненасильственного прямого действия», — писал в своей книге «Шифропанки: свобода и будущее интернета» основатель WikiLeaks Джулиан Ассанж. В даркнете можно найти множество имиджбордов и форумов русскоязычных криптоанархистов — тех, кто исповедует философию, призывающую использовать сильную криптографию для защиты приватности и личной свободы. Криптоанархисты активно обсуждали политику, поэтому я решил связаться с ними в зашифрованном чате Jabber.

«Какое цифровое сопротивление? Сопротивление — это когда с палками на площадях с омоном раз на раз, — сообщил мне один из участников чата. — Или ты с голой задницей лезешь на танки, или ругаешь Путина на кухне при включенной воде».

Его поддержал другой участник: «Нет у нас никакого digital resistance. Есть либо торгаши, которые впаривают непонятно что под торговой маркой анонимности, либо любители по******* на кухне, коих большинство».

Впрочем, некоторые криптоанархисты были не столь категоричны: «Цель протеста — прекратить причинение вреда противоположной стороной, не обязательно она должна достигаться нападением. Совершенствовать щит, чтобы сделать атаку невозможной, — тоже сопротивление».

Cool }{acker

В поисках киберпротеста я исследовал даркнет-ресурсы тех, кто занимается взломом персональных данных, — форумы хакеров. Открытые разделы обычно содержат рассуждения на политические темы, но поднимают их в основном новички. Жесткие критические выпады в сторону власти соседствуют со зловещими инициативами, вроде организации лотереи, когда провинившегося, по мнению участников, политического деятеля или силовика выбирают случайным методом и заказывают его убийство. Мне сразу вспомнился sci-fi рассказ Роберта Шекли «Билет на планету Транай», где каждый политический деятель, вплоть до президента, носил ошейник, который взрывался при наборе критической массы голосов «против».

Но это все, конечно, на уровне фантазий. А что скрывают закрытые разделы форумов, доступ к которым разрешен только профессиональным кибервзломщикам? «Если кто-то предложит навернуть [взломать] сайт какой-то госструктуры, то его, скорее всего, забанят или просто обсмеют. На что народ там, может быть, и пойдет, так это на кибератаку безусловного зла — педофилов, например», — рассказал хакер под ником Hy3na [здесь и далее никнеймы изменены по просьбе респондентов].

«Всем, кто занимается интернет-безопасностью, нужно кушать. Если человек без крепких моральных принципов — будет воровать, — продолжает Hy3na. —Если человек с принципами — пойдет работать в белую контору. За последние 10 лет я не встречал в хакерском мире ни одного человека, который делал бы что-то исключительно за идею. Кроме одного исключения: когда эта «идея» — лулзы. А так, основная мотивация — деньги, деньги, деньги».

Подобную мысль подтвердил мне хакер Inf0Evil: «Сопротивления почти нет. Там (в даркнете) бабло царит, а не идеи. Всех можно поделить на две категории: первая — люди зарабатывают деньги; вторая — школьники пытаются сломать, что получится. То есть политические хактивисты (хакер и активист в одном лице) на деле оказываются школьниками, освоившими пару скриптов и посмотревшими сериал Mr. Robot».

Стоит убедиться, что очагов сопротивления среди хактивистов действительно нет. Может быть, хакеры ошибаются, поголовно записывая их в недоучек и крикунов.

K1ds aren’t @llright

Классический пример хактивизма: прошлогодний взлом главной страницы сайта (дефейс) Росприроднадзора. При открытии сайта появлялось изображение собаки в худи с логотипом мессенджера Telegram. Новость разлетелась по российским СМИ под заголовками вроде «Официальный сайт Росприроднадзора подвергся атаке хакеров, поддерживающих борьбу против блокировки Telegram».

Со слов хакера exp.d0s, принимавшего непосредственное участие в деанонимизации хактивиста, все было несколько прозаичнее: «Студент, которого мы очень быстро сдеанонили, сдуру задефейсил сайт и поставил свой ник. А когда понял, что жиденько обосрался, решил подставить других людей, поспешно вписав их никнеймы». Слова exp.d0s подтверждаются статьей «Свободных медиа», которые в режиме онлайн следили за последствиями взлома.

«Действительно, — продолжает exp.d0s, — все эти взломы делаются в основном ради веселья или дешевой славы, как в случае с РПН. Ну вот представьте, каких политических целей можно добиться, сделав дефейс сайта kremlin.ru? Я думаю, только изучить лефортовский изолятор изнутри…»

Показательный момент: успешная атака была проведена именно на сайт Росприроднадзора. Если ты борешься с блокировками Роскомнадзора — взламывай соответствующий сайт. Скорее всего, студент-хактивист нашел распространенную дыру именно на сайте Росприроднадзора и решил воспользоваться шансом для пятиминутной славы.

Мое предположение подтверждает хакер Inf0Evil: «Конечно. В интернете — бескрайнее море сайтов. Так что найти те, на которых логин-пароль — admin-admin или еще что-то подобное — никогда не проблема».

Мнение хакеров о том, что хактивисты — зачастую просто крикуны, использующие распространенные хакерские инструменты, поддерживают и эксперты компании Group-IB, специализирующейся на предотвращении и расследовании киберпреступлений. Однако технический директор компании и руководитель Threat Intelligence Group-IB Дмитрий Волков делает важную оговорку: «Для компаний, которые серьезно занимаются своей безопасностью, хактивисты пока не представляют реальной угрозы. Но списывать со счетов их не стоит. Риск в том, что от DDoS или взломов сайтов хактивисты могут перейти к атакам на инфраструктуру, используя все более мощное цифровое оружие».

Black0ut

«Полиция и военные прежде всего пытаются обезопасить бюрократические и политические структуры государства. В таком случае оппозиционеры выбирают своей целью лишь техническое обеспечение города и государства», — писал в своем памфлете «Техника государственного переворота» Курцио Малапарте. Возможность критической атаки на инфраструктуру России — вопрос государственной важности. В марте этого года состоялась кибератака на ГЭС Венесуэлы, в результате которой большая часть страны осталась без электричества на несколько дней. Считается, что эта атака была проведена оппозицией с целью дестабилизации политической ситуации.

Чтобы разобраться в этом, я обратился к специалистам компании Group-IB с вопросом: обладают ли российские хакерские группировки или отдельные люди достаточным инструментарием, чтобы совершить кибератаку на инфраструктуру РФ.

«Русскоговорящие хакерские группы, действительно, обладают техническими знаниями и средствами для атаки на критическую инфраструктуру, — рассказала Daily Storm Анастасия Тихонова, эксперт Group-IB. — В качестве примера: группа BlackEnergy с их трояном Industroyer, атаковавшие украинскую энергосистему в 2015 году».

Выходит, что финансово мотивированные русские хакеры, которых, как мы выяснили, подавляющее большинство, не заинтересованы в атаке на инфраструктуру РФ. Но возможна ли такая ситуация, когда цифровое орудие выходит из-под контроля и попадает в руки, например, политически мотивированных хакеров?

«Возможна, — отвечают специалисты Group-IB. — В качестве примеров можно привести истории с распространением вирусов-шифровальщиков Bad Rabbit и NotPetya. Опасность в том, что арсенал прогосударственных хакеров сейчас периодически публикуется в открытом доступе, и любой желающий может все это скачать, настроить под себя и начать использовать. Число кибератак будет увеличиваться».

N0t Ukraine, Mykraine

«Когда кто-то что-то портит, то предпочитает об этом молчать», —констатировал хакер с ником RamZe$. Действительно, хакеры всегда стремятся к анонимности: идеальная атака происходит незаметно и бесшумно. Но есть и такие группировки, которые заявляли о себе во всеуслышание. Мне за несколько недель так и не удалось связаться с российскими антигосударственными хактивистскими объединениями, которые не прячутся в даркнете, а имеют страницы в Twitter или Facebook. Судя по тому, что в блогах долгое время нет никакой активности, то сами группировки распались. Пример:Twitter хактивистов DigitalRevolution.

Зато удалось связаться с представителями украинских киберактивистов Ukrainian Cyber Alliance (UCA), известных организацией слива данных о присутствии российских военных в Донбассе. У меня возник вопрос: возможно ли сотрудничество украинских и настроенных оппозиционно русских хактивистов?

«Во-первых, в РФ сотрудничать просто не с кем, любая оппозиция закончилась после замены площади Революции на Болотную, — отвечает пресс-секретарь UCA, скрывающийся под псевдонимом Sean Townsend. — Во-вторых, у нас нет ни малейшей в том потребности. У нас предостаточно возможностей для того, чтобы причинять вред Российской Федерации и без иностранной помощи». 

Впрочем, российский хакер Hy3na уверен, что группировки, размещающие материалы в публичном доступе, вызывают смех у профессионалов: «Серьезные вещи либо не всплывают от слова «совсем», либо их след теряется непонятно где. А всякие «Киберберкуты», «Киберхунты» — смех да и только. Например, на сайте «Киберберкута» есть раздел leaks, где якобы содержится компрометирующая информация, полученная в результате взлома. Откуда нам знать, что это не: а) дезинформация; б) публичные данные, найденные в открытом доступе или полученные с помощью инсайдеров».

«Откуда нам вообще знать, украинские это хактивисты, русские или испанские, например? — продолжает рассуждение Hy3na. — Это же интернет, тут никто не узнает, кто ты на самом деле».

Подытожим. Сегодняшние хактивисты пытаются заниматься политикой, но их возможности не позволяют осуществить сколько-нибудь серьезную, целенаправленную атаку. Выглядит все так, будто в основном это очень молодые ребята, слабо разбирающиеся в технологиях взлома, использующие чужие наработки программного кода. Но специалисты по кибербезопасности предупреждают: опасность все же есть, поэтому нельзя пренебрежительно относиться к подобному срезу хакеров. Цифровое оружие, используемое профессионалами, в любой момент может выйти из-под контроля и попасть в руки преступников, а число кибератак на критическую инфраструктуру будет увеличиваться.

Мы выяснили, что криптоанархисты скорее озабочены централизацией сервисов Сети, чем непосредственным государственным на нее влиянием. Профессиональных хакеров интересуют сами технологии взлома и деньги, а не политические идеи. «В даркнете хорошо себя чувствует только рынок», —утверждает хакер RamZe$.

А что такое рынок в даркнете? Это возможность купить наркотики и оружие, в том числе цифровое. Более того, многие хакерские инструменты распространяются там бесплатно.

Что еще можно найти или купить на «черном» интернет-рынке?

0MG Secr3t Nazi

В даркнете есть русскоязычный форум национал-социалистов. В открытой (не требующей идентификации) части ресурса обсуждаются вопросы интернет-безопасности и выкладывается специфическая литература. Например, руководство «Прямое действие: ночные поджоги». Анонимный автор подробно расписывает алгоритм поджога, например, автомобиля, не забывая уточнить: «Жечь недорогие авто обычных людей недопустимо!» Он призывает уничтожать только автомобили государственных структур, в первую очередь силовых и правоохранительных.

В методичке также присутствует рецепт изготовления коктейля Молотова и других средств поджога; есть подробные инструкции для успешного уничтожения зданий, и даже информация о том, в какое время суток лучше всего поджигать государственные объекты.

А по информации, полученной от хакера Anonymous [никнейм изменен], в закрытой части форума участники делятся видеозаписями убийств мигрантов, обсуждают в большей мере вопросы расовой чистоты, никак при этом не затрагивая вопросы борьбы с властью. Впрочем, повторюсь, что методочики может использовать любой желающий.

The Gr3at Eye is Alw@ys Watch1ng

А что можно приобрести на теневом рынке помимо очевидных вариантов: например, наркоты и оружия? В Москве и Московской области работает как минимум 170 000 муниципальных камер видеонаблюдения. В начале декабря журналист Андрей Каганских опубликовал материал в «Новой газете», в котором рассказал, что доступ к камерам можно купить на черном рынке. Каганских в комментарии Daily Storm уточнил, что после выхода его статьи и последовавшей реакции властей продавцы «говорят что-то в духе: «Сейчас никаких камер не продаем, спроси в следующем году». На момент написания статьи ни один из продавцов так и не вышел со мной на связь.

Turn Up the Rad1o

В советские времена люди черпали правдивую информацию о собственной стране из радиопрограмм «Голоса Америки» и «Радио Свобода». Сегодня активисты поддерживают работу даркнет-радиостанции «M16». Радиостанция ориентирована на русскоязычную аудиторию и «имеет целью информировать слушателей о событиях внутри РФ, вокруг РФ на международной политической арене».

В целом «М16» функционирует как обычное радио: ретранслирует информационный контент, «подготовленный на русском языке профессиональными журналистами именитых СМИ из США, Чехии, Южной Кореи». Радио даже предоставляет слушателям возможность высказаться в эфире: для этого нужно сделать аудиозапись в формате mp3, исказить голос («если автор опасается преследования по политическим мотивам») и отправить файл редакции. Почему радио базируется в даркнете? Ответ: «В связи с укоренившейся практикой в РФ ограничения доступа к источникам информации, запугивания журналистов, дестабилизации работы независимых СМИ, в интересах целевой аудитории ресурсы радио «M16» доступны только в анонимной сети».

Так возможно ли в России возникновение реального «протестного подполья»? Однозначно да. Пока что власть лишь начинает борьбу с интернет-угрозой. Приняты превентивные меры. Но если давление на открытый сегмент интернета усилится, то все больше политически активных людей будет уходить в защищенные сетевые пространства. А почва для политического протеста там плодородная: бесплатно распространяются инструкции по вредоносной деятельности и компьютерные вирусы, есть возможность купить доступ к конфиденциальным данным или записям с камер видеонаблюдения, можно даже приобрести огнестрельное оружие или оплатить хакерскую атаку на инфраструктуру государства. А уж информационные ресурсы в даркнете можно запускать абсолютно на любую тематику.

Получается, что для радикальной политической борьбы в российском даркнете уже скопилось предостаточно данных и «услуг», которые продаются за деньги. И если сегодня мне не удалось найти признаков активного киберсопротивления, то это не значит, что оно не возникнет завтра.