Киберпротест в России: скрытая угроза или «школьники ломают, что получится»?

Даниил Беловодьев Общество 108
Коллаж: © Daily Storm

Корреспондент Daily Storm попытался найти опасные для власти сообщества в русскоязычном даркнете.

В 2019 году в России прошло рекордное количество акций протеста. Самый массовый митинг организовала в Москве оппозиция. Но в конфронтацию с государством бесстрашно вступали и простые жители других городов и целых регионов, например, Екатеринбурга, Ингушетии и Архангельской области. Оказалось, что россияне в принципе готовы активно выражать недовольство, и протестные настроения охватывают все новые слои общества. Власть, как правило, подавляла уличные акции, а чтобы их предотвратить, приняла меры для контроля поведения граждан в интернете. Ведь интернет-протест легко разжечь и выплеснуть на улицы.

Блокировка мессенджера Telegram, закон об оскорблении власти в интернете и пакет Яровой — эти меры, с одной стороны, призваны расширить возможности государства по борьбе с преступностью и терроризмом. С другой — заставляют радикально настроенных к власти граждан всерьез задуматься, стоит ли публично озвучивать свою точку зрения. Тем более призывать к протестам. Логично предположить, что, ощутив внимание правоохранителей, протестные группы будут уходить в даркнет — туда, где в России процветает торговля наркотиками и персональными данными. Мы решили бегло исследовать теневой сегмент интернета в поисках скрытых очагов сопротивления.

Cyph3rpunk

«Криптография — это крайнее выражение ненасильственного прямого действия», — писал в своей книге «Шифропанки: свобода и будущее интернета» основатель WikiLeaks Джулиан Ассанж. В даркнете можно найти множество имиджбордов и форумов русскоязычных криптоанархистов — тех, кто исповедует философию, призывающую использовать сильную криптографию для защиты приватности и личной свободы. Криптоанархисты активно обсуждали политику, поэтому я решил связаться с ними в зашифрованном чате Jabber.

«Какое цифровое сопротивление? Сопротивление — это когда с палками на площадях с омоном раз на раз, — сообщил мне один из участников чата. — Или ты с голой задницей лезешь на танки, или ругаешь Путина на кухне при включенной воде».

Его поддержал другой участник: «Нет у нас никакого digital resistance. Есть либо торгаши, которые впаривают непонятно что под торговой маркой анонимности, либо любители по******* на кухне, коих большинство».

Впрочем, некоторые криптоанархисты были не столь категоричны: «Цель протеста — прекратить причинение вреда противоположной стороной, не обязательно она должна достигаться нападением. Совершенствовать щит, чтобы сделать атаку невозможной, — тоже сопротивление».

Cool }{acker

В поисках киберпротеста я исследовал даркнет-ресурсы тех, кто занимается взломом персональных данных, — форумы хакеров. Открытые разделы обычно содержат рассуждения на политические темы, но поднимают их в основном новички. Жесткие критические выпады в сторону власти соседствуют со зловещими инициативами, вроде организации лотереи, когда провинившегося, по мнению участников, политического деятеля или силовика выбирают случайным методом и заказывают его убийство. Мне сразу вспомнился sci-fi рассказ Роберта Шекли «Билет на планету Транай», где каждый политический деятель, вплоть до президента, носил ошейник, который взрывался при наборе критической массы голосов «против».

Коллаж: © Daily Storm
Коллаж: © Daily Storm

Но это все, конечно, на уровне фантазий. А что скрывают закрытые разделы форумов, доступ к которым разрешен только профессиональным кибервзломщикам? «Если кто-то предложит навернуть [взломать] сайт какой-то госструктуры, то его, скорее всего, забанят или просто обсмеют. На что народ там, может быть, и пойдет, так это на кибератаку безусловного зла — педофилов, например», — рассказал хакер под ником Hy3na [здесь и далее никнеймы изменены по просьбе респондентов].

«Всем, кто занимается интернет-безопасностью, нужно кушать. Если человек без крепких моральных принципов — будет воровать, — продолжает Hy3na. —Если человек с принципами — пойдет работать в белую контору. За последние 10 лет я не встречал в хакерском мире ни одного человека, который делал бы что-то исключительно за идею. Кроме одного исключения: когда эта «идея» — лулзы. А так, основная мотивация — деньги, деньги, деньги».

Подобную мысль подтвердил мне хакер Inf0Evil: «Сопротивления почти нет. Там (в даркнете) бабло царит, а не идеи. Всех можно поделить на две категории: первая — люди зарабатывают деньги; вторая — школьники пытаются сломать, что получится. То есть политические хактивисты (хакер и активист в одном лице) на деле оказываются школьниками, освоившими пару скриптов и посмотревшими сериал Mr. Robot».

Стоит убедиться, что очагов сопротивления среди хактивистов действительно нет. Может быть, хакеры ошибаются, поголовно записывая их в недоучек и крикунов.

K1ds aren’t @llright

Классический пример хактивизма: прошлогодний взлом главной страницы сайта (дефейс) Росприроднадзора. При открытии сайта появлялось изображение собаки в худи с логотипом мессенджера Telegram. Новость разлетелась по российским СМИ под заголовками вроде «Официальный сайт Росприроднадзора подвергся атаке хакеров, поддерживающих борьбу против блокировки Telegram».

Со слов хакера exp.d0s, принимавшего непосредственное участие в деанонимизации хактивиста, все было несколько прозаичнее: «Студент, которого мы очень быстро сдеанонили, сдуру задефейсил сайт и поставил свой ник. А когда понял, что жиденько обосрался, решил подставить других людей, поспешно вписав их никнеймы». Слова exp.d0s подтверждаются статьей «Свободных медиа», которые в режиме онлайн следили за последствиями взлома.

«Действительно, — продолжает exp.d0s, — все эти взломы делаются в основном ради веселья или дешевой славы, как в случае с РПН. Ну вот представьте, каких политических целей можно добиться, сделав дефейс сайта kremlin.ru? Я думаю, только изучить лефортовский изолятор изнутри…»

Показательный момент: успешная атака была проведена именно на сайт Росприроднадзора. Если ты борешься с блокировками Роскомнадзора — взламывай соответствующий сайт. Скорее всего, студент-хактивист нашел распространенную дыру именно на сайте Росприроднадзора и решил воспользоваться шансом для пятиминутной славы.

Мое предположение подтверждает хакер Inf0Evil«Конечно. В интернете — бескрайнее море сайтов. Так что найти те, на которых логин-пароль — admin-admin или еще что-то подобное — никогда не проблема».

Мнение хакеров о том, что хактивисты — зачастую просто крикуны, использующие распространенные хакерские инструменты, поддерживают и эксперты компании Group-IB, специализирующейся на предотвращении и расследовании киберпреступлений. Однако технический директор компании и руководитель Threat Intelligence Group-IB Дмитрий Волков делает важную оговорку: «Для компаний, которые серьезно занимаются своей безопасностью, хактивисты пока не представляют реальной угрозы. Но списывать со счетов их не стоит. Риск в том, что от DDoS или взломов сайтов хактивисты могут перейти к атакам на инфраструктуру, используя все более мощное цифровое оружие».

Кадр: © «Kung Fury»
Кадр: © «Kung Fury»

Black0ut

«Полиция и военные прежде всего пытаются обезопасить бюрократические и политические структуры государства. В таком случае оппозиционеры выбирают своей целью лишь техническое обеспечение города и государства», — писал в своем памфлете «Техника государственного переворота» Курцио Малапарте. Возможность критической атаки на инфраструктуру России — вопрос государственной важности. В марте этого года состоялась кибератака на ГЭС Венесуэлы, в результате которой большая часть страны осталась без электричества на несколько дней. Считается, что эта атака была проведена оппозицией с целью дестабилизации политической ситуации.

Чтобы разобраться в этом, я обратился к специалистам компании Group-IB с вопросом: обладают ли российские хакерские группировки или отдельные люди достаточным инструментарием, чтобы совершить кибератаку на инфраструктуру РФ.

«Русскоговорящие хакерские группы, действительно, обладают техническими знаниями и средствами для атаки на критическую инфраструктуру, — рассказала Daily Storm Анастасия Тихонова, эксперт Group-IB. — В качестве примера: группа BlackEnergy с их трояном Industroyer, атаковавшие украинскую энергосистему в 2015 году».

«Могут ли русскоговорящие хакеры атаковать критическую инфраструктуру в России? — продолжает Тихонова. — У финансово мотивированных хакеров сильно развито чувство самосохранения: в большинстве своем они не атакуют и не пишут вредоносное ПО, заточенное под Россию. На андеграундных форумах даже в темах продаж вредоносных программ, в том числе и банковских троянов, четко указано «не работают под RU». 

Выходит, что финансово мотивированные русские хакеры, которых, как мы выяснили, подавляющее большинство, не заинтересованы в атаке на инфраструктуру РФ. Но возможна ли такая ситуация, когда цифровое орудие выходит из-под контроля и попадает в руки, например, политически мотивированных хакеров?

«Возможна, — отвечают специалисты Group-IB. — В качестве примеров можно привести истории с распространением вирусов-шифровальщиков Bad Rabbit и NotPetya. Опасность в том, что арсенал прогосударственных хакеров сейчас периодически публикуется в открытом доступе, и любой желающий может все это скачать, настроить под себя и начать использовать. Число кибератак будет увеличиваться».

N0t Ukraine, Mykraine

«Когда кто-то что-то портит, то предпочитает об этом молчать», —констатировал хакер с ником RamZe$. Действительно, хакеры всегда стремятся к анонимности: идеальная атака происходит незаметно и бесшумно. Но есть и такие группировки, которые заявляли о себе во всеуслышание. Мне за несколько недель так и не удалось связаться с российскими антигосударственными хактивистскими объединениями, которые не прячутся в даркнете, а имеют страницы в Twitter или Facebook. Судя по тому, что в блогах долгое время нет никакой активности, то сами группировки распались. Пример:Twitter хактивистов DigitalRevolution.

Зато удалось связаться с представителями украинских киберактивистов Ukrainian Cyber Alliance (UCA), известных организацией слива данных о присутствии российских военных в Донбассе. У меня возник вопрос: возможно ли сотрудничество украинских и настроенных оппозиционно русских хактивистов?

Коллаж: © Daily Storm
Коллаж: © Daily Storm

«Во-первых, в РФ сотрудничать просто не с кем, любая оппозиция закончилась после замены площади Революции на Болотную, — отвечает пресс-секретарь UCA, скрывающийся под псевдонимом Sean Townsend. — Во-вторых, у нас нет ни малейшей в том потребности. У нас предостаточно возможностей для того, чтобы причинять вред Российской Федерации и без иностранной помощи». 

Впрочем, российский хакер Hy3na уверен, что группировки, размещающие материалы в публичном доступе, вызывают смех у профессионалов: «Серьезные вещи либо не всплывают от слова «совсем», либо их след теряется непонятно где. А всякие «Киберберкуты», «Киберхунты» — смех да и только. Например, на сайте «Киберберкута» есть раздел leaks, где якобы содержится компрометирующая информация, полученная в результате взлома. Откуда нам знать, что это не: а) дезинформация; б) публичные данные, найденные в открытом доступе или полученные с помощью инсайдеров».

«Откуда нам вообще знать, украинские это хактивисты, русские или испанские, например? — продолжает рассуждение Hy3na. — Это же интернет, тут никто не узнает, кто ты на самом деле».

Подытожим. Сегодняшние хактивисты пытаются заниматься политикой, но их возможности не позволяют осуществить сколько-нибудь серьезную, целенаправленную атаку. Выглядит все так, будто в основном это очень молодые ребята, слабо разбирающиеся в технологиях взлома, использующие чужие наработки программного кода. Но специалисты по кибербезопасности предупреждают: опасность все же есть, поэтому нельзя пренебрежительно относиться к подобному срезу хакеров. Цифровое оружие, используемое профессионалами, в любой момент может выйти из-под контроля и попасть в руки преступников, а число кибератак на критическую инфраструктуру будет увеличиваться.

Мы выяснили, что криптоанархисты скорее озабочены централизацией сервисов Сети, чем непосредственным государственным на нее влиянием. Профессиональных хакеров интересуют сами технологии взлома и деньги, а не политические идеи. «В даркнете хорошо себя чувствует только рынок», —утверждает хакер RamZe$.

А что такое рынок в даркнете? Это возможность купить наркотики и оружие, в том числе цифровое. Более того, многие хакерские инструменты распространяются там бесплатно.

Что еще можно найти или купить на «черном» интернет-рынке?

0MG Secr3t Nazi

В даркнете есть русскоязычный форум национал-социалистов. В открытой (не требующей идентификации) части ресурса обсуждаются вопросы интернет-безопасности и выкладывается специфическая литература. Например, руководство «Прямое действие: ночные поджоги». Анонимный автор подробно расписывает алгоритм поджога, например, автомобиля, не забывая уточнить: «Жечь недорогие авто обычных людей недопустимо!» Он призывает уничтожать только автомобили государственных структур, в первую очередь силовых и правоохранительных.

В методичке также присутствует рецепт изготовления коктейля Молотова и других средств поджога; есть подробные инструкции для успешного уничтожения зданий, и даже информация о том, в какое время суток лучше всего поджигать государственные объекты.

А по информации, полученной от хакера Anonymous [никнейм изменен], в закрытой части форума участники делятся видеозаписями убийств мигрантов, обсуждают в большей мере вопросы расовой чистоты, никак при этом не затрагивая вопросы борьбы с властью. Впрочем, повторюсь, что методочики может использовать любой желающий.

The Gr3at Eye is Alw@ys Watch1ng

А что можно приобрести на теневом рынке помимо очевидных вариантов: например, наркоты и оружия? В Москве и Московской области работает как минимум 170 000 муниципальных камер видеонаблюдения. В начале декабря журналист Андрей Каганских опубликовал материал в «Новой газете», в котором рассказал, что доступ к камерам можно купить на черном рынке. Каганских в комментарии Daily Storm уточнил, что после выхода его статьи и последовавшей реакции властей продавцы «говорят что-то в духе: «Сейчас никаких камер не продаем, спроси в следующем году». На момент написания статьи ни один из продавцов так и не вышел со мной на связь.

Turn Up the Rad1o

В советские времена люди черпали правдивую информацию о собственной стране из радиопрограмм «Голоса Америки» и «Радио Свобода». Сегодня активисты поддерживают работу даркнет-радиостанции «M16». Радиостанция ориентирована на русскоязычную аудиторию и «имеет целью информировать слушателей о событиях внутри РФ, вокруг РФ на международной политической арене».

В целом «М16» функционирует как обычное радио: ретранслирует информационный контент, «подготовленный на русском языке профессиональными журналистами именитых СМИ из США, Чехии, Южной Кореи». Радио даже предоставляет слушателям возможность высказаться в эфире: для этого нужно сделать аудиозапись в формате mp3, исказить голос («если автор опасается преследования по политическим мотивам») и отправить файл редакции. Почему радио базируется в даркнете? Ответ: «В связи с укоренившейся практикой в РФ ограничения доступа к источникам информации, запугивания журналистов, дестабилизации работы независимых СМИ, в интересах целевой аудитории ресурсы радио «M16» доступны только в анонимной сети».

Так возможно ли в России возникновение реального «протестного подполья»? Однозначно да. Пока что власть лишь начинает борьбу с интернет-угрозой. Приняты превентивные меры. Но если давление на открытый сегмент интернета усилится, то все больше политически активных людей будет уходить в защищенные сетевые пространства. А почва для политического протеста там плодородная: бесплатно распространяются инструкции по вредоносной деятельности и компьютерные вирусы, есть возможность купить доступ к конфиденциальным данным или записям с камер видеонаблюдения, можно даже приобрести огнестрельное оружие или оплатить хакерскую атаку на инфраструктуру государства. А уж информационные ресурсы в даркнете можно запускать абсолютно на любую тематику.

Получается, что для радикальной политической борьбы в российском даркнете уже скопилось предостаточно данных и «услуг», которые продаются за деньги. И если сегодня мне не удалось найти признаков активного киберсопротивления, то это не значит, что оно не возникнет завтра.

Сейчас на главной
Статьи по теме
Статьи автора