Атака на хакеров

Вчера в Москве были арестованы на два месяца восемь членов, возможно, самой опасной хакерской группировки REvil (сокращение от двух английских слов: ransomware — «вымогатель», evil — «зло» или «злой»). Она два года занималась хищением денег с помощью вредоносных программ и получила известность на Западе после обвинений в крупной кибератаке на американские компании. В СИЗО отправили Андрея Бессонова, Романа Муромского, Михаила Головочука, Руслана Хансвярова, Дмитрия Коротаева, Алексея Малоземова, Артема Заеца и Алексея Пузыревского. 

Как действовали киберпреступники

Однако это не все участники — накануне Федеральная служба безопасности сообщила об обысках у 14 членов преступного сообщества в Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях. Так что Россия и мир скоро познакомятся и с остальным хакерами, обложившими данью самые известные и богатые компании. Во время обысков по 25 адресам у группировки изъяли более 426 миллионов рублей, в том числе в криптовалюте, 600 тысяч долларов, 500 тысяч евро, компьютерную технику, криптокошельки, использовавшиеся для совершения преступлений, и 20 премиум-автомобилей, купленных на украденные деньги.

В ФСБ рассказали, что хакеры разработали вредоносное программное обеспечение, организовали хищение денег с банковских счетов иностранцев и обналичивали их, в том числе приобретая дорогостоящие товары в интернете. Однако для участников REvil, похоже, такого рода воровство — мелочь на карманные траты. Самые большие доходы преступники получали от шантажа — вскрывали и блокировали базы данных компаний, а затем вымогали выкуп за возвращение доступа к ним. Некоторые сайты в «темном» сегменте интернета были созданы для контактов вымогателей с их жертвами. 

За совершение крупных атак, в том числе на компанию Apple и правительство Техаса, REvil называли одной из самых активных кибербанд в мире. Именно эту группировку обвиняли в США в атаке летом прошлого года на серверы одной из крупнейших мясоперерабатывающих компаний Бразилии JBS (контролирует около 20 процентов убойных мощностей для крупного рогатого скота и свиней). Из-за блокировки JBS остановила работу своих заводов в США, Канаде и Австралии и в итоге была вынуждена уплатить вымогателям 11 млн долларов.

Полгода назад IT-компания Kaseya также подверглась массированной кибератаке с применением вируса-вымогателя — вместе с десятками или даже сотнями других фирм. Тогда во взломе тоже подозревали REvil. Хакеры потребовали рекордные 70 миллионов долларов за публикацию универсального декриптора, который позволит разблокировать компьютеры. Однако сколько компания заплатила шантажистам на самом деле, доподлинно неизвестно. Известно, что за 2020 год группировка заработала 100 млн долларов.

«Лаборатория Касперского» в своем исследовании в мае 2021 года опубликовала схему работы хакеров. Кибербанда распространяла свой вирус-шифровальщик через партнеров (других хакеров), которые получали 60–75% от выкупа. REvil, как правило, атаковала инженерно-производственный сектор (30% всех атак), финансовые организации (14%), поставщиков услуг (9%), юридические фирмы (7%), а также IT и телеком-компании (7%), говорится в отчете. В марте 2021 года группировка атаковала компанию Acer, а в апреле похитила у производителя компьютерной техники Quanta Computer данные, представляющие собой чертежи, и опубликовала их: по данным REvil, это были чертежи устройств Apple. У обеих компаний вымогатели требовали по 50 млн долларов.

О том, как «работала» REvil, ее представитель подробно рассказал еще в 2020 году — через год после своего появления в даркнете и начала хакерских атак. Группировка предоставляла своим партнерам (таким же хакерам, но работающим на подряде) софт, дешифровщик, а также участвовала в переговорах о выкупе и давлении на жертву. 

«Задача партнера — заразить сеть и убить бэкапы. Скачать файлы. Все. Остальное наша забота», — объяснял представитель REvil. Он добавил, что в трети случаев крупные компании платят выкуп, чтобы атака не становилась публичной. 

Выше упомянутая Kaseya впоследствии оценила число пострадавших компаний по всему миру в полторы тысячи. Штаты объявили награду до десяти миллионов долларов за информацию об организаторах REvil.

Обращение американцев за помощью

В Федеральной службе безопасности уверяют, что кибербанда уничтожена полностью — все ее участники были установлены еще до задержания, а спецоперация проведена в разных городах и по разным адресам одновременно, чтобы никто не смог улизнуть. Но примечательно здесь то, что россияне, входившие в REvil, преступлений на родине не совершали — атакованные компании находятся в других странах. Тем не менее всех хакеров задержали. 

В ФСБ подчеркивают, что основанием для розыска преступников послужило обращение компетентных органов США. Именно они сообщили российским правоохранительным органам о лидере преступного сообщества и посягательствах на информационные ресурсы «зарубежных высокотехнологичных компаний», в том числе путем «шифрования информации и вымогательства денежных средств за ее дешифрование».

При этом нельзя сказать, что американцы не пытались найти хакеров сами. В начале ноября они предъявили украинцу Ярославу Васинскому и россиянину Евгению Полянину обвинения в кибермошенничестве, а также внесли их в санкционный список. Васинского арестовали в Польше, и в конце декабря суд города Люблин одобрил его экстрадицию в Штаты. 

Полянин же находится на свободе — как считает ФБР, в Барнауле. Предполагается, что оба принадлежали к группировке REvil, сумевшей собрать с жертв до 200 миллионов долларов выкупа. По словам генпрокурора США Меррика Гарленда, Полянин заполучил 13 миллионов долларов, более шести из них властям удалось конфисковать. 

Но пока в списке арестованных Евгения Полянина нет. Более того, задержаний и обысков в Барнауле, если верить официальному отчету ФСБ, вообще не проводилось. 

Вне всякого сомнения, разгром этой опасной группировки напрямую связан с телефонным разговором президентов Владимира Путина и Джо Байдена летом прошлого года. 

На сайте Белого дома этот обсуждение представлено так, будто американский лидер приказал российскому коллеге заняться хакерами, дал понять, что Москва должна вычислить вымогателей, «ведущих деятельность в России». А иначе США «примут любые необходимые меры, чтобы защитить свой народ и критически важную инфраструктуру перед лицом этой сохраняющейся проблемы».

В трактовке администрации президента РФ разговор носил более конструктивный и даже, можно сказать, миролюбивый характер. «Владимир Путин отметил, что, несмотря на готовность российской стороны к совместному пресечению криминальных проявлений в информационном пространстве, за последний месяц по линии компетентных ведомств США не поступало обращений по этим вопросам, — сообщала 9 июля пресс-служба Кремля. — Вместе с тем с учетом масштабов и серьезности вызовов в данной сфере взаимодействие России и США должно носить постоянный, профессиональный и неполитизированный характер, осуществляться с использованием специализированных каналов обмена данными между уполномоченными государственными структурами в рамках двусторонних юридических механизмов, а также с соблюдением положений международного права».

Судя по всему, американцы действительно от слов и громких обвинений перешли к делу и официально, как и положено в международных отношениях, обратились за помощью к российским коллегам. По всей вероятности, в ФСБ были переданы все необходимые данные, после чего и стала возможной спецоперация по задержанию опасных киберпреступников. 

Разумеется, чисто деловые отношения, вдруг возникшие между спецслужбами двух враждебных стран, не могут полностью развеять тучи над зашедшими в тупик российско-американскими отношениями. Но в то же время они свидетельствуют о том, что профессиональный, а не политизированный подход к решению действительно серьезных проблем способствует появлению взаимопонимания. А главное, дает ощутимый результат.

Хакерская группировка REvil нанесла существенный ущерб американским компаниям, и с нею надо было что-то делать. 

Можно идти напролом. «Президент дал понять Путину, что если российское правительство не может или не будет принимать меры против преступников, проживающих в России, мы сами примем меры или оставим за собой право действовать самостоятельно», — заявила пресс-секретарь Белого дома Джен Псаки после встречи лидеров 16 июня в Женеве. Так она прокомментировала мнение специалистов в сфере кибербезопасности, которые давно уверены, что кибербанда REvil действовала из России.

Но это политика, которая в таких случаях не дает ничего, кроме удовлетворения собственной агрессивной риторики. Если не перевести взаимодействие в конструктивное русло, американские компании будут по-прежнему платить дань шантажистам в сотни миллионов долларов. 

А можно действовать по традиционным, давно известным международному сообществу каналам. То есть по официальным. Что, как мы видим, гораздо надежнее и эффективнее. 

«Мы ожидаем, что Россия арестует и будет проводить правовые мероприятия в рамках собственной судебной системы в отношении этих преступников… Мы ожидаем, что они предстанут перед правосудием не только за свои предыдущие преступления, но и ради предотвращения будущих», — заявила в пятницу журналистам высокопоставленная представительница американских властей, комментируя аресты хакеров в России. 

Словом, все довольны. Кроме, конечно, членов разгромленной группировки REvil.