"Не можу стріляти, але можу битись клавіатурою": як українець зламав найнебезпечніших хакерів Росії
Коли російська артилерія почала накривати Україну, один IT-дослідник вирішив дати відсіч єдиним доступним йому способом. Він не пішов записуватись до тероборони, не став волонтером, не поїхав за кордон. Натомість він відкрив ноутбук і за чотири дні злив найбільший у історії пакет внутрішніх даних про Conti — одну з найнебезпечніших російських хакерських груп, розшукувану ФБР за атаки на сотні американських організацій.
CNN вдалось поговорити з цим чоловіком ексклюзивно. Його справжнє ім'я не розголошується з міркувань безпеки, тому він фігурує під псевдонімом Данило. "Я не можу в нічого стріляти, але я можу битись з клавіатурою і мишкою", — пояснив він свою мотивацію.
Conti — це не просто назва шкідливого програмного забезпечення. Це ціла кримінальна організація, синдикат російських та східноєвропейських кіберзлочинців, які роками займались вимаганням. їхня схема проста: зламати комп'ютерну мережу компанії, зашифрувати всі дані, вимагати викуп. Тільки за чотири місяці 2021 року хакери Conti отримали щонайменше 25,5 мільйона доларів викупів. Вони атакували районний суд у Луїзіані, паралізували систему охорони здоров'я Ірландії вартістю 25 мільярдів доларів, збивали з ніг лікарні в США.
Данило стежив за цією групою роками. За його словами, він вперше отримав доступ до комп'ютерних систем того, що згодом стане синдикатом Conti, ще в 2016 році. Як саме це сталось, він не розповідає детально, але незалежні експерти з безпеки підтвердили CNN, що злиті дані справді належать хакерам. "Іноді вони роблять помилки, — каже Данило. — Треба ловити їх, коли вони помиляються. Я просто був у правильному місці в правильний час".
Роками Данило тихо сидів на їхніх серверах і передавав інформацію про діяльність групи європейським правоохоронцям. Він спостерігав, як вони обговорюють мудрість вимагання з американських малих бізнесів, як уникають злому російських цілей, як цікавляться журналістом, який розслідує отруєння Олексія Навального. У квітні 2021 року члени Conti під псевдонімами "манго" та "джонібой77" обговорювали плани отримати доступ до файлів журналіста видання Bellingcat, яке опублікувало спільне розслідування з CNN про роль ФСБ в отруєнні Навального. "Бро, не забудь про Навального, я відзначив це босу — він чекає на деталі", — писав "манго" російською.
Але щось переломилось у Данило 25 лютого 2022 року. Того дня оперативники Conti опублікували заяву про "повну підтримку" російського уряду, який щойно напав на Україну. Російський авіаудар влучив неподалік від будинку родича Данила. Він виріс в Україні, коли вона була частиною Радянського Союзу. Він не хотів бачити, як вона знову ковзає в російські руки.
Члени Conti спробували відкотити свою заяву назад, заявивши, що не підтримують жодний уряд. Але Данило почув достатньо. Через чотири дні після початку вторгнення він почав публікувати тисячі внутрішніх документів та комунікацій синдикату. Коли CNN запитали його ще раз, чому він злив дані Conti, Данило відповів зі сміхом: "Щоб довести, що вони — виродки".
Злиті дані виявились справжньою скарбницею. Там були криптовалютні рахунки, які хакери використовували для отримання мільйонів доларів викупів. Там були обговорення того, як вимагати з американських компаній. Там була очевидна націленість на журналіста, який розслідував отруєння кремлівського критика. І, що найважливіше, там були докази зв'язків оперативників Conti з російським урядом, включаючи спецслужбу ФСБ.
Але виявилась і інша, несподівана правда. В деяких випадках угруповання Conti прикривалось зв'язками з ФСБ, видаючи себе за державну операцію Advanced Persistent Threat. Чи були це справжні зв'язки зі спецслужбами, чи просто шахрайська маніпуляція всередині самого угруповання? Частина операторів та пентестерів щиро вірила, що працює не на комерційний кіберкриміналітет, а служить у "секретних підрозділах ФСБ", не порушуючи законів Росії. Їм забороняли ставити питання, розміщували офіси у великих квартирах багатоповерхівок спальних районів Петербурга. Тим часом організатор схеми, відомий під псевдонімом Таргет, заробляв мільйони доларів, платячи цим "патріотам" смішні зарплати в десятки тисяч рублів. Вони були лише витратним матеріалом.
У чатах члени Conti згадують Литейний проспект у Санкт-Петербурзі — саме там розташовані місцеві офіси ФСБ. У жовтні 2020 року, коли американські лікарні продовжували боротись з коронавірусом, член Conti під псевдонімом "Трой" написав іншому учаснику російською: "На*уй клініки в США цього тижня... Буде паніка. 428 лікарень". Через два дні ФБР та Агентство з кібербезпеки США видали страшне попередження про атаки на лікарні. Збіг? Навряд.
Після того, як Данило почав зливати дані, до нього звернувся спеціальний агент ФБР і попросив припинити. Розкриття інфраструктури Conti могло, теоретично, ускладнити ФБР відстежування групи, бо вони можуть налаштувати нові комп'ютерні системи. "Публічне розкриття інформації таким чином є безрозсудним, — сказав CNN американський правоохоронець. — Співпраця з правоохоронними органами може досягти більш істотного та тривалого впливу".
Америка дуже серйозно поставилась до Conti. Програма Rewards for Justice оголосила винагороду до 10 мільйонів доларів за інформацію, яка призведе до ідентифікації або місцезнаходження будь-якої особи, що діє за вказівкою чи під контролем іноземного уряду і бере участь у шкідливій кіберактивності проти критичної інфраструктури США. П'ять ключових фігур угруповання розшукуються під псевдонімами "Target", "Reshaev", "Professor", "Tramp" та "Dandis". З моменту першого виявлення в 2019 році Conti провела понад тисячу операцій з вимагання, атакуючи правоохоронні агенції, служби екстреної медичної допомоги, диспетчерські центри 9-1-1, муніципалітети. Понад 400 організацій по всьому світу стали жертвами, з них більше 290 — у Сполучених Штатах. Суми викупів варіювались від невеликих до космічних — деякі вимоги сягали 25 мільйонів доларів.
Але Данило зупинився. Принаймні на якийсь час. Він каже, що все ще має доступ до деяких комп'ютерних систем Conti. І ось що важливо: те, що він оприлюднив, — це лише частина. Коли ФБР попросило його припинити злив, це означало одне: і Данило, і ФБР мають набагато більше матеріалів, ніж було опубліковано і доступно іншим дослідникам.
Одним з таких недоступних матеріалів може бути оригінал фото, фрагмент якого ФБР опублікувало на сайті Rewards for Justice через деякий час після аналізу матеріалів Данила. Це фото, ймовірно, зроблене під час "тімбілдінгу в бані" — зі злитої переписки відомо, що члени команди Conti регулярно разом відвідували баню і навіть мали улюблене місце для відпочинку. Оригінал цього фото має величезну цінність для всієї спільноти дослідників кіберзлочинних угруповань, але він досі не з'явився у відкритому доступі. Кілька фрагментів оприлюднив дослідницький акаунт GangExposed, але повна картина залишається прихованою.
Коли CNN запитали, як він почувається останніми днями, відповіді Данила були незмінними: "Досі живий". Бачити, як будинки та школи перетворюються на руїни, висмоктало енергію з його голосу. Він згадував, як в перші дні війни спускався в бомбосховище під час бомбардування зі своїм ноутбуком і працював над файлами Conti. Інша людина в бомбосховищі була приголомшена, що він зосереджений на комп'ютері посеред обстрілу.
"Що ти, б*ядь, робиш?" — запитала його та людина, як згадує Данило. Він нервово засміявся, розповідаючи цю історію CNN. "Це моя робота, — сказав він. — Я роблю це, бо можу".
Це Україна в мініатюрі: хтось воює на фронті, хтось везе гуманітарку, хтось евакуює людей, а хтось у бомбосховищі відкриває ноутбук і методично руйнує кіберімперію ворога. Данило не мав зброї, але він мав знання, доступ і причину для помсти. Цього виявилось достатньо, щоб завдати удару по одній з найнебезпечніших хакерських груп світу. Після тижнів життя у війні Данило благополучно виїхав з України зі своїм ноутбуком. Але його робота продовжується.
