"Не могу стрелять, но могу биться клавиатурой": как украинец взломал самых опасных хакеров России

Вместо этого он открыл ноутбук и за четыре дня слил крупнейший в истории пакет внутренних данных о Conti — одной из самых опасных российских хакерских группировок, разыскиваемой ФБР за атаки на сотни американских организаций.

CNN удалось поговорить с этим человеком эксклюзивно. Его настоящее имя не разглашается из соображений безопасности, поэтому он фигурирует под псевдонимом Данило. "Я не могу в кого-то стрелять, но я могу биться клавиатурой и мышкой", — объяснил он свою мотивацию.

Conti — это не просто название вредоносного программного обеспечения. Это целая преступная организация, синдикат российских и восточноевропейских киберпреступников, годами занимавшихся вымогательством. Их схема проста: взломать компьютерную сеть компании, зашифровать все данные, требовать выкуп. Только за четыре месяца 2021 года хакеры Conti получили как минимум 25,5 миллиона долларов выкупов. Они атаковали районный суд в Луизиане, парализовали систему здравоохранения Ирландии стоимостью 25 миллиардов долларов, сбивали с ног больницы в США.

Данило следил за этой группой годами. По его словам, он впервые получил доступ к компьютерным системам того, что впоследствии станет синдикатом Conti, еще в 2016 году. Как именно это произошло, он не рассказывает подробно, но независимые эксперты по безопасности подтвердили CNN, что слитые данные действительно принадлежат хакерам. "Иногда они делают ошибки, — говорит Данило. — Нужно ловить их, когда они ошибаются. Я просто был в правильном месте в правильное время".

Годами Данило тихо сидел на их серверах и передавал информацию о деятельности группы европейским правоохранителям. Он наблюдал, как они обсуждают мудрость вымогательства у американского малого бизнеса, как избегают взлома российских целей, как интересуются журналистом, расследующим отравление Алексея Навального. В апреле 2021 года члены Conti под псевдонимами "манго" и "джонибой77" обсуждали планы получить доступ к файлам журналиста издания Bellingcat, опубликовавшего совместное расследование с CNN о роли ФСБ в отравлении Навального. "Бро, не забудь про Навального, я отметил это боссу — он ждет деталей", — писал "манго" по-русски.

Но что-то сломалось в Данило 25 февраля 2022 года. В тот день оперативники Conti опубликовали заявление о "полной поддержке" российского правительства, только что напавшего на Украину. Российский авиаудар попал недалеко от дома родственника Данило. Он вырос в Украине, когда она была частью Советского Союза. Он не хотел видеть, как она снова скользит в российские руки.

Члены Conti попытались откатить свое заявление назад, утверждая, что не поддерживают ни одно правительство. Но Данило услышал достаточно. Через четыре дня после начала вторжения он начал публиковать тысячи внутренних документов и коммуникаций синдиката. Когда CNN спросили его еще раз, почему он слил данные Conti, Данило ответил со смехом: "Чтобы доказать, что они — ублюдки".

Слитые данные оказались настоящей сокровищницей. Там были криптовалютные счета, которые хакеры использовали для получения миллионов долларов выкупов. Там были обсуждения того, как вымогать деньги у американских компаний. Там была очевидная нацеленность на журналиста, расследовавшего отравление кремлевского критика. И, что самое важное, там были доказательства связей оперативников Conti с российским правительством, включая спецслужбу ФСБ.

Но открылась и другая, неожиданная правда. В ряде случаев группировка Conti прикрывалась связями с ФСБ, выдавая себя за государственную операцию Advanced Persistent Threat. Были ли это реальные связи со спецслужбами или просто мошенническая манипуляция внутри самой группировки? Часть операторов и пентестеров искренне верила, что работает не на коммерческую киберпреступность, а служит в "секретных подразделениях ФСБ", не нарушая законов России. Им запрещали задавать вопросы, размещали офисы в больших квартирах многоэтажек спальных районов Петербурга. Тем временем организатор схемы, известный под псевдонимом Таргет, зарабатывал миллионы долларов, платя этим "патриотам" смешные зарплаты в десятки тысяч рублей. Они были лишь расходным материалом.

В чатах члены Conti упоминают Литейный проспект в Санкт-Петербурге — именно там расположены местные офисы ФСБ. В октябре 2020 года, когда американские больницы продолжали бороться с коронавирусом, член Conti под псевдонимом "Трой" написал другому участнику по-русски: "На*уй клиники в США на этой неделе... Будет паника. 428 больниц". Через два дня ФБР и Агентство по кибербезопасности США выдали страшное предупреждение об атаках на больницы. Совпадение? Вряд ли.

После того, как Данило начал сливать данные, к нему обратился специальный агент ФБР и попросил прекратить. Раскрытие инфраструктуры Conti могло, теоретически, усложнить ФБР отслеживание группы, потому что они могут настроить новые компьютерные системы. "Публичное раскрытие информации таким образом является безрассудным, — сказал CNN американский правоохранитель. — Сотрудничество с правоохранительными органами может достичь более существенного и долгосрочного влияния".

Америка очень серьезно отнеслась к Conti. Программа Rewards for Justice объявила вознаграждение до 10 миллионов долларов за информацию, ведущую к идентификации или местонахождению любого лица, действующего по указанию или под контролем иностранного правительства и участвующего во вредоносной киберактивности против критической инфраструктуры США. Пять ключевых фигур группировки разыскиваются под псевдонимами "Target", "Reshaev", "Professor", "Tramp" и "Dandis". С момента первого обнаружения в 2019 году Conti провела более тысячи операций по вымогательству, атакуя правоохранительные агентства, службы экстренной медицинской помощи, диспетчерские центры 9-1-1, муниципалитеты. Более 400 организаций по всему миру стали жертвами, из них более 290 — в Соединенных Штатах. Суммы выкупов варьировались от небольших до космических — некоторые требования достигали 25 миллионов долларов.

Но Данило остановился. По крайней мере на какое-то время. Он говорит, что все еще имеет доступ к некоторым компьютерным системам Conti. И вот что важно: то, что он обнародовал, — это только часть. Когда ФБР попросило его прекратить слив, это означало одно: и Данило, и ФБР имеют гораздо больше материалов, чем было опубликовано и доступно другим исследователям.

Одним из таких недоступных материалов может быть оригинал фото, фрагмент которого ФБР опубликовало на сайте Rewards for Justice через некоторое время после анализа материалов Данило. Это фото, вероятно, сделано во время "тимбилдинга в бане" — из слитой переписки известно, что члены команды Conti регулярно вместе посещали баню и даже имели любимое место для отдыха. Оригинал этого фото имеет огромную ценность для всего сообщества исследователей киберпреступных группировок, но он до сих пор не появился в открытом доступе. Несколько фрагментов обнародовал исследовательский аккаунт GangExposed, но полная картина остается скрытой.

Когда CNN спросили, как он себя чувствует последними днями, ответы Данило были неизменными: "Пока жив". Видеть, как дома и школы превращаются в руины, высосало энергию из его голоса. Он вспоминал, как в первые дни войны спускался в бомбоубежище во время бомбардировки со своим ноутбуком и работал над файлами Conti. Другой человек в бомбоубежище был ошеломлен, что он сосредоточен на компьютере посреди обстрела.

"Что ты, бл*дь, делаешь?" — спросил его тот человек, как вспоминает Данило. Он нервно засмеялся, рассказывая эту историю CNN. "Это моя работа, — сказал он. — Я делаю это, потому что могу".

Это Украина в миниатюре: кто-то воюет на фронте, кто-то везет гуманитарку, кто-то эвакуирует людей, а кто-то в бомбоубежище открывает ноутбук и методично разрушает киберимперию врага. У Данило не было оружия, но у него были знания, доступ и причина для мести. Этого оказалось достаточно, чтобы нанести удар по одной из самых опасных хакерских групп мира. После недель жизни в войне Данило благополучно выехал из Украины со своим ноутбуком. Но его работа продолжается.