«Мы открыли горячую линию, – сказали Романцовой в Центре, – и теперь нам нужен человек, который сидел бы здесь с четырех до восьми утра». Романцова с радостью согласилась – работа в банке начиналась в девять.

Впрочем, просто сидеть на телефоне ей казалось мало. Все те месяцы, пока продолжалось противостояние на Майдане, она курсировала между офисом и больницей, куда отвозили раненых. Тем временем «Евромайдан SOS» стремительно разрастался, особенно после того, как несколько радиостанций и главный телеканал страны стали анонсировать номер их горячей линии – вернее, уже три номера. Начавшись как служба по поиску пострадавших, «Евромайдан SOS» превратился в один из главных источников информации о Майдане. Им звонили со всего города: люди сообщали о передвижениях «Беркута», и эта информация тотчас появлялась на странице «Евромайдана SOS» вместе с просьбой перепроверить{300}.

«Евромайдан SOS» использовал преимущества, которые давала горизонтальная структура сети: люди могли мгновенно делиться важной информацией и распространять ее повсюду, и при этом не было необходимости создавать какую-либо организацию. Происходящее в Киеве напоминало август 1991 года в Москве, когда «Релком» просил своих пользователей выглядывать из окон и сообщать о передвижениях вооруженных сил. Только на этот раз средством связи стала не электронная почта, а группа в Facebook.

Власти знали о существовании «Евромайдана SOS», но опять не успевали за скоростью распространения информации. Чем дольше длились протесты, тем быстрее росла группа. Вскоре активисты составили полные списки раненых, пропавших и задержанных «Беркутом», и эти списки постоянно проверялись и обновлялись. Вместе с Романцовой на «Евромайдане SOS» теперь работали 250 волонтеров – они разыскивали пропавших и поддерживали прямую телефонную связь с организаторами движения на Майдане. Там регулярно со сцены звучали объявления с именами пропавших и арестованных.

Протестующие были постоянно онлайн, но это могло обернуться и против них. Ночь 21 января 2014 года выдалась холодной, в Киеве было –12 °С. Большинство людей спали в палатках, когда внезапно их телефоны начали вибрировать от пришедших SMS. В сообщении, помеченном как сервисное, говорилось: «Уважаемый абонент, вы зарегистрированы как участник массовых беспорядков». Такое сообщение получили пользователи всех киевских мобильных операторов – «Киевстара», МТС и Life. Но получили его только те, кто находился на площади Независимости. Текст SMS напоминал только что подписанный Януковичем закон, вводивший наказание за участие в протестах. Этим утром закон как раз вступил в силу.

Смысл рассылки был абсолютно понятен. Власти предупреждали: мы знаем имена всех, кто собрался на Майдане. Это была акция устрашения.

Романцова тоже получила эту SMS, но она не произвела на нее особого впечатления. Множество людей сделали скриншот сообщения и немедленно выложили его в интернет – Сеть ответила на вызов.

Акция устрашения не дала ожидаемого эффекта. SMS лишь разозлили украинцев, и про рассылку сразу написали украинские и мировые издания{301}. Мобильные операторы тут же заявили, что не имеют к этому никакого отношения. Возник вопрос: кто тогда это сделал?

«Киевстар» предположил, что это была работа «пиратской» мобильной вышки. Речь могла идти об устройстве, известном как IMSI-catcher – технологии, которую спецслужбы разных стран используют уже несколько лет. Фактически это фальшивая базовая станция сотовой связи, которая может поместиться в обычный дипломат. Мобильные телефоны автоматически посылают сигнал на эту станцию, принимая ее за настоящую. Таким образом спецслужбы узнают не только местоположение телефонов в зоне действия устройства, но и перехватывают весь трафик, от телефонных переговоров до SMS.

Однако операторы не смогли предоставить доказательств использования ложной станции сотовой связи.

Оставался еще один вариант: СОРМ – черные ящики, способные мониторить как интернет, так и сотовую связь. С помощью СОРМ вполне можно было разослать подобное сообщение. У украинских спецслужб была технология СОРМ, и они могли воспользоваться ей как черным ходом в украинские сети, чтобы манипулировать ими незаметно для операторов. Эта версия вскоре получила неожиданное подтверждение. В конце января стало известно, что еще в начале месяца районный суд Киева предписал «Киевстару» предоставить МВД информацию о всех телефонах, включенных около здания суда во время протестной акции 10 января{302}. Судебное решение № 759/335/14-к, которое мы нашли, перечисляло шесть базовых станций оператора около здания суда и предписывало идентифицировать всех, кто находился в их зоне действия с 6 часов вечера 10 января до 4 утра следующего дня. При этом следователь просил провести рассмотрение ходатайства без вызова представителя «Киевстар». Суд эту просьбу удовлетворил, записи заседания не велось. Благодаря судебному решению стало понятно, что силовые структуры Украины имели все возможности прослушивать телефоны без уведомления оператора связи.

После 1 марта – дня, когда Россия аннексировала Крым, – многие западные эксперты говорили нам, что ожидают массированных DDoS-атак на украинские сайты. Эти страхи выглядели вполне реальными: в 2000-е ни один конфликт России с соседними государствами, в том числе с Грузией и Эстонией, не обошелся без атак на онлайн-ресурсы этих стран{303}. Поначалу казалось, что украинский конфликт развивается по тому же сценарию. 3 марта украинское информационное агентство УНИАН сообщило о мощной DDoS-атаке на свой сайт, из-за чего тот в течение некоторого времени был недоступен{304}.

Интернет-инфраструктура страны выглядела столь слабой, что едва не провоцировала на кибератаку. Украинцы это прекрасно понимали. В тот же день сторонник Майдана Константин Корсун, бывший сотрудник СБУ, к 2014-му возглавивший НГО «Украинская группа информационной безопасности» (UISG), обратился с воззванием в LinkedIn. «В связи с военной интервенцией РФ против Украины прошу всех, кто имеет технические возможности противостоять врагу в информационной войне, связаться со мной в личке и быть готовым к бою, – написал он на своей странице. – Будем связываться с силовиками и объединять усилия против внешнего врага».

Почти сразу он получил ответ от Максима Литвинова, начальника Управления борьбы с киберпреступностью в МВД Украины: «На меня можете рассчитывать». Литвинов писал: «Есть аналитики, есть лаборатория, личный состав без дезертиров. Предлагаю не ждать взломов, а провести пен-тесты (тестирование на проникновение) критических объектов, данные готов обобщить и перезнакомить тестеров с админами потенциальных потерпевших»{305}.

Ожидаемая массированная кибератака не заставила себя ждать, но приняла неожиданное направление. Вместо хакерских взломов Украина получила взрыв пропаганды в соцсетях, и прежде всего во «ВКонтакте»{306}. На этом направлении у Кремля было несколько преимуществ. Во-первых, Россию с Украиной связывало общее советское культурное и историческое наследие: опыт Великой Отечественной войны и повсеместное использование на Украине русского языка. Во-вторых, российская сеть «ВКонтакте» была самой популярной на Украине, насчитывая около 20 миллионов зарегистрированных пользователей. То есть Кремль прекрасно знал, как подать тему, и почти полностью контролировал «ВКонтакте». Но затем в Москве решили пойти дальше и попытаться отбить поле боя на площадках, которые прежде использовали активисты, – Twitter, Facebook и YouTube. Легионы троллей ринулись в Сеть, чтобы смущать, провоцировать и запугивать. Это были не только добровольцы, но и оплачиваемые Кремлем пропагандисты. В 2000-е их использовали внутри России против независимых СМИ и блогеров. Теперь эту армию выпустили за пределы страны.