Закончив с теоретической частью, сотрудник компании запустил VPN-соединение [[7] ] и Tor-браузер [[8] ], обеспечив себе анонимность (начало такой атаки отследить практически невозможно). Набрал в браузере IP-адрес [[9] ] – открылась страница с крайне простым интерфейсом. Наверху размещалась адресная строка, ниже – около десятка названий подвидов DDoS-атак, рядом с каждой – пустая ячейка, которую можно отметить галочкой. Внизу – кнопка для выбора мощности атаки: от 100 мегабит до 10 гигабит в секунду. «Можно не на всю катушку, если жертве достаточно поменьше», – поясняет Вяря.
Сотрудники компании ввели в строке интерфейса адрес сайта министерства обороны Украины. В соседнем окне открыли страницу сервиса, по которому можно определять работоспособность сайтов. Затем включили программу в полную силу. Возник график, показывающий мощность атаки – вскоре она достигла 10 Гбит / с. Сервис работоспособности показал, что сайт недоступен. Его попробовали открыть в браузере, но он не загрузился. Через пару минут атаку остановили и сайт снова стал открываться.
Потом они попробовали атаковать сайт украинского министерства обороны на мощности в 100 Мбит / с – он снова перестал работать.
«Давайте проверим на slon.ru», – предложил Бровко, до этого молчавший (я воспроизвожу его реплику со слов Вяри). «Слон» (сейчас называется Republic), одно из самых популярных независимых новостных СМИ в России, атаковали на мощности 10 Гбит / с. Сайт перестал открываться и лежал несколько минут. Позже тогдашний главный редактор «Слона» Максим Кашулинский подтвердил мне, что 5 февраля 2015 года они зафиксировали атаку, которая на две минуты обрушила сайт.
«А что, если сайты пользуются защитой? Пробьете?» – спросил Вяря. Ему ответили, что в этом случае придется узнавать реальный адрес сервера (все сервисы защиты пропускают атаку через себя, а реальный адрес сервера маскируют), но у Packet Technologies есть соответствующая методика. Вяря уточнил, сколько стоит система; по его словам, Бровко ответил: «Около миллиона долларов».
После встречи Вяря и Бровко отправились в Grand Hotel Sofia. Сели в лобби, взяли кофе. Вяря вспоминает, что Бровко больше всего интересовало, как найти реальный адрес сайта и на каких трафикообменниках лучше всего ставить такую систему. Через некоторое время сотрудник «Ростеха» якобы сказал: «Ну что, нам нужен кто-то, кто будет этим управлять». Вяря поперхнулся и сказал: «Нет, извините. Я не хакер. Это против моих принципов, и это противозаконно». Бровко, по словам Вяри, спросил: «Ты знаешь, какая организация тебя сюда пригласила?» Вяря предположил, что он намекает на ФСБ, но вслух сказал, что впредь готов только отвечать на вопросы по технической части. Они добавили друг друга в Telegram и разошлись.
Вяря, по его словам, был шокирован произошедшим. Он сразу написал обо всем своему начальнику Лямину – тот рекомендовал «остаться максимально в стороне». На следующий день, 6 февраля, Вяря вернулся в Москву.
Вяря предоставил мне скриншоты дальнейших переписок с Бровко и свои с начальством. Сотруднику «Ростеха» он написал несколько сообщений с советами по технической части. В частности, порекомендовал использовать для системы голландские трафикообменники, где «проходят терабиты трафика – и на десяток гигабит не обратят внимания». Бровко ответил коротко: «Спасибо. Изучаю».
5 марта 2015 года Вяре написала помощница Бровко, сообщила, что тот просит о встрече: «На Патриарших прудах. Это не конкретное заведение, просто прогулка». Через несколько часов Вяря ответил, что этот вопрос нужно решать с его руководством. Тогда ему написал уже сам Бровко.
Привет. Мы же вроде договаривались иногда общаться без вовлечения твоего руководства.
Сможем сег повидаться?
Вяря:
Привет
шеф просит через него решить
как он скажет
Бровко:
Вяря:
он очень недоволен что через голову прыгают, обычно Вартан [Хачатуров] ему звонит и с ним обсуждает
а я человек подневольный и без одобрения шефа не могу
Бровко:
Ну ты скажи, что кофе выпить выйдешь
Вяря:
Бровко:
Не прав, но ладно
Дай номер шефа своего
Лямину все это не понравилось. Он завел в Telegram чат под названием «WTF», куда пригласил Вярю, Бровко и Хачатурова.
Лямин:
Коллеги.
День добрый.
Сказать что я взбешен – это ничего не сказать.
Хачатуров:
Лямин:
Вартан, я всегда рад помочь тебе. Ты знаешь. Но когда к моим сотрудникам начинают лезть через мою голову – Я ПРОТИВ
Хачатуров:
Я честно говоря думал, что это разовая история:)
Лямин:
Я согласился помочь с Софией. Ни больше, ни меньше. Весь остальной «креатив» мной санкционирован не был. ‹…›.
Ждем комментариев и объяснений Василия Бровко.
Хачатуров:
Коллеги, давайте только спокойно:)
Лямин:
я спокойно в бешенстве
джентльмены так не поступают.
Бровко:
Не понимаю о чем речь в целом. Мне Денис [Вяря не знает, кто это такой. – Прим. Авт.] сказал, что вы мой консалтинг в очень щекотливом вопросе. Нет, так нет
Хачатуров:
Василий, просто Денис не сказал, что это длящаяся работа, а не разовая помощь:)
Бровко:
Разовая помощь
15 мин хотел
Хачатуров:
Мне кажется, это тогда не проблема, Саш
Лямин:
Я не знал что это 15 минут и зачем эти 15 минут
Хачутуров:
Просто нужно с тобой согласовать
Лямин:
В любом случае это мой сотрудник рабочее время которого оплачиваю я.
о чем вообще речь?
есть мой контакт – со мной и работайте.
дело не в том что 15 минут. дело в том что с людьми на моей зарплате общаются через мою голову. это недопустимо.
Хачатуров:
Ладно, Саш, успокойся, пожалуйста. Это недоразумение, и мы его уже урегулировали:)
Лямин:
Надеюсь меня услышали и поняли.
По словам Вяри, после этого Бровко и его сотрудники больше к нему не обращались.
* * *
Я написал Василию Бровко на номер в Telegram, с которого тот предлагал Вяре встретиться для обсуждения кибератак. Он почти сразу же ответил, что «был в Болгарии для анализа системы защиты от киберугроз, а не для совершения таковых». «Не буду комментировать обвинения за рамками здравого смысла и не имеющие связи с реальностью, – добавил Бровко. – „Ростех“ постоянно подвергается кибератакам – с начала года на предприятия корпорации их было совершено свыше 11 тысяч».
Начальник Вяри Александр Лямин пригласил меня поговорить в офис Qrator Labs. Он оказался веселым разговорчивым бородачом в кедах и разноцветной футболке – и подтвердил, что Вяря ездил на встречу с Василием Бровко по просьбе Хачатурова из Минкомсвязи. «Речь шла вовсе не о системе для DDoS-атак, а о трафикогенераторе – системе, необходимой для проверки устойчивости сайтов к нагрузке, – сказал Лямин. – Да, скорее всего, был залп по „Слону“. Экспериментальный, на проверку. Нелегально? Это серая зона».
Лямин предположил, что Вяря чем-то обижен на его компанию и, возможно, рассказывая о заказе «Ростеха», выполнял заказ «Лаборатории Касперского», их главного конкурента. «В Финляндии доллары пригодятся», – сказал Лямин и отправил мне ссылку[10] на расследование Reuters о том, что Евгений Касперский призывал «мочить конкурентов». Он добавил, что не уверен, что Вяря «здоров».
