«Еще одна миленькая девочка-хакер»
Что мы знаем о российских организациях, подпавших под новые американские санкции
29 декабря Минфин США объявил о новых санкциях против России в связи с кибератаками, целью которых было повлиять на ход президентских выборов в ноябре 2016 года. Санкции ввели против ФСБ, ГРУ и их сотрудников, а также трех организаций — ЦОР Security (Esage Lab), автономной некоммерческой организации «Профессиональное объединение конструкторов систем информатики» и «Специального технологического центра». Президент Барак Обама заявил, что они осуществляли материальное обеспечение киберопераций ГРУ. «Медуза» рассказывает, что известно об этих организациях.
ЦОР Security
В декабре 2014 года Forbes рассказывал о создательнице компании «Цифровое оружие и защита» (ЦОР Security, бывшая Esage Lab) — татуированной блондинке Алисе Шевченко (на хакерских форумах она сидела под ником codera). Весной 2014 года Шевченко в рамках Positive Hack Days, ежегодного российского форума хакеров, участвовала в легальной хакерской атаке — с легкостью взломала систему управления инфраструктурой города-полигона; его защиту она назвала «тривиальной».
В своем инстаграме Шевченко называет себя «еще одной миленькой девочкой-хакером» (аккаунт открыт только для друзей). На ее сайте указано, что она «чаще всего работает над уязвимостями и эксплойтами». В своем твиттере через день после президентских выборов в США Шевченко написала: «Почему я уверена, что в скором будущем бывшего хакера выберут президентом».
В начале карьеры Шевченко пять лет проработала вирусным аналитиком в «Лаборатории Касперского». В 2009 году она организовала компанию Esage, которая анализировала киберзащиту различных организаций. Заказы она получала от системного интегратора «ДиалогНаука», который обслуживал контракты Минобороны, ФСО, Госдумы, российских банков; этих заказов не хватало, рассказывал Forbes.
Заняться управляемыми взломами Шевченко в том числе рекомендовала Наталья Касперская, руководитель компании InfoWatch (в ноябре 2016-го Касперская заявила, что данные пользователей российского интернета должны принадлежать государству). Позднее Шевченко начала получать заказы от «Информзащиты» (компания занимается защитой государственных информационных ресурсов и инфраструктуры — они работали на Олимпиаде в Сочи и на российских выборах в разные годы). Они проводили «боевые учения», в рамках которых атаковали клиентов.
В своих атаках ЦОР, как и «российские хакеры», взламывавшие почту американских политиков, функционеров ВАДА и журналистов, использовали фишинговые письма и вредоносные сайты — чтобы подобраться к нужным данным.
В 2014-м компания, в которой трудилось 10 сотрудников, заработала около 10 миллионов рублей. Всех сотрудников Шевченко нашла на хакерских форумах, они вместе занимались разработкой инструментария для взломов. Власти США считают, что ЦОР предоставлял свои исследования и разработки ГРУ.
Утром 30 декабря Шевченко прокомментировала свое включение в санкционные списки: «Проснулась от тонны запросов о каком-то списке „0fuck“, о котором никогда не слышала. Кажется, не выйдет сегодня покодить…»
«Специальный технологический центр» (СТЦ)
Офис «Специального технологического центра», основанного в 2011 году, находится на северной окраине Санкт-Петербурга.
Компания производит средства радиоконтроля: комплекс «Барс-МПИ3», он предназначен для поиска и идентификации источников помех и анализа нагрузки на частоту (его закупает Министерство связи). СТЦ также выпускает беспилотники «Орлан-10», позволяющие вести наблюдение в труднодоступной местности. В октябре 2015 года такой беспилотник сбили на турецкой границе; «орланов» не раз сбивали во время войны на Украине.
Белый дом считает, что СТЦ помогал ГРУ проводить кибероперации.
Автономная некоммерческая организация «Профессиональное объединение конструкторов систем информатики» (АНО ПО КСИ)
Организация основана в 1990 году для производства микроэлектроники и вычислительных систем специального назначения.
На сайте АНО ПО КСИ указано, что в организации работают около 200 человек, их офис находится в деревне Андреевка в Солнечногорском районе Подмосковья. Там же говорится, что в рамках госзаказа предприятие выпустило 30 приборов, среди которых есть неожиданные — например, сканер избирательных бюллетеней и сканер для двухстороннего ввода изображений с уложенных в стопку «бумажных оригиналов форматов А5—А3». РБК сообщал, что организация сотрудничает с Минобороны, управлением авиации ФСБ, НИИ института военной медицины Минобороны.
В публичном доступе нет информации о том, что АНО занимается деятельностью, которую можно связать с кибератаками. Белый дом считает, что АНО ПО КСИ предоставляет место для тренировки хакеров ГРУ.
* * *
«Медуза» рассказывала, как устроены российские кибервойска. В последние годы представители Министерства обороны не раз публично рассуждали об их создании. Особенно много о них говорил министр Сергей Шойгу: он призывал создать аналог американских Cyber Command и объявлял «большую охоту» на молодых программистов. В соответствии с планами Минобороны, программисты и технические специалисты начали служить в «научных ротах» при военных частях. Весной 2014 года в ведомстве появились «войска информационных операций» для «кибернетического противоборства с вероятным противником». Одну из «научных рот» сформировали в Межвидовом центре подготовки и боевого применения войск радиоэлектронной борьбы под Тамбовом. Преподаватель центра рассказывал, что студенты «отрабатывают алгоритмы кибератак, чтобы максимально эффективно воспользоваться ими при случае».
Для разработки кибероружия российские спецслужбы и военные привлекают НИИ и «специальные технические центры». В 2011 году НИИ «Квант» при ФСБ тестировал программу Remote Control System, позволяющую отслеживать действия на зараженном устройстве. В начале 2014-го при Минобороны создали Центр специальных разработок. Сотрудников для него искали на сайтах вакансий среди выпускников технических университетов; больше других требовались специалисты для анализа эксплойтов (программ для проведения компьютерных атак) и реверс-инжиниринга (исследования механизмов работы программ и устройств для их последующего воспроизведения). В вакансиях указывалось, что центр ищет сотрудников с «хорошими знаниями в области анализа исходных кодов различных программных продуктов для интересной работы в области ИБ».
В феврале 2015-го представители госкорпорации «Ростех» участвовали в тестировании системы для организации мощных сетевых DDoS-атак, рассказывал «Медузе» Александр Вяря из IT-компании Qrator. Представитель «Ростеха» Василий Бровко на встрече с компанией Packets Technologies наблюдал за тем, как система вывела из строя сайты министерства обороны Украины и российского издания Slon.ru, утверждал Вяря. Бровко сказал «Медузе», что был на встрече «для анализа системы защиты от киберугроз, а не для совершения таковых».