Снимка: Фанг Джоу
Най-известната операция на хакерската организация DarkSide може да се окаже и последната: в началото на май групата извърши атака чрез софтуер за откуп срещу компанията Colonial Pipeline, която осигурява до половината от доставките на гориво за източното крайбрежие на САЩ. Докато последиците от хакерската атака се увеличаваха, компанията спря тръбопровода и това доведе до скок в цената на бензина, както и до няколко дни на повсеместен недостиг на гориво [в САЩ]. Президентът Джо Байдън обяви извънредно положение. Според съобщенията на медиите DarkSide е получил откуп от пет милиона долара, но получаването на сумата изглежда е имало своята цена. На 14 май сайтът на DarkSide се срина и групата заяви, че е загубила достъп до много от инструментите си за комуникация и плащане – в резултат или на ответни мерки от страна на САЩ, или на решение на членовете, които финансират организацията, сами да прекратят работа.
DarkSide е група от вида „ransomware-as-a-service [софтуер-за-откуп-като-услуга]“, което означава, че тя всъщност не влага труд в извършването на кибератаки. Вместо това групата предоставя на свързаните с нея хакери редица услуги – от водене на преговори до обработка на плащанията. Тя е имала собствен блог и удобен за ползване интерфейс, чрез който хакерите са качвали и публикували открадната информация. Когато през август миналата година DarkSide дебютира в рускоезичните форуми за киберпрестъпност, съобщението за стартирането ѝ звучеше като презентация на технологичен предприемач. „Създадохме DarkSide, защото не намерихме перфектния за нас продукт“, гласеше то. „Сега вече го имаме.“ В него се посочваше подвижна скàла на таксите, която варираше от двадесет и пет процента при откупите на стойност под половин милион долара до десет процента при онези на стойност пет милиона или повече.
Използването на софтуер за откуп като услуга, подобно на съвременната технологична икономика като цяло, се е развило така, че да отчита висока степен на специализация, при която всеки участник на пазара предоставя собствените си отделни умения. Операция като атаката на DarkSide срещу Colonial Pipeline започва с лице или екип от хакери, известни като „индивидуални брокери на достъп“, които проникват в мрежата на целевата компания. От този момент друг хакер се придвижва странично до контролера на домейна – сървъра, отговарящ за сигурността и достъпа на потребителите, и инсталира там кода на софтуера за откуп. (DarkSide, наред с многото си услуги, предлага и собствена марка зловреден софтуер за блокиране и извличане на данни.) След като сървърите на жертвата са пробити и компютърните ѝ системи са замразени, хакерите предават нещата на операторите на „софтуер-за-откуп-като-услуга“, които управляват всичко останало, включително определянето на стойността на откупа, комуникацията с организациите-жертви и уреждането на подробностите по плащането. „Това са нещата, с които вие като хакер не искате да се занимавате“, казва Марк Арена, изпълнителен директор на Intel 471, частна фирма за киберразузнаване. „Нямате необходимото търпение или социални умения.“
На 10 май Байдън заяви, че американското разузнаване смята, че DarkSide се намира в Русия, макар да няма „никакви доказателства“, които да го свързват с руската държава. Подобно на много други източници на приходи в подземния свят на киберпрестъпността, откупът като услуга до голяма степен, макар и не изцяло, се доминира от рускоговорящи хакери с корени в Русия и други бивши съветски държави. (Има и много изключения, като например държавните хакерски екипи на Северна Корея, които са специализирани в онлайн кражби на банки).
Причините за тази ситуация се коренят в разпадането на Съветския съюз през 1990-те години, когато мнозина висококвалифицирани инженери, програмисти и техници внезапно останаха без работа. Десетилетия по-късно историята не се е променила много: младите поколения руснаци имат достъп до специализирано образование по физика, информатика и математика, но нямат много възможности да реализират тези си таланти, поне не срещу заплатите, които получават програмистите в Силициевата долина. „И какво виждат, когато влизат в интернет? Че е възможно с техните знания и умения да се спечелят милиони долари, просто ей така“, казва Сергей Голованов, главен експерт по сигурността в Kaspersky Lab, компания за киберсигурност, базирана в Москва. „Определен процент от тези хора решават, че си струва да нарушат закона.“
Подобна кариера може да изглежда още по-привлекателна, като се има предвид, че рисковете изглеждат доста малки, поне ако се съсредоточите върху западни цели. Въпреки че руските правоприлагащи органи периодично провеждат операции, насочени срещу местни киберпрестъпници, те обикновено си затварят очите за тези, които използват Русия като база за проникване в чуждестранни мрежи. Това отчасти е функция на правната юрисдикция и възможностите за разследване. Ако на руска територия няма жертва, която да се яви лично, за да подаде сигнал в полицията и да предостави доказателства за наказателен процес, органите няма какво да преследват. „Дори и руските правоприлагащи органи да са склонни на това, няма да има какво да разследват“, казва Алексей Лукацки, известен консултант по киберсигурност в Москва.
За да се уверят, че няма да си навлекат неприятности на родна земя, повечето сайтове за откуп като услуга забраняват да се насочват към компании или институции в Русия или на територията на бившия Съветски съюз. „Хакерите имат правило: не работете в домейна .ru“, казва Голованов. В случая на DarkSide част от кода на зловредния софтуер сканира за езици, инсталирани на целевата работна станция; ако открие руски или друг език, характерен за страните от бившия Съветски съюз, той не се разгръща и се изтрива от машината.
Но има и още една много важна причина, поради която киберпрестъпниците могат да се чувстват сравнително свободни да действат от територията на Русия. Руските служби за сигурност се изкушават да гледат на хакерите, които се насочват към западни корпорации, правителства и частни лица, не толкова като на заплаха, колкото като на ресурс. През 2014 г. ФБР повдигна обвинение сещу руски хакер на име Евгений Богачев по обвинения в кражба на стотици милиони долари от банкови сметки по целия свят; американските прокурори поискаха от руските си колеги съдействие. Вместо да арестуват Богачев обаче, руските власти използваха неговите пробиви, за да издирват файлове и имейли на устройства, принадлежащи на държавни служители и изпълнители в САЩ, Грузия и Турция. Както пише „Таймс“, руската държава на практика „присажда разузнавателна операция към мащабна киберпрестъпна схема, като си спестява тежката работа по хакването на самите компютри“.
В стратегически документ от 2012 г., озаглавен „Отвъд приписването [на вина]“, Джейсън Хийли, директор на Инициативата за кибернетичен държавен интелект към Атлантическия съвет, предлага оценката на отговорността на държавата за хакерски атаки да се извършва по континуум, вариращ от „забранено от държавата“ до „интегрирано от държавата“. Не е ясно точно къде в тази линия попада атаката DarkSide срещу Colonial Pipeline или какво е имал предвид Байдън, когато е казал, че Русия „носи известна отговорност да се справи с всичко това“. Засега публично достъпните доказателства предполагат категоризацията „държавно игнорирана“ (според таксономията на Хийли), при която „националното правителство знае за атаките на трети страни, но като въпрос на политика не желае да предприеме никакви официални действия“.
От своя страна Кремъл отхвърли всяко предположение, че носи някаква вина за това, че не е направил повече за ограничаване на дейността на групи като DarkSide. „Русия няма нищо общо с това“, заяви говорителят на Владимир Путин, Дмитрий Песков. Но обвиненията за руско участие в големи хакерски операции в този момент са станали нещо обичайно. Само преди месец Байдън санкционира Русия за пробива в SolarWinds, при който мрежите на поне девет отделни федерални агенции и стотина частни компании бяха компрометирани от руските разузнавателни служби. „В Русия сме свикнали с обвиненията, че хакваме всички и всичко“, каза ми язвително Лукацки.
Междувременно рускоезичните форуми за киберпрестъпност, които в миналото са били пазар за DarkSide, забраниха достъпа на групата до своите портали. Думата „откуп“ „е станала опасна и токсична“, пише един от администраторите, като отбелязва, че последното нещо, което руските криминални хакери и техните сътрудници искат, е да създават проблеми на Кремъл. „Песков е принуден да се оправдава пред нашите задокеански ‚приятели‘ – това е безсмислица и знак, че нещата са отишли твърде далеч“.
Но никой не очаква тази практика да изчезне. Няколко от най-големите организации, предлагащи откуп като услуга, обявиха, че ще преминат към работа в „частен“ режим, като престанат да се рекламират в тъмната мрежа и ще приемат само заявки на хакери, които познават и на които имат доверие. Те също така заявиха, че ще поемат по-активна роля в предварителното проверяване и одобряване на целите. Що се отнася до самата DarkSide, тя вероятно ще се прегрупира и ще се преименува – един много технологичен начин за възстановяване след публичен провал. „Такива хора не остават без работа завинаги“, казва Дмитрий Волков, главен технологичен директор на Group-IB, московска компания за киберсигурност.
Най-голямата опасност на пазара на софтуер за откуп е колко добре работи той, поне засега. В случая с хакването на Colonial Pipeline от DarkSide близо петте милиона долара са едновременно голямо заплащане за киберпрестъпниците и дребни стотинки за Colonial, в сравнение с това, което би струвало на петролната компания, чиито годишни приходи надхвърлят един милиард долара, по-нататъшното спиране на дейността ѝ. Анализ, извършен от Elliptic, фирма за криптосигурност, установи, че в биткойн портфейла, отворен от DarkSide, са постъпили седемнадесет и половина милиона долара от март насам, включително изплатената сума от Colonial Pipeline. „Изплащането на откупа от сто милиона долара предстои, освен ако вече не е направено и ние просто не го знаем“, каза ми Марк Арена. Той добави, че това повдига друг, по-важен въпрос: „Колко пари трябва да се източат от националната икономика, преди софтуерът за откуп да се превърне в заплаха за националната сигурност?“
