Русские хакеры так часто появляются в новостях, что уже стали мемом. Они устойчиво ассоциируются с ФСБ, взломами почты политиков и атаками на структуры правительственного масштаба по всему миру. Между тем многие одиозные хакеры середины нулевых уже отсидели и ушли из теневого сектора, а жизнь сегодняшних киберпреступников не ограничивается взломом банков и работой на госорганы. Самиздат разбирается, как устроена жизнь современных хакеров, как они крадут миллионы долларов, находят легальную работу в корпорациях и борются со злоумышленниками.
Хакерская атака происходит каждые 39 секунд. Киберпреступность генерит в год на 200 миллиардов долларов больше, чем вся международная наркоторговля, — 600 миллиардов долларов. Более 75 % компаний и организаций на свете не смогут выдержать даже простейшей хакерской атаки, они не подготовлены к ней. Русские хакеры — самые быстрые и резвые: в среднем им нужно всего 18 минут, чтобы захватить компьютерную сеть. Китайским — четыре часа. Хакеры каждый день создают 300 000 новых вирусных программ. В 2021 году на свете будет более 3,5 миллиона рабочих мест в сфере кибербезопасности. Жизнь, быт и нравы хакеров в медиа принято наделять таинственными чертами, домыслами и стереотипами: мрачные ребята в натянутых на глаза худи, молчаливые и всемогущие инквизиторы. Чтобы разобраться в хитросплетениях этой индустрии, понять, кто есть кто и как можно взломать госпиталь, Центробанк и вообще всё что угодно на свете, нужно для начала разобраться в том, кто такие «белые» и «чёрные» хакеры и как они меняются ролями.
Чтобы взломать «Сапсан», потребовалось 20 минут — и то потому, что сервер поезда лагал. Ноябрь 2019 года, keklick1337 возвращается вечерним экспрессом из Петербурга, где проходила международная конференция ZeroNights. Это одно из самых известных в России мероприятий для специалистов по кибербезопасности. Участники ZeroNights представляют доклады о киберугрозах, а слушатели могут поучаствовать в тематических квестах. Одна из задач — взлом предоставленного для конкурса устройства, за вознаграждение. На конференции keklick1337 не нашёл ничего достойного внимания, расстроился и отправился домой. Оставались незавершённые рабочие задачи по пентестингу, так что он подключился к Wi-Fi, который потребовал последние четыре цифры паспорта и номер места и так немыслимо медленно работал, что даже не грузил почту. Обычный человек занялся бы другими делами, но keklick1337 заскучал и решил развлечься — взломать «Сапсан»: раз Wi-Fi просит номер паспорта, значит, где-то хранятся данные обо всех пассажирах поезда. Всего двадцать минут — и keklick1337 видит данные всех пассажиров этого и прошлых рейсов, и никакой защиты и шифрования.
Вообще-то keklick1337 — белый хакер, который защищает крупные компании от атак злоумышленников. На интернет-жаргоне последние четыре цифры его никнейма читаются как «leet», то есть «элита» — довольно популярное окончание, под которым работают хакеры и специалисты по информационной безопасности.
«Сейчас за мной активно наблюдают, — убеждён keklick1337. — Хотя полученными в результате взлома данными я даже не воспользовался». Зато поделился своей историей на «Хабре». После этого в соцсетях ему начали приходить двусмысленные сообщения: копипаст мема «ты молодой, шутливый, тебе всё легко» заканчивался угрозой «дело ляжет на стол, без вариантов». Но дальше интернет-запугиваний не дошло. Следственный комитет не стал возбуждать уголовное дело, а в РЖД заявили, что компания не нашла уязвимостей, влияющих на утечку критических данных.
Белых хакеров ещё называют вайт-хэтами или пентестерами, от английского penetration testing — тест на проникновение. Компания нанимает пентестера, и тот взламывает IT-системы заказчика, чтобы найти уязвимости раньше, чем ими воспользуется кто-нибудь ещё.
«Я начинал с написания чит-кодов на игры[ цитата], — рассказывает keklick1337. — Затем стал углубляться в тему, интересоваться взломом сайтов. Во многом помог гугл». По словам пентестера, специальное образование тут иметь не обязательно, достаточно изучить RFC — технические стандарты, которые регулируют деятельность в интернете. В RFC отражены порядок присвоения доменных имен, описание протоколов передачи данных (IP, TCP и другие), требования к хосту и другие аспекты работы в сети. Причём найти можно не только действующие интернет-стандарты, но и их черновые версии, которые находятся на стадии обсуждения. Начинающие хакеры и пентестеры проводят ночи за чтением статей (а потом ночи — за взломами) о том, как исследователи интернета находят уязвимости, — в Рунете такой информации мало, поэтому приходится искать материалы на английском.
keklick1337 решил работать легально: «Поблэчить (заняться киберпреступностью) всегда можно, но после этого трудно реализоваться. Криминал затягивает, потом сложно зарекомендовать себя в белой сфере, а внутри сети крупной компании максимально легко развиваться. Ещё пентестинг в разы проще, потому что тебя запускают внутрь сети, делая 70 % твоей работы. Моя мотивация здесь — just for fun. Мне интересна гонка с разработчиками, я хочу понять, что лучше — атака или защита».
Нелегальная работа стоит дороже, поэтому киберпреступник, который работает под ником FUKTTT, на тёмной стороне. Он выходит на связь вечером: работает ночью, по утрам отсыпается. В этом FUKTTT не одинок: по данным компании Solar Security, в 2018 году 48,9 % критичных взломов произошли в ночное время. Так проще осуществить атаку: в большинстве случаев пользователи взламываемых сетей неактивны по ночам.
Мы общаемся в переписке: в целях безопасности хакер не раскрывает имя и не соглашается даже на звонок. Впрочем, регистрации на засекреченной даркнет-площадке не потребовалось: чата в телеграме оказалось достаточно. Перед началом разговора FUKTTT спрашивает, в каком формате будет текст. «Не хочу, чтобы это был призыв к действию». Да и в его работе «нет ничего интересного — просто сидишь ночью и ждёшь заказ: на одном мониторе документация, на другом — редактор кода».
В киберпреступность FUKTTT привели деньги: в 2014 году Лаборатория Касперского предположила, что хакер может заработать не менее 10 тысяч долларов на одной атаке. По результатам исследования, самой прибыльной оказалась рассылка банковских троянов: одна атака может принести организаторам до 72 тысяч долларов.
Блэк-хэт — так, по аналогии с вайт-хэтами, называют хакеров-преступников — начал изучать мир взломов, чтобы заработать на компьютерные игры: «Хотел самый крутой шмот, а получить его было сложно без денег. Их у меня не было, семья тоже не особо богатая. Всё, что пришло в голову, — заполучить аккаунт человека, у которого деньги есть. Я вообще-то пробовал зарабатывать легально. Фрилансил, создавал сайты и программы. Но это уже не те деньги, которых мне хватало бы на жизнь и развлечения».
Сегодня FUKTTT занимается разработкой вредоносных программ. «Я не „суперхацкер“ из нулевых, — уточняет он. — Я обычный кодер, который в этом крутится около шести-семи лет. Даже не прячусь, если честно, меня очень легко раздеанонить — не занимаюсь ничем серьёзным. Хотя силовикам попадаются только неосторожные. Те, кто вообще не скрывает свои данные».
Альтист взламывает банк, а журнал «Хакер» взрослеет
Первое поколение «суперхацкеров» выросло из сообщества любителей компьютеров. Журналист Даниил Туровский начинает свою книгу «Вторжение. Краткая история русских хакеров» так: «Это история подростков всего бывшего СССР. Они росли в семьях советских инженеров, в юности читали киберпанк и научную фантастику, покупали на рынках клоны компьютеров IBM — и вдруг оказывались на хакерских форумах, которые часто заменяли им тоскливую русскую жизнь за окном: грязные улицы, бедность, пустое и пугающее в своей неопределённости будущее».
В 90-е взломами занимались скорее для развлечения, чем для получения прибыли. Небольшая группа энтузиастов крала данные с чужих устройств, руководствуясь манифестом хакера — в 1986 году его написал американский взломщик Ллойд Блэнкеншип. «Да, я преступник. Моё преступление — любопытство[ цитата]. Моё преступление в том, что я сужу людей не по тому, как они выглядят, а по тому, что они говорят и думают. Моё преступление в том, что я намного умнее вас. Это то, чего вы мне никогда не простите». Денег, которые взломщикам приносило любопытство, вполне хватало на покупку одежды Versace и Calvin Klein и обеды в лучших ресторанах Москвы, но роскошь, пишет Туровский в «Вторжении», не была целью взломщиков, а скорее воспринималась ими как свидетельство собственного кастового превосходства.
Об одном из хакеров-романтиков российская пресса узнала в конце 1998 года. Преступник под ником NetSerpent в компании трёх сообщников украл 97 000 долларов с банковских счетов. Выяснилось, что под ником скрывается альтист Илья Гофман, сын композитора Леонида Гофмана. На момент ареста Илье был 21 год, он учился в Московской консерватории в классе Юрия Башмета, который назвал музыканта одним из лучших молодых альтистов Москвы. Позже Гофман в программе «Школа злословия» сравнил взломы банков с решением ребуса. «Изучить эту проблему (деятельность хакеров) можно только практически. Всё казалось увлекательным, на грани. Но никто не ставил целью финансовые махинации».
Из-за ареста Илья не успел получить свою долю. В 1999 году Гофмана и его напарников приговорили к пяти годам лишения свободы условно. На тот момент в российском Уголовном кодексе не было статей, которые предусматривают наказание за киберпреступления. Сейчас приговоры стали жёстче: для сравнения, в 2019 году участники хакерской группировки, укравшие более 17 миллионов рублей, получили от 10 до 13 лет, причём двух из трёх членов команды приговорили к отбытию срока в колонии строгого режима.
В 2005 году на лондонской конференции e-crime Congress начальник управления «К» МВД Борис Мирошников назвал русских хакеров лучшими в мире. Но, кроме этого, в выступлении генерал-лейтенанта прозвучало ещё одно любопытное наблюдение: «Раньше этим занимались озорные мальчишки. Теперь они выросли и осознали, что если ты в чём-то хорошо разбираешься, то должен использовать это, чтобы заработать на жизнь. Они стали хакерами и объединяются через сети, чтобы разбогатеть». С этого момента в ход пошли грязные методы, например кардинг и торговля данными интернет-пользователей.
К середине нулевых сформировалось второе поколение русских хакеров. Градус романтики в индустрии резко сократился: для нового поколения деньги стали важнее ауры таинственности. В основе теневой экономики индустрии взломов лежит относительно топорный метод брутфорса — получение доступа путём перебора символов. Как правило, у каждого киберпреступника есть база паролей, которую он запросто может продать в интернете. Подобрав пароль, хакер получает доступ к данным банковских счетов, может разослать спам или найти информацию, которую в перспективе использует для шантажа. Но внутри индустрии взломов считается, что это простейшее и, в каком-то смысле, недостойное профессионалов занятие.
«Я не называю этих людей хакерами, — говорит keklick1337. — Для получения доступа к банковским счетам нужны элементарные знания. На различных площадках хакеры раздают ненужный материал, в том числе пароли тысячи человек. Все, кто шантажирует сливом фото, скорее всего, случайно нашли личные данные популярных и не очень жертв. И решили этим воспользоваться».
FUKTTT согласен с пентестером: он уверен, что в интернете плохо организована защита от атак, поэтому взломать чью-то почту или получить доступ к базе данных с информацией о картах можно без особых навыков. «Сливом фотографий в основном занимаются школьники, которым скучно, — продолжает он. — Львиная доля „хакеров“ использует брутфорс и фишинг (рассылки от чужого имени). Мне всегда забавно, когда взрослые люди, которые не осознают всех процессов, просят меня кого-то взломать. Описывают, какой этот „кто-то“ плохой, объясняют, что его надо наказать. Это прибыльно, но я не занимался таким и, надеюсь, не стану. Это низшая ступень для хакера. Люди — главная уязвимость любых систем. Они не знают и не хотят знать, что такое защита личной информации. Мне кажется, не совсем этично лишний раз доказывать им, что никакой защиты нет и их данные могут легко перейти в чужие руки».
Всё это время вместе с индустрией эволюционировал журнал «Хакер», который в начале нулевых стал культовым в среде взломщиков. По задумке создателей, журнал предназначался для геймеров, но уже в первом номере был опубликован материал с инструкцией по взлому кредитных карт. Через год на обложке появилась надпись «журнал компьютерных хулиганов», а материалы для киберпреступников потеснили публикации про игры. Двадцать лет спустя «Хакер» позиционирует себя как журнал об информационных технологиях и кибербезопасности, и пока издание постепенно прощалось с криминальным прошлым, некоторыми сотрудниками начинали интересоваться спецслужбы. Так, Никита Кислицин, который до 2012 года занимал в «Хакере» пост главреда, находится в международном розыске по обвинению в продаже данных пользователей Formspring за 5,5 тысячи евро.
Материалы дела против Кислицина были засекречены более пяти лет. Решение обнародовать информацию, вероятно, обосновано тем, что в США начинается процесс по делу Евгения Никулина: ФБР подозревает, что хакер работал вместе с Кислициным. Никулина арестовали в Чехии по обвинению во взломе Dropbox и LinkedIn и в 2018 году отправили в Штаты. По версии следствия, пароли, украденные хакером, продал именно Кислицин. Доказательство — переписка, в которой бывший главред «Хакера» договаривается о стоимости сделки с неустановленным пользователем. Сам Кислицин с 2013 года работает руководителем департамента сетевой безопасности компании Group-IB, которая занимается борьбой с киберпреступностью. В официальном заявлении по делу Кислицина Group-IB поддержала своего сотрудника, заявив об отсутствии прямых доказательств его вины.
Сегодня и блэк- и вайт-хэты уверены, что эпоха «хакерства по фану» закончилась. Нынешний главный редактор журнала «Хакер» Андрей Письменный связывает это с устранением пробелов в законодательстве. «В нулевые сайт „Хакера“, по рассказам коллег, взломан был практически перманентно. Сейчас, даже если у нас находят уязвимость, пишут: „Мы ничего не трогали, но хотим вас предупредить“. Сесть за взлом стало проще, и люди осознали, что поломать сайт, чтобы прославиться, не стоит того, чтобы потом нести за это ответственность[ цитата]».
Письменный считает, что главная причина мутации этой культуры — в развитии пентестинга. Когда-то среди хакеров было популярным найти уязвимость и потребовать деньги за невмешательство в систему, теперь компании сами предлагают награду за поиск дыр в безопасности — баг-баунти. Иногда пентестерам выплачивают десятки тысяч долларов за обнаружение опасных активностей.
Ограбление букмекерских контор, пиццерии и МВД
Для «профессиональных хакеров» второго поколения характерно шантажировать не частных лиц, а прежде всего бизнес. Первое в России громкое дело, связанное с кибервымогательством, произошло в 2006 году. Ивана Максакова, Дениса Степанова и Александра Петрова приговорили к восьми годам колонии строгого режима за организацию серии DoS-атак на букмекерские конторы. Созданные ими программы отправляли на сайты сразу нескольких компаний запросы с множества адресов, сервера не выдерживали нагрузку — и букмекерские конторы не могли продолжать работу. За прекращение атаки группировка требовала выкуп и получила таким образом более 4 миллионов долларов.
Со временем хакеры также переключились с взлома частных банковских счетов на кражу корпоративных данных. Руководитель группы ICS CERT Лаборатории Касперского Владимир Дащенко отмечает, что сейчас возрастает риск взлома крупных компаний. «В бизнесе в разы выше размер единовременной выплаты, чем может дать частный пользователь, так что все кибернегодяи кинулись туда».
Взломать могут любую организацию, независимо от сферы её деятельности. Чаще всего ищут корпоративную тайну или данные клиентов, сопряжённые с репутационными рисками для компании. Обычно организаторы взлома получают доступ к внутренней системе организации, после чего крадут деньги или данные, выдавая себя за сотрудников. В последние годы хакеры чаще прибегают к кибершантажу. «Лет 15 назад было невозможно представить, что кому-то придёт в голову атаковать госпиталь, — рассказывает Андрей Письменный. — А теперь внезапно оказывается, что у больницы блокируют все компьютеры, работа встаёт, и у них требуют выкуп за расшифровку данных».
Иногда обстоятельства складываются удачно, и находится способ восстановить информацию, зашифрованную вирусом-вымогателем. Но чаще компании вынуждены платить, чтобы получить снова доступ к своим данным. Так, создатели вируса-шифровальщика WannaCry за первые четыре дня массовой атаки в мае 2017 года получили более 42 тысяч долларов. Некоторые специалисты назвали эту атаку самым масштабным случаем кибервымогательства в истории: среди её жертв оказались МВД, Сбербанк, Центробанк и «Мегафон».
Сегодня специалистов по информационной безопасности прежде всего нанимают компании, у которых деньги хранятся в интернете, или организации, которым важна приватность данных, например госорганы. В некоторых случаях к их услугам прибегают банки. И всё же чаще всего поиск уязвимостей заказывают IT-компании. Так «Рамблер» нанял пентестера Алексея Морозова. «Сомневаюсь, что какая-нибудь маленькая сеть пиццерий заинтересована в пентестерах, — говорит он. — Хотя взломать могут и их. Неважно, кто жертва хакера: чувак из фастфуда или президент — его всё равно взломают. Просто потому что могут». Отсюда такой высокий процент кибератак малого бизнеса — 43 % и систем промышленной автоматизации. «Производственные предприятия только сейчас доходят до осознания своей уязвимости. В отличие от банков, они не боятся, что их счета могут кого-то заинтересовать, хотя деятельность хакеров может привести к гигантским косвенным убыткам», — рассказывает Дащенко. Для небольших предприятий средний ущерб от атаки превышает 188 тысяч долларов. Это критические убытки для малого бизнеса — 60 % организаций закрываются в течение полугода с момента атаки.
Морозову 27 лет. С пятнадцати он изучал IT-разработку, параллельно исследуя всё, что связано с информационной безопасностью. «Всегда хотел стать программистом. В разработчиках я очень быстро вырос, стал тимлидом, а дальше началась рутина. Летучка, планирование очередного проекта, похожего на предыдущий. А в IT-sec (информационной безопасности) всегда что-то новое, драйвовое и интересное. Конечно, когда уходил из разработки, пришлось начинать с нуля. Но не пожалел: здесь не стоишь на месте»
В сфере информационной безопасности, как и в любом другом секторе IT-индустрии, технологии и знания стремительно меняются. По словам keklick1337, эволюция кибербезопасности затрудняет работу хакеров. «В крупных компаниях в локальных сетях работает система MS ATA, которая реагирует на любые действия в домене. Все предприятия проводят пентестинг инфраструктуры. Поэтому и технологии взлома сильно усложнились. Если бы с нынешними знаниями окунуться на 10 лет назад, в интернете не осталось бы ничего, что бы не тронули хакеры».
Вечные методы хакеров против всего мира
«По-настоящему уникальные знания переходят из рук в руки, — пишет FUKTTT. — Их не так просто получить. Реально крутых ребят очень мало — по крайней мере, я таких почти не знаю».
Пока пентестеры решают головоломки, кибермошенники крадут миллионы долларов, используя простые методы взлома. Злоумышленники могут зарабатывать деньги, применяя распространённые эксплойты, то есть цепочки команд для совершения атаки. Всё потому, что на переустановку программного обеспечения компании не хотят тратить деньги, а пользователи — время. Некоторые хакеры намеренно используют типовые эксплойты, чтобы было сложнее понять, кто проник в систему: уникальная тактика взлома привлекает внимание специалистов по информационной безопасности, как почерк преступника привлекает детективов. Однако из-за работы пентестеров блэк-хэты тратят больше времени на взлом и поиск более сложных технологий проникновения на устройство.
Пентестеры и правда осложняют жизнь хакерам, подтверждает FUKTTT, но у киберпреступников есть преимущество: «Ценники разнятся, — рассуждает хакер. — Блэк-хэт получит 1000–5000 долларов за обход [защиты], а специалист по информационной безопасности — гораздо меньше. Возможно, поэтому и заинтересованность у хакера гораздо выше». Разница в доходах, по мнению FUKTTT, приводит к тому, что пентестеры не могут работать эффективнее хакеров.
Несмотря на то, что кибергруппировки появляются и исчезают каждый месяц, методы, которыми они пользуются для работы, могут жить намного дольше. Чем реже применяется эксплойт, тем дольше он может остаться незамеченным. «Если проэксплуатируют уникальную уязвимость, — говорит руководитель группы ICS CERT Лаборатории Касперского Владимир Дащенко, — например уязвимость нулевого дня (0day — дыра в системе безопасности, против которой ещё не разработана защита), которая пока никому не известна, и начнут применять её повсеместно, аномальное поведение заметят в первые пять-семь минут. На разных классах устройств есть разные технологии детектирования — хотя бы одна должна сработать. Но технологии, которые применяются точечно против выбранных целей, могут жить десятилетиями».
Некоторые специалисты по информационной безопасности отмечают, что цифровая оборона автоматизирована, поэтому она не может распознать все виды атак, особенно редкие эксплойты. В результате хакеры обходят эти программы — и взлом остаётся незамеченным.
Часто технологии взлома выходят за пределы группировки и попадают в публичный доступ. Так произошло с вирусом ZeuS — самым известным вредоносным кодом, который изначально предназначался для проникновения на компьютер и передачи данных жертвы. ZeuS появился в 2007 году, и хакеры до сих пор используют его модификации. В 2011 году открытый исходный код ZeuS оказался в свободном доступе в результате утечки, и у вируса появились модификации. Всего одна из них, P2P ZeuS, позволила образовать сеть из миллиона заражённых устройств.
Главные жертвы — российские пользователи, которые за первые два месяца существования вируса принесли создателям более 27 миллионов долларов. Один из разработчиков, Евгений Богачёв, находится в главном списке киберпреступников, разыскиваемых ФБР. И, конечно, его подозревают в связях с российскими спецслужбами. В декабре 2016 года администрация президента США ввела санкции в отношении Богачёва. А обвинение в хищении денег с использованием вируса ZeuS было предъявлено 25 россиянам.
«Многие эксплойты десятилетней давности живы и достаточно прибыльны, — объясняет FUKTTT. — Бывает, люди сами выкладывают исходники своих зловредов, но иногда хакер и сам попадается на вирус и вынужденно прощается со своими наработками». В большинстве случаев код сначала выкладывают для ограниченного круга лиц. Затем, если эксплойт хороший, он может разойтись по рукам. Но чаще всего код крупной группировки попадает в общий доступ в результате утечки. «Большие группы — это большие деньги и люди, и они не заинтересованы в том, чтобы с кем-то делиться, — рассказывает пентестер Алексей Морозов. — Но иногда у группировок такого уровня крадут эксплойты и выкладывают в общий доступ. Естественно, мы пользуемся этими эксплойтами, следим за тем, что происходит».
Выборы, Дарт Вейдер, 7 лет колоний
В середине нулевых хакеры зарабатывали космические суммы и тратили их, не заботясь о собственной безопасности, до тех пор, пока за них не взялись правоохранители. При столкновении с силовиками российским хакерам пришлось выбирать между колонией и работой на государство. Отсюда и «правила русскоязычных хакеров», о которых пишет Даниил Туровский в своей книге: «Если находишь во время взлома что-то, что может заинтересовать „режим“, — делишься этим; когда тебя просят помочь из патриотических целей — ты соглашаешься. Отказ соблюдать эти договорённости означает уголовное преследование».
Многие хакеры, пишет Туровский, действительно придерживались патриотических взглядов. Так, бывший кардер Дмитрий Смилянец, известный как Дима Смелый, в социальных сетях называл президента Владимира Путина сильным лидером, выкладывал фото российского флага с цитатами из гимна и носил толстовку с двуглавым орлом. Хакер Дмитрий Галушкевич в 2007 году нападал на правительственные сайты Эстонии — так он мстил за перенос памятника Воину-освободителю на окраину Таллина. В киберподполье до сих пор существует принцип «не работай по ru» — рекомендация не атаковать российские компании и банки.
К концу нулевых многие хакерские группировки перешли под государственный контроль, и значительная часть прославленных хакеров вышла из сферы взломов. Главный редактор «Хакера» Андрей Письменный убеждён, что большинство из них отсидели и занимаются легальным бизнесом. Так, в США бывшие киберпреступники организовали компанию CyberSec, которая занимается кибербезопасностью. CyberSec основали бывший хакер Игорь Клопов, сделавший себе имя на взломе счетов американцев из списка Forbes, и Аркадий Бух — адвокат многих российских киберпреступников в США.
В CyberSec работал Владислав Хорохорин, один из руководителей CarderPlanet — крупнейшего форума кардеров, то есть хакеров, которые специализируются на списании денег с банковских карт. В 2000 году CarderPlanet создавался как платформа для торговли данными кредитных карт и за несколько лет сайт превратился в главный форум русскоязычных хакеров. Кроме кардеров на форум начали приходить люди с другими специализациями — от создателей троянов до изготовителей поддельных документов. Туровский отмечает, что посетители CarderPlanet изменили принципы общения на форуме под влиянием криминальной романтики: «Подражая мафии, участники форума называли друг друга „семьёй“ и строили внутреннюю иерархию по принципам клана».
В 2004 году основатель CarderPlanet Дмитрий Голубов, известный на тот момент под ником Sript, заявил, что покидает площадку. В том же году форум прекратил работу. Администраторы сообщества объясняли это решение тем, что CarderPlanet находился «под колпаком всевозможных спецслужб — как русских, так и зарубежных». Через год после прекращения работы форума Дмитрия Голубова арестовали, но оправдали в суде за отсутствием состава преступления.
В 2007 году Голубов основал Интернет-партию Украины, в 2014 — избрался в Верховную Раду в качестве народного депутата, а потом в ходе президентских выборов в Украине Дмитрий Голубов попытался зарегистрировать кандидата по имени Дарт Алексеевич Вейдер. В роли Скайуокера выступил заместитель главы Интернет-партии Украины Виктор Шевченко. Официально залог в 2,5 миллиона гривен за кандидата внесло ООО «Тёмная сила». В своей предвыборной программе Дарт Вейдер обещал построить в Украине боевую космическую станцию и сделать язык ситхов государственным. Выдвижение персонажа «Звёздных войн» на выборы — выходка в духе ранней русской киберкультуры: хакеры 90-х умели веселиться и мало заботились о принятых в обществе нормах, любили эпатаж и заставляли политиков нервничать.
Другие руководители CarderPlanet получили реальные сроки. Владислав Хорохорин, известный под ником BadB, стал последним арестованным администратором платформы. После закрытия форума Хорохорин продолжил заниматься кардингом и продажей данных. Вместе с рекламными объявлениями BadB публиковал рисунки с патриотическим сюжетом. На одном изображён Владимир Путин, который награждает хакеров медалями за борьбу с «империализмом США». В 2013 году Владислава Хорохорина приговорили к семи годам тюремного заключения. Через четыре года его освободили и депортировали в Израиль. Другие известные кардеры с CarderPlanet, Роман Селезнёв и Роман Вега, ещё отбывают сроки в США.
Легализация навыков и серые хакеры
Группировку Evil Corp сегодня называют самой вредоносной в мире. Эта команда хакеров крадёт деньги со счетов американских банков с помощью вируса Dridex с ноября 2011 года (более точная дата неизвестна), и её жертвами стали 300 банков в 40 странах. Ущерб от их атак превысил 100 миллионов долларов. По свидетельству Национального агентства по борьбе с преступностью Великобритании, только в этой стране ущерб от Evil Corp превысил 100 миллионов фунтов стерлингов. За помощь в поимке главы группировки Максима Якубца Госдепартамент США обещает 5 миллионов долларов — это самая большая награда, которую когда-либо предлагали за информацию о хакере. А Якубец до сих пор на свободе: по данным американских следователей, в Москве он ездит на Lamborghini Huracan с номером, где буквы образуют слово «ВОР», и это, пожалуй, пока вся доступная о нём информация. Министерство юстиции США сочло действия Якубца «столь дерзкими и изощрёнными, что, не будь они реальны, их трудно было бы даже вообразить».
После первого вопроса про Evil Corp Алексей Морозов смеётся и переспрашивает: «Evil Corp? Что это? Вы что, „Мистера робота“ насмотрелись?» У keklick1337 похожая реакция: он причисляет Evil Corp к одноразовым группировкам, которые «часто создаются для хайпа или развлечения». Андрей Письменный из «Хакера» предполагает, что пентестеры не особенно интересуются кейсом Evil Corp, потому что им скучно исследовать вирус Dridex: «Технических людей интересуют технически сложные вещи. Ничего примечательного у Якубца не было. Мошенники и мошенники, а количество украденных денег — дело десятое».
Широкая известность Evil Corp обусловлена в первую очередь тем, что западная пресса и политический истеблишмент связывают группировку с российскими спецслужбами. По мнению Минфина США, Якубец по заданию ФСБ занимался обеспечением доступа к неназванным конфиденциальным документам. Часть участников Evil Corp и вовсе считают родственниками российских чиновников и силовиков. Так, по некоторым данным, в 2017 году Максим Якубец женился на Алёне Бендерской, дочери бывшего спецназовца ФСБ Эдуарда Бендерского. Другой предполагаемый участник Evil Corp — Андрей Ковальский, сын бывшего мэра Химок Владимира Стрельченко.
«Почему люди не строят бизнес в одиночку? — размышляет keklick1337. — Одному человеку банально не хватит времени. Команда обычно состоит из двух-трёх человек: программист или технарь, который пишет малварь (вирусное программное обеспечение), человек, который сидит на поддержке софта, и чувак, который контролирует проект и занимается распространением малвари. Если ориентируешься не на малварь, а на взлом, то, как правило, работаешь один».
По мнению FUKTTT, хакеры объединяются именно для общения и обмена опытом. «Ещё, наверное, это лучшее лекарство от одиночества в Сети, — добавляет он. — Сложно найти товарища по интересам в реале, а для создания крутых штук нужны люди, у которых есть опыт в этом деле. Я работал в команде, но всё сразу закончилось после того, как началась делёжка денег а-ля „я сделал больше, так что должен получить всю сумму“».
Объединение в команды — не единственная особенность хак-среды, которая утратила первоначальный символический смысл. Инструментарий взломщиков средней руки незначительно отличается от того, что есть в распоряжении именитых киберпреступников, но образ жизни неизвестных мировым СМИ хакерских команд вообще не похож на жизнь знаменитых группировок. Небольшие команды стараются избегать демонстративных трат и в начале своей деятельности не следуют правилу «не работай по ru». Они обитают в даркнете, а позиционирование себя как элиты читается только в окончании никнеймов на «1337».
Внутри сообщества не принято спрашивать, кто относится к белым хакерам, а кто — к блэк-хэтам. «Пентестеры общаются с блэк-хэтами, — рассказывает keklick1337. — Без общения с другими людьми из сферы — неважно, официально они работают или нет, — невозможно поддерживать актуальность знаний. Никто не знает, кто твой собеседник — вайт или блэк. Но в большинство тусовок всё-таки входят белые хакеры». Тем не менее крупные группировки стараются не выдавать себя и не выходят на связь с пентестерами.
Несмотря на насторожённое отношение крупных компаний к бывшим хакерам, которые занимаются пентестингом, в мире наметился тренд на переход освободившихся взломщиков в компании по кибербезопасности. Иногда таких специалистов называют «грэй-хэт», или серыми хакерами. Некоторые компании, предоставляющие услуги по киберзащите, стараются не нанимать грей-хэтов, чтобы не навредить репутации. Другие, наоборот, уверены: бывшие хакеры лучше других пентестеров понимают, как предотвратить взлом. Теперь хакинг — это исключительно криминал, и романтический ореол, который раньше окутывал жизнь взломщиков из России, окончательно исчез. Поэтому в Сети — одни только сухие факты, а на слуху — хакер на «Ламборджини».