Через несколько часов после вторжения России в Украину Никита Кныш поспешил присоединиться к сопротивлению. Он пришел в харьковский офис своего старого работодателя, Службы безопасности Украины (СБУ), и попросился на работу. Но в городе, расположенном всего в 30 км от российской границы, царил хаос. Уезжая с пустыми руками, 30-летний IT-специалист, бывший хакер, понял, что ему придется создавать свою собственную миссию.
Он перевез сотрудников своей компании по кибербезопасности HackControl и множество компьютерного оборудования в подвал фабрики по производству бумажников. Пока российская армия наступала на Харьков, команда Кныша начала осуществлять хакерские атаки на Россию. Об этом пишут Экономические новости со ссылкой на The Financial Times.
Вторжение России в Украину развязало беспрецедентную кибервойну, в которой с обеих сторон участвовали легионы хакеров. Десятки спонсируемых правительствами групп воспользовались ситуацией, чтобы напасть на своих противников, как и преступные группировки, которые под шумок совершали взломы с целью получения выкупа.
Довоенная ИТ-индустрия Украины, насчитывающая 300 000 специалистов, работающих в сфере кибербезопасности или в аутсорсинговых бэк-офисах, оказалась важнейшим резервом талантов в первой в мире крупномасштабной кибервойне.
Спустя шесть месяцев после начала конфликта в Интернете появились рассказы о взломах российских компаний и российского правительства. Но в условиях, когда анонимные группы заявляют о своих заслугах в “pwning” – на интернет-сленге это означает “владелец” – Россией, отделить правду от хвастовства зачастую бывает очень сложно.
Не все заявления Кныша могут быть проверены, но наши журналисты поговорили с правительственными чиновниками и коллегами-хакерами, которые поручились за него и просмотрели фотографии, видео и файлы журналов, подтверждающие некоторые из его утверждений.
Никита Кныш: “Для меня это было похоже на военные операции”.
Его история – это рассказ о талантливых программистах, вынужденных приспосабливаться к реалиям и потрясениям войны. Она включает в себя вербовку преступников низкого уровня в толпы кодировщиков, инсценировку закладки бомб, широкомасштабное проникновение в подключенные к Интернету камеры наблюдения для наблюдения за оккупированной Россией территорией и “ловушки” для российских солдат с целью заставить их раскрыть свои позиции и районы базирования.
Но сначала группе, получившей прозвище Hackyourmom, понадобилась собственная база. Фабрика кошельков была хороша в течение первой недели, когда Кныш использовал старый трюк, оставшийся со времен его работы в СБУ, — подменить администратора в популярных каналах Telegram в таких местах, как оккупированный Донецк, чтобы рассылать проукраинские сообщения.
“Но Харьков все еще подвергался нападению – нам нужно было переезжать”, — сказал он. Они эвакуировались на запад, в дешевое общежитие в Винницкой области, подальше от российского наступления. Кныш арендовал его за несколько месяцев до этого, беспокоясь о приближении войны, и занимался в нем небольшим проектом. Это был не план “Б”, а план “В”.
Кныш обратился за помощью к старому наставнику, Всеволоду Кожемяко, генеральному директору зерновой компании “Агротрейд” и одному из богатейших людей Украины.
Ему нужны были не деньги, а один из спутников Starlinks Илона Маска, которые богатейший человек мира отправлял тысячами, чтобы предоставить украинским властям бесплатный доступ к Интернету. “Он попросил, и я ему подарил”, — сказал Кожемяко, который сам взял в руки оружие и сформировал добровольческий батальон для обороны Харькова. “Я не спрашивал, что он с ним будет делать. Но, зная его, понимал что наверняка что-то хорошее”.
В Виннице его разношерстная команда, насчитывающая до 30 человек, пользовалась тщательно защищенным доступом в Интернет через Starlink. “Мы стали в каком-то смысле семьей”, — сказал член команды Максим, который попросил называть его по имени. “Я никогда не думал, что окажусь на переднем крае кибервойны, но это было именно так”.
Кныш быстро понял, что ему нужны более опытные люди, чем он смог разместить в общежитии. Он вспомнил о группе высококлассных украинских хакеров, которые похищали корпоративные секреты, и за которыми он следил во время работы в СБУ.
Он набрал несколько десятков человек, те прислали ему украденные базы данных кредитных карт, которые он обменял на создание канала в Telegram для низкоуровневых хакеров с единственной задачей – завалить авиарейсы в Россию фальшивыми угрозами взрыва.
Десятки рейсов были задержаны или отменены, включая некоторые рейсы авиакомпании Air Serbia, в даты, которые он показал журналистам FT. Президент Сербии Александр Вучич обвинил спецслужбы Украины в этих провокациях.
Желая оказать более адресную помощь растянутым украинским вооруженным силам, Hackyourmom обратились к еще более сложному проекту: они взломали тысячи камер наблюдения и дорожных камер в Беларуси и оккупированных Россией частях Украины.
Для фильтрации информации команда написала код машинного обучения, который помог им отделить военные передвижения от обычного трафика, и направила информацию военным через публичный портал.
В одном из примеров, описанном в интервью изданию с фотографиями и местоположением, они определили удаленную российскую базу вблизи оккупированного Мелитополя на юге Украины. Затем, используя поддельные профили привлекательных женщин на Facebook и российских сайтах социальных сетей, они обманом заставляли солдат отправлять фотографии, которые они привязывали к геолокации и передавали украинским военным. “Русские, они всегда хотят трахаться”, — сказал Кныш. “Они посылают много всякого дерьма девушкам, чтобы доказать, что они воины”.
Через несколько дней они смотрели по телевизору, как база была взорвана украинской артиллерией. “Моя первая мысль была – я эффективен, я могу помочь своей стране”, — сказал Максим, хотя украинские власти отказались обсуждать роль хакеров в этой атаке. “Потом я понял, что хочу большего – я хочу найти больше баз, снова и снова”.
Кныш утверждает, что его команда участвовала и в других хакерских атаках: от одурачивания российских телеканалов с целью заставить их показывать новостные ролики о жертвах среди украинского гражданского населения до соединения домашних маршрутизаторов на оккупированной территории в крупные бот-сети, которые выводили из строя российские сайты, и даже взлома и утечки баз данных российских военных подрядчиков.
Группа в общежитии физически была расформирована в начале лета, когда стало ясно, что российские военные терпят неудачи на востоке и юге Украины.
Члены группы стали работать удаленно, в том числе публиковать в Интернете сложные инструкции для целей, которые Кныш отказался обсуждать.
Они по-прежнему следят за взломанными камерами, поделившись с изданием недавним снимком российского военного корабля в порту Севастополя, оккупированного Россией с 2014 года.
“Для меня это было похоже на бой”, — говорит Кныш. “Без денег, без гениального программного обеспечения и даже без гениальных хаков – вы можете использовать мошенников, темную паутину против своего врага. Сейчас российские законы не имеют значения – то, что мы получили, это опыт участия в первой кибервойне”.