Мир

“Dark markets” могут стать мультипликатором геополитической силы

В конце прошлой неделе крупнейший немецкий таблоид Bild сообщил о крупной хакерской атаке из России на банковскую систему Германии и назвал виновными "государственных российских хакеров из группы "Fancy Lazarus".

Если атака действительно имела место – официального подтверждения пока нет – ее, как обычно, трудно будет окончательно возложить на российских государственных чиновников, даже если эксперты по кибербезопасности обвинят их. Группа кибервымогателей, известная как “Fancy Lazarus”, может быть с таким же успехом связана с Китаем, Северной Кореей или вообще ни с каким правительством. Как информируют Экономические новости, об этом пишет Bloomberg.

Из-за этой возможности президент США Джо Байден должен был действовать крайне деликатно, пытаясь провести “красные линии” для президента России Владимира Путина на саммите в прошлом месяце: Он не мог прямо сказать Путину, чтобы тот положил конец кибератакам. Вместо этого он говорил о том, что не следует предоставлять убежище киберпреступникам – от этой линии дискуссии Путин попытался отмахнуться, заявив, что Россия рассмотрит возможность передачи киберпреступников США, но на взаимной основе. В качестве всеобъемлющей системы это не подходит – теоретически можно организовать только конкретные обмены.

С одной стороны, отрицание причастности российского государства к кибератакам более веское, чем, например, преступления в Украине. С другой стороны, она кажется неправдоподобной всем, кто хоть что-то знает о важном российском институте: о даркнете под названием Hydra, которая может быть самой большой в мире и которая не может существовать нигде больше. Помимо того, что он является крупным посредником по продаже наркотиков, он помог создать сеть каналов отмывания денег для хакеров, которыми трудно воспользоваться нерусским.

Средний срок жизни площадки в виртуальной сети, или даркнете – сайта в зашифрованной и анонимизированной сети, такой как Tor, — в 2018 году оценивался примерно в восемь месяцев. Они схлопываются под весом мошеннического промысла или становятся жертвами действий правоохранительных органов, иногда спровоцированных конкурентами. Это настоящие джунгли – и покупатели, и продавцы привыкли мигрировать на новые площадки. Прежние исключения среди “dark markets” крайне редки.

Hydra – это исключение в конце всех исключений. Она была создана в 2015 году, ее оборот в следующем году составил около 9,4 млн долларов, в 2020 году она смогла увеличить его до 1,4 млрд долларов и продолжает развиваться. Эти цифры следуют из отчета компании Flashpoint, занимающейся анализом рисков кибербезопасности, и криптовалютной аналитической компании Chainalysis, которые также подсчитали, что на Hydra приходится более 75% доходов темного рынка по всему миру.

Весь этот оборот приходится на криптовалюты. Chainalysis оценивает долю потоков биткоина от незаконной деятельности в небольшую долю 1%, но, как пишет аналитическая фирма в своем “Отчете о криптопреступности” за 2021 год, “первое, что бросается в глаза, это получение Россией непропорционально большой доли средств с темного рынка, что в основном связано с Hydra”. Неудивительно: В Москве и других российских городах Hydra – это место, где можно приобрести наркотики, в основном распространяемые как “спрятанные сокровища” бригадами молодых кладменов, которые могут зарабатывать тысячи долларов в месяц, пряча заказы под скамейками в парке, закапывая их под деревьями, прикрепляя их к нижней стороне почтовых ящиков.

Такой большой и древний нелегальный рынок – это, конечно, целая экосистема. Он порождает высокий спрос на услуги по отмыванию денег, которые также могут быть использованы для легализации доходов от других видов киберпреступлений, кроме наркоторговли. Chainalysis и Flashpoint описывают серьезное изменение, произошедшее в практике работы Hydra с деньгами в 2018 году. Чтобы иметь возможность вывести свои деньги с Hydra, продавцы должны конвертировать их в российские рубли через определенный круг местных провайдеров. Это вряд ли обрадовало продавцов, и, согласно отчету, некоторые наркоторговцы теперь предпочитают рассчитываться наличными с “Гидры”, закапывая тайники с валютой так же, как и наркотические “сокровища”. Но, согласно отчету Flashpoint-Chainalysis, зависимость от местных услуг и рублей сделала пути отмывания денег на Гидру “трудными, почти невозможными для отслеживания”.

Это, конечно, делает денежную инфраструктуру Hydra ценной для всех видов местных киберпреступников. В отчете Chainalysis “Crypto Crime Report” приводится пример российского внебиржевого кибервалютного брокера, который получил 265 миллионов долларов в криптовалюте с момента начала своей деятельности в 2018 году – возможно, по случайному совпадению. Значительная часть денег поступила от Hydra, но другие потоки поступали от различных штаммов вымогательского ПО и мошенничества. Внебиржевой брокер также помогал клиентам конвертировать незаконно нажитый биткоин в наличные.

Министерство юстиции США утверждает, что ему удалось вернуть часть выкупа, выплаченного хакерам, парализовавшим работу трубопровода Colonial Pipeline в начале этого года – но к тому времени, когда биткоин был возвращен, создатели программы-выкупа уже могли конвертировать его в рубли, используя каналы, проросшие вокруг Hydra и подпитываемые ее надежными объемами.

В любом разговоре о Hydra ее крыша, или защита, — это слон в комнате. Путинская Россия все больше превращается в полицейское государство, сосредоточившее огромную власть в руках правоохранительных органов. Законный бизнес регулярно подвергается рейдерским захватам, конфискации или разорению со стороны этих органов. Тем не менее Hydra процветает, как и немногие другие темные рынки. Ее создатели, которые рассматривали возможность международной экспансии, но, похоже, отказались от нее, по крайней мере, временно, явно чувствуют себя в безопасности в России. Их исключительная зависимость от рублевой финансовой инфраструктуры является тому подтверждением. Цитируя Flashpoint и Chainalysis, можно сказать, что проверки правоохранительных органов и сутяжничество конкурентов до сих пор ускользали от Hydra. Это может быть простым совпадением, а может свидетельствовать о том, что Hydra более устойчива к колебаниям геополитики и усилий правоохранительных органов. Чем дольше Hydra работает без серьезных сбоев, тем более реалистичным становится последний вариант, и единственным правдоподобным объяснением является наличие у заинтересованных сторон регионального финансового стимула.

Это осторожный способ утверждать, что у “Гидры” есть влиятельные покровители на самом верху российского истеблишмента. Россия неоднократно отрицала какую-либо официальную связь с кибератаками. Однако, как отмечают Flashpoint и Chainalysis, масштабы феномена Hydra были бы маловероятны без каких-то полуофициальных санкций.

В России мало конкурентоспособных на международном уровне технологических компаний, но много инженерных талантов, в том числе авантюрных. Уникальная смесь коррупции, передового опыта и геополитической стратегии, которая делает любую атаку на западные институты полезной на определенном уровне для правительства, делает Россию крупным игроком в сфере киберпреступности. Занимая второе место после Украины по внедрению криптовалют, Россия создает технологическую компетенцию, на которую ни у одной другой страны, похоже, не хватит наглости.

Может ли Путин что-то с этим сделать? Скорее всего, это не совсем правильный вопрос. Пока что у него нет реальных стимулов для попыток подавления, особенно если незаконный бизнес будет прозрачным для кого-то, кого он знает и кому доверяет, и кто, таким образом, будет готов оказать услуги государству, когда это потребуется. Угроза ответных мер со стороны США не является достаточно убедительной: Путин может позволить подобным “Гидре” беспокоиться об этой перспективе. А если они будут разбиты, на их место могут прийти другие. Темная паутина – это не что иное, как жизнестойкость.

Елена Каденко