В NCSC утверждают, что проверяют благонадежность подрядчиков, с которыми работают. Хатчинсу, как отмечается, за работу не платили, а договор с ним не подписывали. Кроме того, объективности ради, Хатчинс явно не единственный одаренный исследователь кибербезопасности, который совершал ошибки в прошлом, но решил исправиться. Один полицейский специалист по киберпреступлениям сказал мне:

В этом мире все понимают, что многие из тех, кто сейчас успешно занимается исследованиями кибербезопасности, раньше, вероятно, делали вещи, которые считаются преступлениями по Закону о неправомерном использовании компьютерных технологий, и именно так получили свои знания. Обычно их не привлекают за это к ответственности.

Так бесславно закончилась история человека, который остановил распространение Wanna Cry. (Хатчинс отказался дать комментарий для этой книги, ссылаясь на неоконченные судебные разбирательства.) Тем не менее благодаря главным образом усилиям Хатчинса NHS и другие жертвы вернулись в строй. Патрик Уорд еще месяц ожидал перенесенной операции (чтобы вернуться в график, сотрудникам больницы Святого Варфоломея пришлось поработать сверхурочно в выходные и по вечерам), но теперь, наконец, он вернулся к жизни и наслаждается ею. Но для следователей по этому делу работа только начиналась.

Национальное агентство по борьбе с преступностью сосредоточилось на поисках того, кто стоял за созданием и распространением Wanna Cry.

В прошлом при расследовании кибервымогательства полиция успешно применяла тактику, используемую при похищениях: прямые переговоры с преступниками. В некоторых случаях при использовании программ-вымогателей полицейские связывались с жуликами и устанавливали слежку за всеми их коммуникациями, а иногда даже вычисляли их точное местоположение и производили аресты.

Но с преступниками, запустившими Wanna Cry, этот метод не сработал, поскольку на звонки никто не отвечал. Как выяснили сотрудники NCA и других структур, создатель Wanna Cry не был заинтересован в том, чтобы помогать жертвам заплатить выкуп и восстановить данные. Несмотря на некоторые исключения, в подавляющем большинстве случаев, даже заплатив, жертвы не получали свои файлы. Это было необычно: в большинстве своем преступники, использующие вирусы-вымогатели, понимали, что, если они не будут восстанавливать файлы, они потеряют доверие со стороны своих жертв, а это приведет к резкому падению прибыли. Но преступников, создавших Wanna Cry, это, похоже, не заботило. Это стало одной из зацепок, позволивших предположить, что за Wanna Cry стоит не какая-нибудь традиционная киберпреступная группировка. В конце концов, если вы готовы взять на себя труд по созданию такого заразного и эффективного вируса, разве вы не захотите обеспечить себе максимальную прибыль?

Прорыв в деле произошел, когда британские полицейские поделились добытыми сведениями со своими американскими коллегами.

Отделение ФБР в Лос-Анджелесе занималось делом о взломе Sony Pictures Entertainment с того самого дня, когда хакеры атаковали компанию в конце 2014 года. Как говорилось ранее, сотрудники ФБР собрали огромный объем данных об инструментах, использованных для проникновения в медиаконгломерат. Когда NCA представили им улики, связанные с британскими атаками на NHS и другие организации, они стали замечать сходства не только со взломом Sony, но также с атаками на Банк Бангладеш и других жертв так называемой Lazarus Group. С IP-адресов, управлявших вирусом-вымогателем Wanna Cry, также заходили в учетные записи электронной почты, которые использовались при взломе Банка Бангладеш[140]. С северокорейских IP-адресов, связанных с атаками на Sony и Банк Бангладеш, заходили на сайт, где публиковались именно те уязвимости Windows, которые эксплуатировались вирусом Wanna Cry[141].

Оказывается, версия Wanna Cry, запущенная в мае 2017 года, была лишь последней итерацией вируса: существовали и две более ранние версии с очень похожим кодом, что позволяло предположить, что все три кампании были организованы одним хакером или одной хакерской группой. В коде содержались и фрагменты информации, которые также обнаруживались в вирусах, использованных для взлома Sony и системы SWIFT в ряде банков, атакованных Lazarus Group[142]. Отличием майской версии 2017 года был фактор, сделавший ее почти неуязвимой, – трюк с автоматическим распространением, который, как утверждается, был украден из Агентства национальной безопасности США.

Если это действительно так, ФБР теперь занималось последствиями использования кибероружия, разработанного собственным правительством. Один из источников в британской полиции отметил: «Ровно в тот момент, когда мировому разведывательному сообществу необходимо было сплотиться, один из ключевых его участников испытывал некоторый стыд оттого, что проблемы возникли из-за него».

Тем не менее ФБР проявило упорство, и в сентябре 2018 года обнародовало обвинительный акт, назвав гражданина КНДР Пак Чин Хёка одним из основных членов хакерской группы Lazarus, которая предположительно атаковала Sony, Банк Бангладеш и других жертв, а также разработала Wanna Cry[143]. Обвинения ФБР в адрес КНДР в этом акте подкреплялись уликами, в том числе обнаруженными британским Национальным агентством по борьбе с преступностью в десятках пострадавших больниц NHS.

Как отмечалось ранее, после обнародования обвинительного акта ФБР официальный представитель Министерства иностранных дел КНДР через государственное новостное агентство опроверг предположения о вмешательстве КНДР в эти дела, назвав американские обвинения «кампанией по очернению». Однако если КНДР, как полагают американцы, действительно стояла за Wanna Cry, насколько эффективным оказался вирус?

В финансовом отношении атака, несомненно, провалилась. Выкуп заплатили несколько сотен человек, однако даже на пике стоимости биткоина, которая взлетела в декабре 2017 года, общая сумма вырученного составляла лишь немногим более миллиона долларов. Это крохи в сравнении даже с самыми скромными кампаниями с использованием вирусов-вымогателей. Тот факт, что мало кто из заплативших выкуп получил обратно свои файлы, показывает, что хакеры Wanna Cry вообще не были заинтересованы в создании прибыльного бизнеса.

Возможно, ими руководили не финансовые соображения. С точки зрения деструкции, Wanna Cry успешно нарушил работу ключевого элемента британской национальной инфраструктуры и вызвал беспокойство среди политиков и общественности. С точки зрения пиара, он попал в новости по всему миру. Кроме того, по данным специалистов по безопасности при правительстве Республики Корея, КНДР, очевидно, не нуждалась в сверхприбыли от Wanna Cry, поскольку в стране уже нашли новый способ зарабатывать огромные деньги на биткоине. Вместо того чтобы использовать его в качестве валюты для уплаты выкупа при распространении вредоносных программ, хакеры нацелились прямо на него. Подобно тому как они грабили банки с помощью системы SWIFT, они начали грабить цифровые «банки», в которых хранились деньги нового типа.

Эта серия преступлений, по некоторым оценкам, принесла им более полумиллиарда долларов. Чтобы разобраться в ней, необходимо понять, что такое биткоин и какие радикальные идеи за ним стоят. Не переживайте: это не так уж сложно.

Биткоин часто называют виртуальной валютой, но в современном мире онлайн-банкинга и кредитных карт это не особенно информативное