Сообщается, что Кей, которому был тридцать один год, оттачивал свои хакерские навыки в дарквебе. В 2015 году с ним связался один из высокопоставленных сотрудников либерийской телекоммуникационной компании Cellcom. По данным британской полиции, Кей авансом получал по десять тысяч долларов в месяц за атаки на конкурирующую либерийскую телекоммуникационную компанию Lonestar. Очевидно, появление в свободном доступе кода Mirai позволило ему сделать атаки эффективнее. Создав свою версию ботнета, он с сентября 2016 года осаждал Lonestar, которая в итоге стала самой атакуемой мишенью всех производных Mirai[294]. По данным Национального агентства кибербезопасности, «в ноябре 2016 года объем трафика, исходящего из ботнета Кея, был настолько велик, что Либерия вообще лишилась доступа в интернет»[295].

Другие исследователи (в частности, Брайан Кребс)[296] оспаривали масштаб сбоя, однако не приходится сомневаться, что по Lonestar был нанесен колоссальный удар, который, по данным NCA, «привел к потере выручки в объеме нескольких десятков миллионов долларов США, поскольку клиенты ушли из компании. Корректирующие меры, принятые компанией Lonestar для предотвращения атак, повлекли за собой издержки в районе шестисот тысяч долларов»[297]. Это, впрочем, был лишь один из элементов хакерской кампании Кея. Он также признался в организации атак на Deutsche Telekom, которые сказались на миллионах немецких пользователей[298].

В январе 2019 года Кея приговорили к двум годам и восьми месяцам лишения свободы. Тем временем Mirai продолжает эволюционировать, и отчасти это объясняется тем, что в мире не становится меньше дешевых и слабо защищенных устройств. При этом Mirai – лишь одна часть экономики DDoS, которая существенно разрослась со времен протестов группы Anonymous. По данным из отчета, опубликованного группой ученых в 2017 году, в год совершается около десяти миллионов DDoS-атак, что соответствует невероятной цифре в тридцать тысяч ежедневно[299]. Большинство ведущих компаний, работающих в сфере кибербезопасности, наблюдают увеличение их мощности. И мишенями становятся не только игровые бизнесы вроде Minecraft: теперь под удар может попасть любая компания, которая ведет масштабную и высокомаржинальную торговлю через интернет, – а их доля в мировой экономике сегодня велика и становится все больше.

Инструменты, отшлифованные группой Anonymous в ходе знаменитых протестов, теперь перешли к киберпреступникам, которые используют их для наживы, и это существенным образом сказывается на инфраструктуре интернета. Но организованные хакерские банды атакуют не только различные онлайн-сервисы. Как мы увидим в следующей главе, теперь они угрожают и национальным энергосистемам.

Глава 8

Тушите свет

Вконце 2017 года сотрудники нескольких крупных британских энергетических компаний получили электронное письмо от соискателя работы с впечатляющим резюме. В нем заявлялось, что за спиной у кандидата «более 30 лет работы в сфере производства промышленного оборудования», и указывалась его текущая позиция: «Старший инженер-машиностроитель и инженер вентиляционных систем на атомной электростанции».

Отправитель утверждал, что участвует в выводе из эксплуатации шотландской атомной электростанции Дунрей, одной из старейших в Великобритании. Станция пребывала в процессе ликвидации, и соискатель в подробностях описывал свою работу над этим проектом, правильно используя технический жаргон.

Прочитав предыдущие главы этой книги, вы уже не удивитесь тому, что резюме было фальшивкой, зараженной вирусом. Это письмо стало одним из элементов прекрасно продуманной хакерской кампании, нацеленной на предприятия британского энергетического сектора, включая все атомные электростанции. Жертвами этой атаки стали не менее четырех крупных фирм. По данным следствия, преступники не только украли конфиденциальную информацию о британской энергетической отрасли, но и подошли еще на шаг ближе к тому, чтобы частично обрушить британскую энергосистему.

Вероятно, атака на британскую энергетическую сеть была неизбежной. За минувшие годы киберпреступники узнали, что с помощью их инструментов можно выводить из строя электростанции и погружать целые города во тьму. Компьютерный хакинг вошел в стадию, которую ученые называют кинетической войной: цифровые инструменты использовались для того, чтобы портить и уничтожать критически важную инфраструктуру, и основной удар приходился на энергетический сектор. Считается, что начало этой кибербитве положил мощный американский залп, нацеленный на подрыв атомных разработок одного из старейших противников США – Ирана.

В июне 2010 года Сергей Уласень был за городом на свадьбе у друга, но то и дело отлучался, чтобы поговорить по телефону:

Все остальные гости, естественно, веселились, танцевали и пили без удержу, и только я сидел с телефоном в руке, оказывая срочную техническую – и психологическую – поддержку какому-то чуваку в районе Тегерана.

Мимо ходили нарядные девушки с бокалами игристого в руках… и все спрашивали, почему я вообще объясняю какие-то странные вещи на странном языке, сидя на свадьбе в лесу[300].

«Чуваком в районе Тегерана» был клиент Уласеня, и новости, которые он сообщил двадцативосьмилетнему технарю, заставили свадебное торжество отойти на второй план: это была информация о компьютерном вирусе, и она становилась тем интереснее – и тем тревожнее, – чем глубже Уласень погружался в проблему.

Уласень работал в белорусской антивирусной компании «ВирусБлокАда». Скорее всего, вы о ней никогда не слышали – она гораздо скромнее таких мировых антивирусных гигантов, как Norton, McAfee и Kaspersky (где Уласень работает сейчас). Но именно периферийное положение «ВирусБлокАды» по иронии судьбы и поместило компанию в центр грандиозной истории о кибербезопасности. Дело в том, что «ВирусБлокАда» работала с клиентами из Ирана. Многие из крупных международных игроков не поставляют программы в эту страну, что отчасти объясняется действующими санкциями[301]. Впрочем, даже в отсутствие ограничений большинство компаний предпочло бы все равно не связываться с тегеранским режимом, чтобы не идти на сопряженный с этим риск.

Но «ВирусБлокАда» в их число не входила. Антивирусное программное обеспечение, разработанное в этой компании, было установлено на компьютеры нескольких иранских фирм, и одна из них связалась с Уласенем, когда стала жертвой атаки. Сначала казалось, что атака не причиняет существенного вреда, хотя и действует людям на нервы. Заражая устройство, вирус вызывал появление печально знаменитого «синего экрана смерти»: операционная система Microsoft Windows зависала, показывала на синем экране (отсюда и название) сообщение об ошибке и требовала перезагрузить компьютер, чтобы попытаться устранить проблему. Но при ближайшем рассмотрении Уласень стал замечать тревожные звоночки. Для начала вирус не щадил даже совершенно новые, недавно установленные версии Windows. Это значит, что он, в отличие от множества других, не использовал одну из установленных впоследствии программ (например, Microsoft Word или Flash Player), а заражал саму операционную систему, лежащую в основе всего. Более того, вирус обнаружил неизвестную ранее уязвимость в самой последней, обновленной версии Windows (в то время