В июне сообщество «Киберпартизаны» решило приоткрыть флер таинственности и начало рассказывать об участниках команды в своем телеграм-канале. Один из них согласился поговорить с «Зеркалом». Его псевдоним Винт. В организации он фактически с начала ее основания — с сентября 2020-го. Мы поговорили с ним о том, почему он стал киберпартизаном, как ломал базы МВД и БелЖД, о секретных операциях и отсутствии громких сливов.
Собеседник представляется просто: «Винт». Говорит, псевдоним появился в его жизни благодаря журналисту. Когда «Киберпартизаны» только зарождались и вокруг сообщества еще не было такой секретности, во время небольшого интервью у него уточнили имя и роль в альянсе. «Я сказал, что я просто небольшой винтик», — вспоминает собеседник. Тот текст так и не вышел, а ник остался.
Винт соглашается только на интервью по переписке в мессенджере и сразу же предлагает перейти на «ты». Личной информации о себе не сообщает. На вопросы про возраст, семейное положение и даже страну, где он находится, отвечает коротко: «Нет комментариев». Говорит лишь, что по «формальному образованию» он не айтишник. Научился всему, что было ему интересно, самостоятельно. До того как попасть в «Киберпартизаны», работал «программистом и в других сферах высоких технологий».
«Активно что-то делать в киберпространстве в 2020-м было страшно»
— Мы общаемся лишь в переписке, даже просто созвониться ты отказался. Почему?
— У этого несколько причин. Во-первых, моя личная безопасность. Есть технологии, которые позволяют вычислить человека по голосу. Даже если голос изменен. Моя безопасность напрямую связана с безопасностью всей организации. Чем меньше зацепок на участников, тем меньше «Киберпартизаны» уязвимы. Во-вторых, в отличие от других [белорусских] оппозиционных организаций, в теории нас могут преследовать даже страны Запада. Хотя мы их не атакуем. Все-таки возможности нашей организации — это оружие. Оно может быть использовано как для добра, так и для зла. Иностранные спецслужбы не знают нас лично (я надеюсь), наши намерения им тоже не известны, поэтому они могут решить превентивно нас задержать. Как минимум для предварительного расследования.
— По запросу белорусского МВД такое задержание тоже возможно?
— До войны существовал и подобный риск. Сейчас, думаю, это менее вероятно. И все же в правовом поле мы находимся в серой зоне и по умолчанию наша деятельность может считаться незаконной даже на Западе, хотя в последнее время хактивизм (использование незаконными способами компьютеров и сетей для продвижения политических идей, свободы слова, свободы информации и защиты прав человека. — Прим. ред.) бурно обсуждается. Нашу позицию на эту тему на форумах и рабочих группах мы доносим через Юлиану (Юлиана Шеметовец — представитель «Киберпартизан», на данный момент живет в США. — Прим. ред.). Она не участвует в атаках, но это не значит, что, открыв лицо, она не рискует. Скорее, она рискует больше всех. Но все же, мы считаем, что на Западе ее преследовать не будут.
— Когда и почему ты присоединился к «Киберпартизанам»?
— Меня сильно задело насилие, происходившее до, во время и после выборов-2020. Круглосуточно следил за новостями. Прочитав про первый взлом «Киберпартизан», вдохновился (тогда «партизаны» взломали сайт Управделами Лукашенко — на его главной странице появился бело-красно-белый флаг, а рядом фото Виктора Шеймана со звездой Верки Сердючки на голове. — Прим. ред.). В этом я увидел возможность ассиметричной борьбы. Борьбы, где у нас будет сильная позиция, а у режима слабая. Борьбы, где мы сможем побеждать. Понимал, у меня есть определенные навыки, и хотел как-то повлиять на исход событий. В итоге присоединился к группе почти с самого начала.
— Полтора года назад представитель «Киберпартизан» рассказывал, что в августе 2020-го человек, которого можно назвать основателем группы, на сайте Торгово-промышленной палаты объявил о создании организации и разместил загадку. Те, кто с ней справился, смогли с ним связаться. Расскажи, как ты решал этот ребус.
— Для начала нужно было понять, что это за странные циферки-буковки. Тот, кто немного знаком с криптографией или расшифровкой паролей, мог узнать, что это похоже на хэш (hash) типа md5. Для разгадки требовалось найти текст, который зашифрован в этом хэше.
Я не хакер, подобные задачи раньше не решал, поэтому с заданием справился не сразу. Несколько дней гуглил, пробовал разные инструменты, но получалась просто каша из букв и цифр. Сдаваться не хотел, я человек настырный. Когда после множества попыток у меня вышел текст со смыслом — это был адрес электронной почты, — аж мурашки пошли по телу. Я отправил письмо на этот мейл (сейчас его уже не существует).
Основатель группы достаточно быстро ответил. Спросил, что умею и сколько у меня есть времени. Затем мне дали проверочное задание: написать небольшое приложение. После чего мы достаточно быстро переключились на общение по зашифрованному мессенджеру. Он спросил, могу ли разобраться с одной из систем для онлайн-вещания, и я взялся за работу.
Команда тогда была небольшая — 2−4 человека, четко сформированного протокола, кто что делает, еще не существовало. Задания участники группы обычно находили себе сами. Например, разрабатывали по своей инициативе приложения, тот же П-телеграм (партизанский телеграм. — Прим. ред.). Или проверяли всякие сайты на уязвимость: как только что-то находили, пробовали «ковырять» дальше, пытались получить доступ, который, например, позволял заменить содержимое платформы. А также работали с людьми через бот, чтобы достать информацию для взломов или доступы.
Если же говорить обо мне, то я пытался разрабатывать IT-проекты, что могли бы помочь протестам стать более эффективными и скоординированными, а также, как и сейчас, занимался взломом внутренних сетей. Кстати, специально нас никто ничему не учил. Все это мы делали сами, друг другу помогали, только когда были конкретные дилеммы и вопросы.
— Не страшно было заниматься этим из Беларуси?
— Свою локацию обсуждать не буду. Скажу лишь, активно что-то делать в киберпространстве на тот момент было страшно. КГБ тогда еще реально пугало. Сейчас — нет. Почему? Спустя более чем два года существования мы уже гуляли глубоко в тылу врага. Прощупали, кто на той стороне на что способен. Мне кажется, в киберпространстве мы для них (силовиков. — Прим. ред.) стихия, которую они воспринимают так: «Ну взломали и взломали, ничего мы сделать не могли. Остается только разгрести последствия». Реально что-то взломать, если это не дверь квартиры, та сторона не может. А наши успешные атаки демонстрируют, что и обороняться у них не особо получается.
— Когда ты присоединился к команде, тебя как-то проверяли? Вдруг ты агент.
— Только проверочным заданием и личным общением, но позже, можно сказать, меня проверили на взломе БТ и других делах. Сейчас доступ к внутренней сети пропаганды мы бы ни за что не дали новичку. Теперь принятие человека — более длительный процесс.
— По ходу работы людей перепроверяют? Мало ли кто-то в процессе решил перейти на другую сторону.
— Если человек ведет себя подозрительно, тогда вопрос его участия в «Киберпартизанах» может быть поднят на обсуждение. Как это происходит? У нас есть чат, куда включена бòльшая часть киберов, которые долгое время с нами, уже проявили себя в деле и находятся в достаточной безопасности. Ситуацию с тем, может ли человек продолжать работу в команде, и другие вопросы мы решаем в чате в дискуссиях и иногда голосованием.
Кроме того, у нас существует киберсейм. В него входят несколько представителей. Это люди, у кого есть доступ к особо чувствительной информации. Киберсейм рассматривает вопросы, которые мы не можем обсуждать открыто со всей группой. Это конкретные цели для атак или дела, касающиеся личной безопасности участников команды. Решения же, что затрагивают всех киберов, обычно принимаются всей группой.
— Ты в киберсейме?
— Без комментариев.
— Что нужно, чтобы туда попасть?
— Необходимо соответствовать списку критериев и быть одобренным остальными членами сейма. Критерии строгие. Касаются реального «выхлопа» от работы кибера, соответствию протоколам безопасности, интенсивной вовлеченности в ежедневную деятельность организации и другие.
— За время существования организации много людей ушло?
— Буквально несколько человек. Около двух-трех ребят покинули нас из-за того, что не относились достаточно ответственно к безопасности. Еще один-два — в связи с тем, что не были согласны с принятыми нами решениями. Последние уходили самостоятельно. Мы не отстраняем людей из-за их мнения или убеждений. По взглядам у нас очень разнообразная группа.
«Было ощущение, что этот взлом вдохновил многих людей на продолжение протестов»
— Ты сказал, что тебя проверяли на взломе БТ. Так понимаю, это была твоя первая атака. Можешь о ней рассказать?
— Это один из самых ярких моментов в моей жизни. Один из нас нашел доступ к системе онлайн-вещания. Нужно было разобраться, как она работает и как можно в ней что-то менять.
Наиболее интенсивная работа проводилась последние три дня перед атакой. Я почти не спал, составлял алгоритм, который должен был одновременно сменить эфир на всех каналах Белтелерадиокомпании и ОНТ. Мне нужно было писать код, тестировать его, исследовать, почему что-то не работает, поправлять, опять тестировать.
В вечер атаки товарищ загрузил мой скрипт в систему вещания, и мы проверили его на одном из серверов «Беларусь 5». И это сработало! [На сайте канала] крутился наш ролик (на кадрах насилие со стороны силовиков. — Прим. ред.). В тот момент я даже вскочил от радости. Мы оба удивились, что вот так с первого раза все сработало. После этого он запустил скрипт на сайты БТ и ОНТ. Это было чудо, как алгоритм из тысячи строк сработал с первой попытки. У меня еще такого не случалось в жизни.
Еще в тот вечер на онлайн-радио мы поставили «Лебединое озеро», но этого вроде никто даже не заметил. Все помнят только БТ и ОНТ. В ту ночь я не спал, читал новости, изучал реакцию общества — и она меня поразила. Все СМИ об этом писали. Нам даже сообщили, что КГБ приехало на БТ и Эйсмонта (Ивана Эйсмонта — председателя гостелерадиокомпании. — Прим. ред.) «поимели». Извините за мой французский. Было ощущение, что этот взлом вдохновил многих людей на продолжение протестов.
— Чем ты сейчас занимаешься в «Киберпартизанах»?
— Где-то в соотношении 50 на 50 занимаюсь решением административных вопросов и работой по закрытым сетям, то есть по таким, куда по умолчанию нет доступа из интернета. Например, сеть МВД, где хранятся республиканские базы данных, или сеть БГУ, в которой находятся их базы сотрудников, студентов и рабочие станции сотрудников (например, персональные рабочие компьютеры людей. — Прим. ред.).
— Есть ли у тебя еще работа, кроме «Киберпартизан»?
— Основную часть времени я вкладываю в нашу организацию, поэтому совмещать получается плохо.
— Тогда нескромный вопрос, а на что ты живешь?
— Когда присоединился к группе, сначала работал. Потом почти все свое время стал уделять партизанству. Пришлось жить на накопления. К моменту, когда и они закончились, мы набрали немного финансов от доноров и с донатов, и таким, как я, можно было выделять зарплату.
Случаются периоды, что у организации нет денег, тогда приходится подрабатывать и (или) жить аскетично. Обычно это время у меня получается переждать или что-то у кого-то одолжить. Нашу работу прекращать нельзя.
— Какую зарплату платят айтишнику твоего уровня сейчас?
— В среднем я мог бы зарабатывать в 5−6 раз больше, чем сейчас. Но для меня киберпартизанство — бальзам для души. Никакая сумма денег это не заменит.
— Сколько сейчас людей в команде «Киберпартизан»? Много, как ты, заняты в проекте весь рабочий день?
— На данный момент у нас около 70 человек. Все находятся на разных этапах и уровнях доступа к информации. Большинство не занимается непосредственно взломами. К сожалению, у основной части активистов есть обычная работа. Когда получается найти больше ресурсов, мы увеличиваем количество людей на фултайм. В такие периоды «выхлоп» существенно наращивается, и мы можем проводить параллельно больше сложных операций.
— Беларусь много лет позиционировала себя как IT-страна. Как думаешь, почему в «Киберпартизанах» людей меньше, чем в полку Калиновского?
— Думаю, у этого есть несколько причин. Первая — бойцом, в теории, может стать почти любой человек. Для киберпартизанства нужны специфические навыки. Вторая — никому из присоединившихся мы не можем гарантировать оплату, поэтому партизанством люди вынуждены заниматься в свободное время. А его у них часто нет. Третье — немногие проходят наш длительный отбор. Среди тех, кто пишет в бот и интересуется, как попасть в команду, в последующем около 80 процентов подвисают по различным причинам.
— Какой процент в команде белорусы? Из каких стран остальные?
— Почти все белорусы. Про остальных по странам информацию дать не могу: мы лично не знакомы.
— Сколько в команде девушек?
— Человек пять. К сожалению, это немного, но мы всегда приветствуем людей любого пола, национальности. Главное — голова на плечах и свободное время.
«Обычные люди тоже пишут. Спрашивают информацию о тех, кто их репрессировал, избивал, судил»
— Как строится рабочий день киберпартизана?
— Работа никогда не заканчивается. Сейчас у нас уже столько доступов, что с ресурсами, которые у нас есть на данный момент, полностью мы не сможем их обработать даже за пять лет.
Что касается графика, то это очень индивидуально. Днем многие активисты на обычной работе, так что отвлекаться на что-то еще сложно. Это же и одна из причин, почему кибероперации проходят по ночам. Вторая — в этот период администраторы менее активно следят за происходящим в их сетях.
Что касается меня, то, если я занят ночью, могу сидеть до 5−6 утра. Если в это время сплю, то просыпаюсь в 7−9 утра и начинаю день с проверки сообщений от киберов и партнеров, среди которых организации в демократическом поле, журналисты, расследователи, публичные деятели. В сообщениях они могут обращаться за консультациями по безопасности, просить данные из наших баз, предлагать проекты или мероприятия.
Обычные люди тоже пишут. Просят проверить, есть ли они в базе «Беспорядки», спрашивают информацию о тех, кто их репрессировал, избивал, судил. Это тысячи обращений. Мы на них тоже отвечаем, считаем, у человека есть право знать, кто его обидел. Это справедливо. Там, где государство не обеспечивает безопасность людей, это будем делать мы.
— Не боитесь, что это может привести к плохим последствиям? Например, человек на эмоциях пойдет разбираться с обидчиком и потом окажется за решеткой.
— Не боимся, такого еще не случалось. Кстати, нам поступает множество сообщений, в которых люди просят помочь им найти понравившегося человека. Недавно обращался парень. Ему в поезде приглянулась девушка, но познакомиться он не подошел. Знает, на какой станции она вышла. Спрашивал, не можем ли мы по системе билетов БелЖД вычислить, кто это. Ему мы отказали.
— Вернемся к тому, как проходит день кибера. После того как ты разгреб письма, что дальше?
— Открываю свой список задач и занимаюсь самым срочным. Среди таких дел может быть исправление работы наших серверов для приложений или инфраструктуры для операций. Могут быть и сами операции. Хотя чаще я по ним работаю по вечерам или ночами, когда город засыпает.
— Почему? Ты сова?
— Я уже к этому привык, так что, можно сказать, я сова.
Кибероперации обычно требуют очень много когнитивных ресурсов. В это дело нужно погружаться. Если тебя что-то отвлекает, продуктивность падает, и нужно включаться заново, поэтому за сложные и срочные операции я берусь по ночам (в этот период проще сосредоточиться), а также выключаю уведомления. Это тоже немного помогает.
К тому же обычно ночью системы более уязвимы из-за человеческого фактора: люди любят спать. Но есть тут и свои нюансы. Из-за пониженной активности в этот период любой твой след будет сильнее выделяться. К тому же некоторые действия можно произвести только днем. Например, если нужны данные с определенной рабочей станции (ПК сотрудника), а она включена только днем.
— Сколько ночей подряд ты, случалось, не спал?
— Меньше всего отдыхал во время операций на БелЖД и БТ. Бывало, за три ночи спал суммарно всего три-четыре часа.
«На каждую „шумную“ операцию у нас, условно, есть пять секретных»
— Изменилась ли работа киберов после начала войны?
— Да, пришлось ставить жестче приоритеты. Обстановка резко меняется, и нам нужно реагировать быстро. Если раньше мы могли планировать операцию на шесть-девять месяцев и проводить ее, «когда будет свободное время», то с началом войны приходится находить новые ресурсы и укладываться в значительно меньшие сроки.
— Приведи пример быстрого реагирования.
— С помощью наших баз данных проверяют добровольцев, которые хотят в полк Калиновского. Если поисковая система не работает, люди не могут попасть в подразделение. Та же ситуация и с белорусскими волонтерами, направляющимся по разным причинам в Украину. С просьбой проверить человека к нам иногда обращается украинская сторона. Если мы своевременно не исследуем сведения о данных людях, процесс их попадания в страну затянется. А ведь некоторые волонтеры везут дроны для фронта или гуманитарку. Чтобы задержек не происходило, неисправности в базах нужно срочно чинить.
— Спрашиваю, потому что после взлома на БелЖД в Беларуси каких-то громких атак у «Киберпартизан», насколько помню, не было.
— Было. Просто мы их не афишировали. На каждую «шумную» операцию у нас, условно, есть пять секретных. Дело в том, что заявить публично про взлом — это значит потерять свои позиции на данном объекте. Если же мы молчим, у нас получается оставаться на нем (иногда это может длиться годами и позволяет получать данные в режиме реального времени) или проникать заново без больших усилий.
От огласки теряешь сильнее, чем выигрываешь. Тем более многие наши операции нацелены на промежуточный доступ. Например, если бы мы сообщили об одном из взломов, который требовался для доступа в сеть МВД, мы бы туда не попали. Вся наша инфраструктура была бы раскрыта, и та сторона залатала бы свои дыры.
— Сколько таких секретных операций у вас в Беларуси сейчас?
— Сложно сказать. В разработке свыше 150. Некоторые уже готовы под ключ, у других есть начальный доступ и их нужно доработать.
— Есть ли что-то из объектов, где вы находитесь, уровня базы данных МВД?
— Да, есть. Сейчас мы атакуем сеть подобной сложности. Хочу сказать, что с 2021-го мы существенно выросли и набрали много опыта в подобных взломах. Взлом БелЖД это продемонстрировал.
— Какая цель у крупных операций, над которыми вы сейчас работаете?
— В 2021-м мы плавно переключились с операций «Жара» (разведывательные) на операции «Пекло» (диверсионные). Среди их основных целей обычно — развить инфраструктуру доступов для будущих взломов или нанести ущерб.
— Что собой представляет этот ущерб? Объясни на примере взлома баз данных МВД.
— В МВД сотни баз данных, в некоторых сотни миллионов строк. Проверить, какие изменения мы в них внесли, нереально. Кроме того, нужно потратить много месяцев и денег, чтобы только понять, как мы туда проникли (у них это, кстати, так и не получилось), а потом годами улучшать инфраструктуру безопасности, чтобы хотя бы немного помешать нам повторно взломать сеть в будущем.
— Как выбираете тех, на кого совершается атака?
— Приоритеты согласовываются в киберсейме. Затем более общо они обсуждаются в чате сообщества и с руководством полка Калиновского. Приоритеты — это не конкретные объекты для атак, а направления. Например, военная инфраструктура (случай БелЖД), разведывательные данные для дня «Х», финансовый ущерб режиму Лукашенко. Затем, исходя из приоритетов и доступов (если их нет, сначала пробуем их получить), выбираем конкретные цели атак. Обычно о них знают только те, кто по ним работает.
Типичный объект для кибероперации — закрытая сеть. Здесь могут быть интересные для нас базы данных, документы, системы управления или критическая инфраструктура. Как правило, такие компьютерные сети закрыты из интернета, поэтому приходится креативить, чтобы в них попасть.
Расскажу, как строился алгоритм нашей работы на примере взлома баз МВД. Они достаточно изолированы от интернета, поэтому к ним нужно было подключить канал связи извне. Основных вариантов было два — партизан на земле или проникновение в смежную сеть, которая пересекается с сетью МВД. Мы выбрали гибридный: партизан на земле подключил наше устройство в смежную, менее защищенную сеть. Отсюда нам следовало проникнуть во «внешний периметр» сети МВД, это своего рода буферная зона между интернетом и «внутренним периметром» — местом, где находится самое ценное, например, республиканские базы данных МВД. Во «внешний периметр» мы попали удаленно. Затем стали пробовать проникнуть во «внутренний». Получилось. При проникновении сюда нас никто не заметил и мы могли наблюдать, что там происходит: кто и куда заходит и прочее. Все базы были нам видны, но получить с них данные без ключа (пароля) мы не могли.
Спустя время в одной из баз получилось найти уязвимое место. Это позволило проникнуть на сервер, где она хранилась. На нем были доступы в другие базы (из-за того, что базам нужно обмениваться данными, на их сервере иногда есть пароли друг от друга). Так постепенно получилось попасть на десятки серверов, где суммарно находятся сотни баз данных. Обычно подобные операции занимают полгода, но нам повезло и мы справились за два-три месяца. Над всем этим работали два-три кибера удаленно и один партизан на земле.
— Как вы выкачали данные из этих баз?
— Эту подробность я не могу раскрыть. Скажу лишь, что мы использовали несколько каналов связи, так как объем информации шел на терабайты.
— А где они сейчас хранятся? Особенно интересно, где лежат данные системы «Паспорт».
— Республиканские базы данных хранятся на особо защищенных серверах. К ним есть доступ у очень ограниченного количества членов организации, которым мы полностью доверяем.
— Люди на местах вам еще соглашаются помогать?
— Сейчас около 80 процентов операций проводятся полностью удаленно. В остальных получаем помощь «на земле».
— Даже теперь, когда всех трясут, есть те, кто готов помогать?
— Именно потому что всех трясут, найти желающих помочь проще. Но, если мы можем обойтись без привлечения человека «на земле», говорим: «Не надо». Отмечу, что за все время не был задержан ни один партизан, который помог нам проникнуть в защищенные сети. Это значит, у режима не получается вычислять людей.
«В случае с системой в БГУ вся нужная информация для взлома была найдена в открытых источниках»
— Как вы готовитесь ко взломам?
— Часто первый этап — это изучение цели, ее «внешнего периметра». Если проще, забора и КПП, за которыми находится «объект». Во время исследования нередко встречаешь какие-то новые технологии. В них нужно разобраться, чтобы найти уязвимости. Как это делаем? Гуглим или смотрим информацию с предыдущих взломов. В случае с системой в БГУ вся нужная информация была найдена в открытых источниках. Сеть оказалась достаточно дырявая.
— О ситуации с БГУ. Когда прочла новость об атаке на внутреннюю сеть вуза, у меня было два вопроса: «В чем смысл этого всего? На что может повлиять взлом университетского сайта?»
— У каждой атаки свои цели. Мы стараемся изложить их в анонсах. В данном случае он звучал так, цитирую: «Наше послание для всех организаций и структур Беларуси: действуете как каратели, значит, получаете как каратели. Тогда вы становитесь для нас целью как пособники диктатуры и насилия».
Если проще, мы хотели сделать так, чтобы руководителям вузов было неповадно репрессировать студентов, а начальникам предприятий — своих сотрудников. Мне кажется, они намотали на ус. А сделали ли правильные выводы? Тут покажет время. Атака наглядно им продемонстрировала: если продолжат жестить, нет никаких гарантий, что мы их не взломаем.
— Ты правда веришь, что после вашей атаки кто-то из начальников перестанет увольнять сотрудников за политику?
— Некоторые продолжат. Другие дважды задумаются: «А стоит ли привлекать внимание „Киберпартизан“?»
Хочу объяснить про БГУ. В данном случае мы атаковали не сайт, а внутреннюю сеть, которая состоит из сотни серверов, тысячи рабочих станций, многих десятков баз данных и так далее. Насколько мне известно, первые дни после атаки сотрудники просто уходили домой, потому что на компьютерах в вузе был синий экран. Затем на всех ПК в университете начали устанавливать свежую операционную систему и программы для работы.
Вообще, у наших требований две основные задачи. Первая — освобождение политзаключенных, даже если вероятность невелика. Вторая — перенаправить гнев руководства организации на режим. Мы предлагаем им, как решить ситуацию, остальное в руках режима. Поэтому к нему администрации и нужно адресовать претензии.
— После взлома внутренней сети БГУ вы предложили, что вернете им данные, если на свободу выйдет 50 политзаключенных. Тебе не кажется, что это несопоставимые в понимании режима требования? Если бы вы взломали, условно, «Беларусбанк», тогда, наверное, с вами вели бы другой разговор.
— В случае с БГУ — это третье наше подобное требование. После взлома МВД мы тоже настаивали на освобождении политзаключенных. Это раз.
Два. Взломы финансовых учреждений — спорная тема. Даже внутри «Киберпартизан» нет однозначной позиции о том, стоит ли наносить по ней серьезные удары и стоит ли это делать именно сейчас, а не в более решающий момент. После подобных атак банк может закрыться. При этом обычным людям будет нанесен больший ущерб, чем режиму. Так что это вопрос открытый и озвучить наши выводы на данную тему я не могу.
Три. Нужно учитывать, что наши ресурсы крайне ограничены. Временами, когда мы можем задействовать больше людей, проводим более сложные операции и делаем это чаще.
— В сентябре 2022-го ваш представитель рассказывала, что вы завладели системой «Паспорт», базами данных МВД, сотрудников СК, записями с изолятора временного содержания. Все это звучало очень впечатляюще, но видео из изоляторов не публиковалось, громких сливов тоже давно не было. Почему так?
— Мы сливаем только то, что представляет интерес для общества. Нет смысла (да и не этично) публиковать все подряд без обработки и фильтрации. У нас часто нет тех, кто бы мог регулярно разбираться с прослушкой и базами данных, поэтому временами, когда мало ресурсов, мы публикуем меньше сливов.
В то же время на основе выкачанных нами данных продолжают регулярно выходить расследования — каждую неделю несколько. Многие даже не представляют, насколько доступ к данным, которые мы получили, повлиял на медиаполе и усилил свободную журналистику.
Мы, кстати, тоже иногда публикуем записи прослушки МВД и другие материалы. Недавно выпустили бот для распознавания ментов по фото. Все это на основе взломанных баз.
«Системные администраторы БелЖД пасли нас заранее. Они знали, мы что-то мутим»
— Что из сливов или взломов тебя больше всего поразило?
— Был удивлен, что, судя по прослушке МВД, режим больше всего пишет своих. Командиров ОМОНа, например. Видимо, сильнее всего боятся, что свои же их и предадут. Это означает, вертикаль хрупка.
А еще каждый раз заново поражаюсь халатности в «защищенных» сетях режима. Иногда прямо ужасаюсь. Часто их инфраструктура не обслуживается и устарела. В сети БелЖД встречались Windows XP и даже Windows 98. Достаточно Windows XP было и в БГУ. Древние операционные системы более уязвимы, так как не получают обновления от производителя.
Вообще, отделы IT и ИБ (интернет-безопасности. — Прим. ред.) плохо финансируются. Например, насколько мне известно, на весь БГУ, где тысячи компьютеров, кибербезопасностью занимаются только три человека. Одна из них в процессе обучения.
— Что чувствуешь после взлома?
— Сложно описать словами. На пике операции обычно много адреналина. На следующий день, когда изучаешь последствия и все еще находишься в сети, тоже. Иногда от происходящего мурашки по коже. На некоторое время чувствуешь себя частью чего-то большого. Больше себя и «Киберпартизан». Частью более глобальных процессов. Это вдохновляет продолжать борьбу, заниматься новыми атаками и проектами.
— Существует ли у «Киберпартизан» моральный кодекс?
— Да, есть, но мы не готовы его опубличить, он для внутреннего пользования. Кодекс касается ущерба обычным людям. Мы всеми силами пытаемся, чтобы основной урон был нанесен режиму, а для мирных граждан он ограничивался максимум неудобством.
Кроме того, мы не сделаем ничего, что приведет к жертвам среди простого населения.
— Есть ли у организации офис?
— Физического офиса у нас нет, все работают откуда удобно. Обычно у каждого есть своя инфраструктура для проведения операций: защищенные виртуальные сервера (чтобы не подхватить всякую заразу на своем ПК), сервера для хранения выкачанных данных. Например, команда, которую я ввожу на своем ПК, может быть перенаправлена через цепочку в 5−10 серверов, пока не достигнет «жертвы».
— За чей счет оплачиваются сервера?
— За счет пожертвований или за личные средства. Недавно начали получать немного грантов.
— Бывают ли у «Киберпартизан» хотя бы онлайн-корпоративы?
— У нас есть еженедельные встречи онлайн, где мы в переписке обсуждаем повестку дня, принимаем решения.
— Часто сталкиваешься со стрессами? Какая ситуация была самой напряженной?
— Сейчас редко, много стресса было во время атаки на БелЖД. Мы заранее поняли, что РФ, скорее всего, нападет на Украину, и стали к этому готовиться. Надеялись, к первому дню войны у нас будет сделана атака под ключ, но не успели. В итоге нужно было работать в режиме 24/7, чтобы помочь сорвать наступление на Киев.
Внутреннюю сеть БелЖД мы атаковали в декабре 2021 — январе 2022-го, но для остановки движения поездов предстояло еще знатно потрудиться. За день до атаки пришлось торопить людей, чтобы каждый закончил свою часть и все системы скоординированно легли. Отключение хотя бы одной системы сорвало бы атаку — и общий эффект был бы ограниченным.
Кстати, системные администраторы БелЖД пасли нас заранее. Они знали, мы что-то мутим, но не понимали что. С одним из них мы буквально работали на одном и том же сервере, пока он что-то там чинил, мы блокировали его действия.
«Было несколько проколов во время операций, когда мы преждевременно спалились или излишне наследили»
— Как то, что ты стал киберпартизаном, отразилось на твоей жизни?
— Приходится скрывать от близких и знакомых, чем я реально занимаюсь. Может, в один день они об этом узнают, а может, и нет. На случай, если кто-то спрашивает о работе, у меня есть легенда, которую с тобой обсуждать не буду. Но мне приходится держать в голове воображаемую реальность.
Сейчас у меня уже много друзей в «Киберпартизанах». С некоторыми ребятами у нас сложилась полноценная дружба, хотя в жизни мы не встречались и лично не знакомы. Но, я чувствую, что могу им доверять и на них рассчитывать.
— Взламывали ли тебя или других киберов?
— Меня — нет, насколько мне известно, других тоже, но мы готовимся и к такому сценарию. После всего, что мы наломали, мне понятно, насколько онлайн-системы могут быть уязвимы.
Вообще, подробно обдумать нашу и мою лично систему безопасности пришлось в преддверии первой атаки на БелЖД. Было понятно, это рубикон, после которого на наше вычисление начнут выделять на порядок больше ресурсов и усилий. Причем не только режим Лукашенко, но и Кремль.
— Почему вы перешли и ко взломам российских организаций? Я о «Роскомнадзоре» и Главном радиочастотном центре?
— Мы осознаем, что для освобождения Беларуси Кремль должен быть серьезно ослаблен. Лучший способ это осуществить через его поражение в Украине.
— Сотрудники органов стали сильнее в том, чтобы сопротивляться «Киберпартизанам»?
— В первый год нашей работы противники делали определенные выводы и пытались противодействовать нам. Сейчас складывается впечатление, что там определенная стагнация. Возможно, это ложное ощущение, связанное с тем, что у нас есть все больше успехов. Но однозначно мы улучшаемся быстрее их.
— Можешь привести конкретный пример?
— Нет, тема контрразведки крайне чувствительна. Мы стремимся к тому, чтобы наш враг не знал, что нам известно о нем и его способностях.
— Тогда оцени своего противника по шкале от 0 до 5, где 5 — максимум.
— Лично я дал бы режиму Лукашенко тройку. Не то чтобы они ничего не делают. Они стараются, но крайне недостаточно. Им просто везло, что долгое время у них не случалось серьезных угроз в киберпространстве. В итоге вся система не была настроена на то, чтобы справляться с достойным соперником в этой области. А переделать ее в условиях режима нереально. Вообще, для диктатур свойственно не делать резких телодвижений на местах, отсутствие инновации, инициативности, застой. Без нас они вообще находились бы в мертвой точке.
— Киберы тоже делают ошибки?
— Было несколько проколов во время операций, когда мы преждевременно спалились или излишне наследили. После любого подобного инцидента обсуждаем ситуацию, анализируем, делаем выводы.
— Можешь подробнее рассказать?
— Подробно не могу, но коротко опишу одну из ситуаций. В атакуемой сети были установлены различные системы для слежки за сотрудниками. Одна из них подхватила данные, скопированные из буфера обмена кибера. Естественно, там не было никаких личных данных самого бойца, но была информация, которая раскрывала одну из наших «методичек». Это косяк (ведь чем больше противник будет понимать, как мы работаем, тем проще ему нам противодействовать), но не смертельный. Мы сделали выводы, и такое больше, вроде как, не повторялось.
«Агенты не могут просто так связаться с любым человеком из команды, чтобы попытаться его завербовать или соблазнить»
— Продолжают ли новые добровольцы стучаться в ваш бот?
— Несколько человек пишет каждую неделю.
— Каких специалистов вы сейчас ищете?
— Программистов приложений, серверов, инструментов для взломов и реверсинга (когда человек разбирает софт и изучает его уязвимости. — Прим. ред.). А также людей, которые умеют и любят работать с данными и написанием контента. Но больше всего нам нужны толковые люди. Те, кто умеет учиться новому и, что не менее важно, готов уделять время на общее дело. Отмечу, в нашей команде не только айтишники, но есть и те, кто работает с данными, контентом для соцсетей, графикой и прочим.
— Если я, например, учитель географии, есть ли смысл мне к вам стучаться?
— Да, учителя нам нужны. У нас не структурирован процесс обучения новых киберсамураев (так мы называем тех, кто непосредственно занимается атаками). Есть над чем работать. Учитель мог бы и в этом помочь.
— Пишут ли в чат-бот девушки, чтобы познакомиться?
— Я такого не припомню, хотя я не особо уже мониторю боты. Этим сейчас занимаются другие. Если кто-то по такому поводу и писал, то обычно это были менты. Но они делали это настолько нелепо, что бросалось в глаза.
— Дай пример.
— Присылали обнаженные фотки и подозрительные ссылки.
— Как вообще киберы знакомятся? Нет ли паранойи, что подкатывает не просто девушка, а агент?
— Нет, потому что никто не знает, кто мы. Я надеюсь. Боты у нас администрирует минимум людей, поэтому агенты не могут просто так связаться с любым человеком из команды, чтобы попытаться его завербовать или соблазнить.
Если говорить обо мне, то лично я ничего такого в отношении себя не опасаюсь. Во-первых, я не поведусь. Во-вторых, если меня решат вычислить, то, наверное, попытаются просто ликвидировать. Без церемоний.
— Похищение данных — преступление. Причем не по политической статье. Как относишься к тому, что ты в этом участвуешь? Как думаешь, придется ли в будущем в Беларуси за это отвечать перед законом?
— Когда фундаментальные законы (Конституция) не соблюдаются, тогда в целом все законы теряют любой смысл. В Беларуси сейчас царствует беззаконие. Это беда, кризис, но как есть.
В отсутствие законов начинают доминировать ценности и «понятия». Теперь в нашей стране «похищение данных» у так называемого государства может сработать на благо народа. Просто зависит от того, кто это делает, с какой целью, как эти данные используются и охраняются. В какой-то мере новые законы пишутся вместо тех, что больше не соблюдаются.
Убежден, если мы продолжим делать то, что делаем, то в новой Беларуси преследовать нас за это не будут. Конечно, это лишь мое мнение, и оно не означает, что мы не станем делать все возможное, чтобы так и случилось на самом деле.
— Что ты имеешь в виду?
— Сейчас у нас есть определенный политический вес. Возможность повлиять на политиков и самим участвовать в политической жизни. Для нас это необходимо, чтобы после смены режима гарантировать свою безопасность и переход к демократической власти.
— Как думаешь, откроют ли когда-нибудь «Киберпартизаны» лица?
— Да, думаю, это произойдет в первые годы после свержения режима. Пусть даже и не все на это решатся.
— Планируешь ли ты сам вернуться в Беларусь? Чем займешься?
— Да, после победы я буду в Беларуси, а может, и до. Займусь построением страны, высокотехнологичной индустрии, IT-отрасли. В общем, подключусь к тому, где больше всего понадобится моя помощь.