Я хочу поддержать «Медузу»
Фото: Даниил Туровский / «Медуза»
истории

Грузить по полной программе Зачем госкорпорации понадобилась система для организации DDoS-атак. Репортаж Даниила Туровского

Источник: Meduza

Александр Вяря — бывший сотрудник компании, предоставляющей услуги по защите от DDoS-атак — в августе 2015 года уехал из России. Он утверждает, что этой зимой представители государственной корпорации «Ростех» интересовались системой, позволяющей организовать мощные сетевые атаки. Сам Вяря присутствовал на встрече в Софии, во время которой производители программного обеспечения якобы демонстрировали сотруднику «Ростеха» возможности системы: на пробу они вывели из строя сайты министерства обороны Украины и российского издания Slon.ru. Вяря считает, что его хотели нанять в качестве специалиста, управляющего этим ПО. Специальный корреспондент «Медузы» Даниил Туровский встретился с Александром Вярей в Хельсинки и выслушал его историю. 


Александр Вяря родился в середине 1980-х в Ленинграде. Жил в коммуналке без отца; лет в двенадцать увлекся компьютерами. Отрастил бороду, носил мешковатую одежду, почти не смотрел сериалы, много времени тратил на онлайн-игры, никогда не заводил страницы в соцсетях.

В начале нулевых он устроился на первую работу — системным администратором в компанию своего двоюродного дяди. Как-то раз в 2005 году Вяря ехал в троллейбусе мимо железнодорожного вокзала — и спонтанно решил переехать в Москву к своей девушке (и будущей жене). Вышел из троллейбуса, купил билет на поезд и немедленно уехал. Похожий побег он совершит через десять лет — только в обратную сторону.

В столице Вяря, не учившийся в университете, занимался самообразованием, работал в хостинг-компаниях, а в 2012 году обнаружил на одном из профильных форумов объявление о том, что в фирму требуются инженеры-сетевики. После пары тестовых заданий его взяли в компанию Qrator, специализирующуюся на защите от DDoS-атак. К тому времени она уже лидировала на рынке: среди ее клиентов были многие независимые СМИ (телеканал «Дождь», «Новая газета», «Ведомости»), а также банки («Альфа-банк», «Тинькофф») и интернет-магазины («Юлмарт», Lamoda). Услугами компании однажды воспользовался даже интернет-магазин по продаже кедровых бочек; по словам Вяри, на него была совершена самая большая атака за все время его работы. «В России популярно сводить счеты с конкурентами с помощью DDoS-атак, некоторым магазинам один день простоя стоит закрытия», — объясняет он.

Александр Вяря показывает свою визитку

Фото: Даниил Туровский / «Медуза»

Вяре, работающему в техподдержке, приходилось отвечать на звонки; нередко в компанию обращались те, кто не доволен тем, что она защищает в том числе оппозиционные сайты. Весной 2012-го накануне инаугурации президента Владимира Путина были атакованы сайты «Эха Москвы», «Коммерсанта» и «Дождя»; Qrator обеспечивал их поддержку. «Зачем же вы защищаете евреев?» — сказал один из дозвонившихся в службу Александру Вяре.

Во время кампании по выборам мэра Москвы в 2013 году, когда Qrator поддерживал личный сайт Алексея Навального, Вяря заметил возле офиса компании фургон с тонированными стеклами и антеннами на крыше. Выходя на обед, сотрудники пытались заглянуть в фургон и шутили, что тем, кто их прослушивает, надо бы принести пончики.

Руководитель компании Qrator Александр Лямин в беседе с «Медузой» описал Александра Вярю как «очень впечатлительного и талантливого человека с тараканами в голове»: «Когда слишком долго работаешь в информационной безопасности, начинаешь меняться, начинаешь во всем видеть угрозу себе».

Несмотря на это, к 2015 году Вярю повысили до руководителя службы эксплуатации. Он впервые начал часто ездить за границу: приходилось посещать дата-центры, расположенные в европейских странах, чтобы устанавливать программное обеспечение, способное работать при больших нагрузках, то есть во время атак. В Qrator такие серверы с фирменным ПО называют «центрами очистки трафика». Они помогают окружать сайты клиентов виртуальным «забором» с «пограничными пунктами», отфильтровывающими здоровый трафик от паразитного.

С начала 2015 года компания начала подготовку к открытию первого зарубежного отделения в Праге. Всем сотрудникам делали рабочие визы. Вяря тоже должен был поехать в Прагу — чтобы возглавить филиал.

* * *

В эту странную историю Александр Вяря попал совершенно случайно. Если верить его рассказу, события развивались примерно так.

3 февраля 2015 года генеральному директору Qrator Александру Лямину позвонил Вартан Хачатуров, замдиректора департамента инфраструктурных проектов Минкомсвязи. Хачатуров попросил кого-нибудь из сотрудников компании помочь с одним «щекотливым вопросом». Кроме Вяри помогать было некому — все разъехались по конференциям (Лямин подтвердил «Медузе», что Хачатуров обращался к нему за помощью).

Хачатуров связался с Вярей и оставил номер телефона, на который нужно было отправить смс; Вяря сразу послал сообщение. Ближе к вечеру раздался звонок: звонил некий Василий Бровко. Вяря понятия не имел, кто это. Бровко сказал ему, что через пару дней необходимо слетать вместе с ним в столицу Болгарии — Софию, а документы оформит его помощница.

Василий Бровко

Фото: Дмитрий Лебедев / Коммерсантъ

Вяря поискал в Сети информацию о Бровко и схватился за голову. Больше всего ему запомнилось, что тот основал компанию «Апостол», которую Алексей Навальный весной 2013 года обвинял в том, что она с помощью ботов раскручивала соцсети «Аэрофлота». В последнее время Бровко работал начальником департамента коммуникаций в «Ростехе» — госкорпорации, созданной для производства высокотехнологической продукции гражданского и военного назначения. Руководил ею Сергей Чемезов, близкий знакомый Владимира Путина.

Вяря предполагал, что от него хотят помощи по его профилю, то есть выбрать новую систему защиты от DDoS. Но удивился, что позвали в Болгарию — известные производители соответствующего программного обеспечения находятся в Израиле и Штатах.

5 февраля 2015 года он прилетел в Софию. Отправил сообщение Бровко; тот ответил, что встреча состоится во второй половине дня. Вяря погулял по центру, потом подошел к назначенному месту — помпезному стеклянному зданию Grand Hotel Sofia.

Вскоре появился Бровко. В одной руке у него был йотафон, а в другой айфон; он постоянно что-то на них набирал. Вяря поприветствовал Бровко и сказал, что София удивительно небольшой город. «Помойка», — бросил Бровко.

Следом за Бровко появились двое. Они оказались сотрудниками местной компании Packets Teсhnologies (сайт компании скромно сообщает, что организация специализируется на «разработке передовых сетевых технологий»). Бровко сказал Вяре, что нужно сходить в офис компании «посмотреть продукт» — и высказать свое мнение.

Офис оказался недалеко. В переговорной один из сотрудников Packets Technologies включил презентацию, а заодно рассказал о себе: работал в израильской армии, консультировал по сетевой безопасности крупнейшие интернет-компании, участвовал в Black Hat (главная мировая конференция по информационной безопасности, на которую приезжают и представители IT-корпораций, и хакеры).

После этого сотрудник болгарской компании, как утверждает Вяря, заявил: «Сейчас я вам представлю продукт для организации DDoS-атак». Названия у программного обеспечения не было. Сотрудник добавил, что «продукт» умеет организовывать DDoS-атаки на сетевом уровне. Такие атаки «забивают» ресурсы сервера паразитными пакетами, из-за чего система перестает принимать полезные пакеты трафика.

Система представляла собой «коробку» с ПО для DDoS-атак, установленную на одном из трафикообменников. Для нее была выделена специальная полоса с максимальной мощностью в 10 Гбит/секунду. Специалисты Packets Technologies добавили: можно легко увеличить трафик, установив еще одну «коробку» с ПО (в 2010 году атака именно такой силы, 10 Гбит/секунду, была совершена на серверы Wikileaks; в 2013-м мощность крупнейшей DDoS-атаки в истории интернета — голландский хостер Cyberbunker против компании Spamhaus — достигала 300 Гбит/секунду: по формулировке The New York Times, она «замедлила интернет»).

Сотрудники болгарской компании рассказали Вяре, что их система позволяет совершать «коктейльные», то есть смешанные по видам атаки — такие намного сложнее отражать.

Александр Вяря объясняет, как устроен веб-интерфейс системы для DDoS-атаки. Хельсинки, 26 августа 2015 года

Фото: Даниил Туровский / «Медуза»

Закончив с теоретической частью, сотрудник компании запустил VPN-соединение и Tor-браузер, обеспечив себе анонимность (начало такой атаки отследить практически невозможно). Набрал в браузере IP-адрес — открылась страница с крайне простым интерфейсом. Наверху размещалась адресная строка, ниже — около десятка названий подвидов DDoS-атак, рядом с каждой — пустая ячейка, которую можно отметить галочкой. Внизу — кнопка для выбора полосы атаки (например, мощность можно уменьшить с 10 Гбит/cекунду до 100 мбит/секунду). «Можно не на всю катушку, если жертве достаточно поменьше», — поясняет Вяря.

Сотрудники компании ввели в строке интерфейса mil.gov.ua — адрес сайта министерства обороны Украины. В соседнем окне открыли страницу сервиса, по которому можно определять работоспособность сайтов. Затем включили программу на полную мощность. В интерфейсе появился текстовой лог, в котором mil.gov.ua преобразовался в IP-адрес. Возник график о том, что атака достигла 10 Гбит/секунду. Сервис работоспособности показал, что сайт недоступен. Его попробовали открыть в браузере, но он не загрузился. Через пару минут атаку остановили; сайт снова стал открываться.

Потом они попробовали атаковать сайт украинского министерства обороны на мощности в 100 Мбит/секунду — он снова перестал работать.

«Давайте проверим на Slon.ru», — якобы сказал Бровко, до этого молчавший. «Слон» атаковали на мощности 10 Гбит/секунду. Он перестал открываться и «лежал» несколько минут (главный редактор «Слона» Максим Кашулинский подтвердил «Медузе», что 5 февраля 2015 года они зафиксировали атаку, которая на две минуты обрушила сайт).

«А что если сайты пользуются защитой — не пробьете?» — спросил Вяря. Ему ответили, что в этом случае придется узнавать реальный адрес сервера (все сервисы защиты пропускают атаку через себя, а реальный адрес сервера маскируют), и у них есть соответствующая методика. Вяря уточнил, сколько стоит система, на что Бровко, по его словам, сказал: около миллиона долларов.

После встречи Вяря и Бровко отправились в Grand Hotel Sofia. Сели в лобби, взяли кофе. Вяря вспоминает, что Бровко больше всего интересовало, как найти реальный адрес сайта и на каких обменниках трафика лучше всего ставить такую систему. Через некоторое время он якобы сказал: «Ну что, нам нужен кто-то, кто будет этим управлять». «Нет, извините, — поперхнулся Вяря. — Я не хакер. Это против моих принципов и это противозаконно». Бровко, по словам Вяри, спросил: «Ты знаешь, какая организация тебя сюда пригласила?» Вяря предположил, что он намекает на ФСБ. Но вслух сказал, что будет готов отвечать только на вопросы по технической части.

Они добавили друг друга в телеграме и разошлись.

Скриншот переписки с Василием Бровко, предоставленный Александром Вярей

Вяря, по его признанию, был в шоке. Он решил сразу написать о случившемся своему начальнику — Александру Лямину. Тот рекомендовал «остаться максимально в стороне».

6 февраля Вяря вернулся в Москву. На протяжении следующих четырех дней он отправил Бровко несколько сообщений с советами по технической части (Вяря предоставил «Медузе» скриншоты переписки). В переписке, в частности, он рекомендует использовать для системы голландские трафикообменники, где «проходят терабиты трафика — и на десяток гигабит не обратят внимания». Бровко ответил коротко: «Спасибо. Изучаю».

Через месяц, 6 марта, Бровко, по утверждению Вяри, попросил о встрече «без вовлечения руководства». У них состоялся такой диалог:

Вяря: я человек подневольный и без одобрения шефа не могу.

Бровко: Ну ты скажи, что кофе выпить выйдешь

Вяря: к сожалению, не могу :(

Бровко: Не прав, но ладно. Дай номер шефа.

Лямин таким вниманием к своему сотруднику был недоволен. Он завел в телеграме чат под названием «WTF» (what the fuck? — «что за фигня?»), куда пригласил Александра Вярю, Василия Бровко и замдиректора департамента инфраструктурных проектов Минкомсвязи Вартана Хачатурова (который, по утверждению Вяри, в свое время просил о помощи в «щекотливом вопросе»).

Лямин: Коллеги. День добрый. Сказать что я взбешен — это ничего не сказать

Хачатуров: Привет

Лямин: Вартан, я всегда рад помочь тебе. Ты знаешь. Но когда к моим сотрудникам начинают <…> лезть через мою голову — Я ПРОТИВ

Хачатуров: Я честно говоря думал, что это разовая история :)

Лямин: Я согласился помочь с Софией. Ни больше, ни меньше. Весь остальной «креатив» мной санкционирован не был <…>. Ждем комментариев и объяснений Василия Бровко.

<…>

Бровко: Не понимаю о чем речь в целом. Мне Денис (Вяря не знает, кто это такой — прим. «Медузы») сказал, что вы мой консалтинг в очень щекотливом вопросе. Нет, так нет

Хачатуров: Василий, просто Денис не сказал, что это длящаяся работа, а не разовая помощь :)

Бровко: Разовая помощь. 15 мин хотел

Хачатуров: Мне кажется, это тогда не проблема, Саш.

Скриншот переписки, предоставленный Александром Вярей

После этого разговора Бровко больше не пытался встретиться с Вярей и привлечь его к работе.

Василий Бровко подтвердил «Медузе», что был в Болгарии вместе с Вярей, но опроверг информацию о том, что они тестировали программу для организации DDoS-атак. «Был в Болгарии для анализа системы защиты от киберугроз, а не для совершения таковых», — сказал он, отказавшись комментировать «обвинения за рамками здравого смысла и не имеющие связи с реальностью». Он также рассказал, что «Ростех» постоянно подвергается кибератакам — с начала года на предприятия корпорации их было совершено свыше 11 тысяч.

Болгарская компания Packets Tehnologies не ответила на письмо «Медузы».

Руководитель компании Qrator Александр Лямин подтвердил «Медузе», что Вяря ездил в Софию на встречу с Василием Бровко. Однако, по его мнению, речь шла вовсе не о системе для DDoS-атак, но о трафикогенераторе — системе, необходимой для проверки устойчивости сайтов к нагрузке. «Скорее всего, был залп по „Слону“. Экспериментальный, на проверку. Нелегально? Это серая зона», — сказал Лямин.

* * *

На протяжении нескольких месяцев после встречи в Софии Александру Вяре казалось, что его все равно привлекут к работе над системой, а если и нет, то «ударят по башке».

К тому времени сотрудников Qrator вовсю оформляли в Чехию. Вяря с семьей переехали из съемной квартиры в Чертаново в квартиру в Бирюлево, чтобы немного сэкономить денег перед заграницей. В конце мая Вяря обнаружил возле офиса знакомую машину — тот самый тонированный фургон с антеннами, который уже засветился, когда Qrator обслуживал сайт Навального. А через несколько дней он увидел такой же автомобиль возле своего дома. Вяря говорит, что «начал параноить»: ему казалось, что он встречал одних и тех же людей в разных частях города. Он решил ездить из дома на работу разными маршрутами.

В последних числах июля Вяря сказал на работе, что не сможет ехать в Чехию, потому что этого якобы не хочет жена. Тем не менее, Лямин хотел, чтобы у сотрудников его компании были европейские документы: он посоветовал Вяре получить вид на жительство в Финляндии, поскольку у Вяри там есть корни по отцовской линии. Для ВНЖ требовалось сдать экзамен на знание финского языка. Вяря взял отпуск, чтобы его подучить.

Руководитель компании Qrator Александр Лямин

Кадр: Круглый стол «DDoS-атаки в сетях больших операторов» / Яндекс

21 августа 2015 года друзья Вяри, у которых есть знакомые в ФСБ, передали Вяре, что им якобы продолжают интересоваться спецслужбы и сотрудники «Ростеха» — и его могут все-таки привлечь к работе над проектом, раз он уже про него знает. Ему посоветовали уехать из России, поскольку система может быть использована в сентябре — во время выборов — для атаки на сайты СМИ.

На следующий день он собрал рюкзак и отправился на вокзал; купил билет на «Сапсан» и уехал в Петербург. Вечером на площади Восстания сел в автобус до Хельсинки. Оттуда на пароме перебрался в Стокгольм — Вяря собирался обратиться за помощью к шведским правозащитникам, но они отправили его обратно в Финляндию — страну первого въезда. Вяря вернулся в Хельсинки 25 августа, чтобы попросить статус беженца.

Бывший начальник Вяри Александр Лямин в разговоре с «Медузой» предположил, что Вяря чем-то обижен на компанию и, возможно, выполняет заказ «Лаборатории Касперского» — их главного конкурента. «В Финляндии доллары пригодятся», — сказал Лямин и отправил мне ссылку на расследование Reuters о том, что Евгений Касперский призывал «мочить конкурентов».

* * *

Рано утром 27 августа 2015 года Александр Вяря пришел в полицейский участок. У него взяли короткое интервью, сняли отпечатки пальцев; потом распределили в один из миграционных лагерей в черте финской столицы. Им оказалось большое здание, отделанное кафельной плиткой. В обеденное время возле него бродили несколько десятков беженцев (в основном сирийцы и иракцы), без остановки разговаривающие по телефону. Внутри работала столовая с бесплатной едой.

После заселения Вяря встретил в центре беженца из Чечни. Тот рекомендовал ему беречь постиранные вещи — в лагере воруют. На следующий день он познакомился с парой из Сибири, скрывающейся от уголовного преследования, и интеллигентным сыном какого-то египетского министра. На третий день из лагеря увезли мужчину с подозрением на малярию. На четвертый день Вяре сказали, что после большого интервью с сотрудниками миграционной службы его, скорее всего, переведут в миграционный лагерь в 600 километрах к северу от Хельсинки — ждать решения по его делу. 

Даниил Туровский, Хельсинки, Финляндия

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.