Сервис по организации DDoS-атак для “Ростеха” по просьбе Минкомсвязи оценил Qrator

На презентации болгарской системы для топ-менеджера госкорпорации Бровко “положили” сайты Минобороны Украины и Slon.ru

Даниил Туровский

Сергей Чемезов

Александр Вяря — бывший сотрудник компании, предоставляющей услуги по защите от DDoS-атак — в августе 2015 года уехал из России. Он утверждает, что этой зимой представители государственной корпорации «Ростех» интересовались системой, позволяющей организовать мощные сетевые атаки. Сам Вяря присутствовал на встрече в Софии, во время которой производители программного обеспечения якобы демонстрировали сотруднику «Ростеха» возможности системы: на пробу они вывели из строя сайты министерства обороны Украины и российского издания Slon.ru. Вяря считает, что его хотели нанять в качестве специалиста, управляющего этим ПО. Специальный корреспондент «Медузы» Даниил Туровский встретился с Александром Вярей в Хельсинки и выслушал его историю.

Александр Вяря родился в середине 1980-х в Ленинграде. Жил в коммуналке без отца; лет в двенадцать увлекся компьютерами. Отрастил бороду, носил мешковатую одежду, почти не смотрел сериалы, много времени тратил на онлайн-игры, никогда не заводил страницы в соцсетях.

В начале нулевых он устроился на первую работу — системным администратором в компанию своего двоюродного дяди. Как-то раз в 2005 году Вяря ехал в троллейбусе мимо железнодорожного вокзала — и спонтанно решил переехать в Москву к своей девушке (и будущей жене). Вышел из троллейбуса, купил билет на поезд и немедленно уехал. Похожий побег он совершит через десять лет — только в обратную сторону.

В столице Вяря, не учившийся в университете, занимался самообразованием, работал в хостинг-компаниях, а в 2012 году обнаружил на одном из профильных форумов объявление о том, что в фирму требуются инженеры-сетевики. После пары тестовых заданий его взяли в компанию Qrator, специализирующуюся на защите от DDoS-атак. К тому времени она уже лидировала на рынке: среди ее клиентов были многие независимые СМИ (телеканал «Дождь», «Новая газета», «Ведомости»), а также банки («Альфа-банк», «Тинькофф») и интернет-магазины («Юлмарт», Lamoda). Услугами компании однажды воспользовался даже интернет-магазин по продаже кедровых бочек; по словам Вяри, на него была совершена самая большая атака за все время его работы. «В России популярно сводить счеты с конкурентами с помощью DDoS-атак, некоторым магазинам один день простоя стоит закрытия», — объясняет он.

Вяре, работающему в техподдержке, приходилось отвечать на звонки; нередко в компанию обращались те, кто не доволен тем, что она защищает в том числе оппозиционные сайты. Весной 2012-го накануне были атакованы сайты «Эха Москвы», «Коммерсанта» и «Дождя»; Qrator обеспечивал их поддержку. «Зачем же вы защищаете евреев?» — сказал один из дозвонившихся в службу Александру Вяре.

Во время кампании по выборам мэра Москвы в 2013 году, когда Qrator поддерживал личный сайт Алексея Навального, Вяря заметил возле офиса компании фургон с тонированными стеклами и антеннами на крыше. Выходя на обед, сотрудники пытались заглянуть в фургон и шутили, что тем, кто их прослушивает, надо бы принести пончики.

Руководитель компании Qrator Александр Лямин в беседе с «Медузой» описал Александра Вярю как «очень впечатлительного и талантливого человека с тараканами в голове»: «Когда слишком долго работаешь в информационной безопасности, начинаешь меняться, начинаешь во всем видеть угрозу себе».

Несмотря на это, к 2015 году Вярю повысили до руководителя службы эксплуатации. Он впервые начал часто ездить за границу: приходилось посещать дата-центры, расположенные в европейских странах, чтобы устанавливать программное обеспечение, способное работать при больших нагрузках, то есть во время атак. В Qrator такие серверы с фирменным ПО называют «центрами очистки трафика». Они помогают окружать сайты клиентов виртуальным «забором» с «пограничными пунктами», отфильтровывающими здоровый трафик от паразитного.

С начала 2015 года компания начала подготовку к открытию первого зарубежного отделения в Праге. Всем сотрудникам делали рабочие визы. Вяря тоже должен был поехать в Прагу — чтобы возглавить филиал.

В эту странную историю Александр Вяря попал совершенно случайно. Если верить его рассказу, события развивались примерно так.

3 февраля 2015 года генеральному директору Qrator Александру Лямину позвонил Вартан Хачатуров, замдиректора департамента инфраструктурных проектов Минкомсвязи. Хачатуров попросил кого-нибудь из сотрудников компании помочь с одним «щекотливым вопросом». Кроме Вяри помогать было некому — все разъехались по конференциям (Лямин подтвердил «Медузе», что Хачатуров обращался к нему за помощью).

Хачатуров связался с Вярей и оставил номер телефона, на который нужно было отправить смс; Вяря сразу послал сообщение. Ближе к вечеру раздался звонок: звонил некий Василий Бровко. Вяря понятия не имел, кто это. Бровко сказал ему, что через пару дней необходимо слетать вместе с ним в столицу Болгарии — Софию, а документы оформит его помощница.

Василий Бровко

Вяря поискал в Сети информацию о Бровко и схватился за голову. Больше всего ему запомнилось, что тот основал компанию , которую Алексей Навальный весной 2013 года обвинял в том, что она с помощью ботов . В последнее время Бровко работал начальником департамента коммуникаций в «Ростехе» — госкорпорации, созданной для производства высокотехнологической продукции гражданского и военного назначения. Руководил ей , близкий знакомый Владимира Путина.

[: Центр стратегических коммуникаций «Апостол» основал в 2008 году бывший глава дирекции прайм-таймового вещания радиостанции «Маяк» Василий Бровко, ему тогда было всего 20 лет. Компания сразу дала понять, что собирается стать не просто очередным игроком на рынке пиара, а чем-то по-настоящему выдающимся (это ясно и теперь: достаточно взглянуть на сайт организации). Бровко и его партнер Олег Беркович принялись, к примеру, раскручивать журнал «Русский пионер», главным редактором которого был спецкор «Коммерсанта» Андрей Колесников. Компаньоны организовали цикл мероприятий «Пионерские чтения», а Колесников, пользуясь своим статусом многолетнего участника кремлевского пула журналистов, привел на них тогдашнего первого замглавы администрации президента Владислава Суркова. «Пионерские чтения» тут же приобрели статус самого модного и элитарного мероприятия. Канделаки приходила туда как гость, а позже, в 2009 году, стала совладелицей «Апостола».
Первые пару лет «Апостол» был очень успешен в медийной сфере. [...]
Не менее успешными оказались и пиар-проекты «Апостола» для госкомпаний. «Апостол» провел полный ребрендинг «Ростехнологий», по итогам которого эта организация превратилась в «Ростех», а ее глава Сергей Чемезов стал лидером рейтинга узнаваемости глав госкорпораций («Медиалогия»). Сотрудничество с «Апостолом» настолько понравилось Чемезову, что Василий Бровко в 2013 году перешел в «Ростех» — руководителем службы коммуникаций. Канделаки же стала генеральным директором «Апостола». — Врезка К.ру]

Вяря предполагал, что от него хотят помощи по его профилю, то есть выбрать новую систему защиты от DDoS. Но удивился, что позвали в Болгарию — известные производители соответствующего программного обеспечения находятся в Израиле и Штатах.

5 февраля 2015 года он прилетел в Софию. Отправил сообщение Бровко; тот ответил, что встреча состоится во второй половине дня. Вяря погулял по центру, потом подошел к назначенному месту — помпезному стеклянному зданию Grand Hotel Sofia.

Вскоре появился Бровко. В одной руке у него был йотафон, а в другой айфон; он постоянно что-то на них набирал. Вяря поприветствовал Бровко и сказал, что София удивительно небольшой город. «Помойка», — бросил Бровко.

Следом за Бровко появились двое. Они оказались сотрудниками местной компании Packets Teсhnologies (сайт компании скромно , что организация специализируется на «разработке передовых сетевых технологий»). Бровко сказал Вяре, что нужно сходить в офис компании «посмотреть продукт» — и высказать свое мнение.

Офис оказался недалеко. В переговорной один из сотрудников Packets Technologies включил презентацию, а заодно рассказал о себе: работал в израильской армии, консультировал по сетевой безопасности крупнейшие интернет-компании, участвовал в Black Hat (главная мировая конференция по информационной безопасности, на которую приезжают и представители IT-корпораций, и хакеры).

После этого сотрудник болгарской компании, как утверждает Вяря, заявил: «Сейчас я вам представлю продукт для организации DDoS-атак». Названия у программного обеспечения не было. Сотрудник добавил, что «продукт» умеет организовывать DDoS-атаки на сетевом уровне. Такие атаки «забивают» ресурсы сервера паразитными пакетами, из-за чего система перестает принимать полезные пакеты трафика.

Система представляла собой «коробку» с ПО для DDoS-атак, установленную на одном из трафикообменников. Для нее была выделена специальная полоса с максимальной мощностью в 10 Гбит/секунду. Специалисты Packets Technologies добавили: можно легко увеличить трафик, установив еще одну «коробку» с ПО (в 2010 году атака именно такой силы, 10 Гбит/секунду, была совершена на серверы Wikileaks; в 2013-м мощность — голландский хостер Cyberbunker против компании Spamhaus — достигала 300 Гбит/секунду: по формулировке The New York Times, она «замедлила интернет»).

Сотрудники болгарской компании рассказали Вяре, что их система позволяет совершать «коктейльные», то есть смешанные по видам атаки — такие намного сложнее отражать.

Закончив с теоретической частью, сотрудник компании запустил VPN-соединение и Tor-браузер, обеспечив себе анонимность (начало такой атаки отследить практически невозможно). Набрал в браузере IP-адрес — открылась страница с крайне простым интерфейсом. Наверху размещалась адресная строка, ниже — около десятка названий подвидов DDoS-атак, рядом с каждой — пустая ячейка, которую можно отметить галочкой. Внизу — кнопка для выбора полосы атаки (например, мощность можно уменьшить с 10 Гбит/cекунду до 100 мбит/секунду). «Можно не на всю катушку, если жертве достаточно поменьше», — поясняет Вяря.

Сотрудники компании ввели в строке интерфейса mil.gov.ua — адрес сайта министерства обороны Украины. В соседнем окне открыли страницу сервиса, по которому можно определять работоспособность сайтов. Затем включили программу на полную мощность. В интерфейсе появился текстовой лог, в котором mil.gov.ua преобразовался в IP-адрес. Возник график о том, что атака достигла 10 Гбит/секунду. Сервис работоспособности показал, что сайт недоступен. Его попробовали открыть в браузере, но он не загрузился. Через пару минут атаку остановили; сайт снова стал открываться.

Потом они попробовали атаковать сайт украинского министерства обороны на мощности в 100 Мбит/секунду — он снова перестал работать.

«Давайте проверим на Slon.ru», — якобы сказал Бровко, до этого молчавший. «Слон» атаковали на мощности 10 Гбит/секунду. Он перестал открываться и «лежал» несколько минут (главный редактор «Слона» Максим Кашулинский подтвердил «Медузе», что 5 февраля 2015 года они зафиксировали атаку, которая на две минуты обрушила сайт).

«А что если сайты пользуются защитой — не пробьете?» — спросил Вяря. Ему ответили, что в этом случае придется узнавать реальный адрес сервера (все сервисы защиты пропускают атаку через себя, а реальный адрес сервера маскируют), и у них есть соответствующая методика. Вяря уточнил, сколько стоит система, на что Бровко, по его словам, сказал: около миллиона долларов.

После встречи Вяря и Бровко отправились в Grand Hotel Sofia. Сели в лобби, взяли кофе. Вяря вспоминает, что Бровко больше всего интересовало, как найти реальный адрес сайта и на каких обменниках трафика лучше всего ставить такую систему. Через некоторое время он якобы сказал: «Ну что, нам нужен кто-то, кто будет этим управлять». «Нет, извините, — поперхнулся Вяря. — Я не хакер. Это против моих принципов и это противозаконно». Бровко, по словам Вяри, спросил: «Ты знаешь, какая организация тебя сюда пригласила?» Вяря предположил, что он намекает на ФСБ. Но вслух сказал, что будет готов отвечать только на вопросы по технической части.

Они добавили друг друга в телеграме и разошлись.

Вяря, по его признанию, был в шоке. Он решил сразу написать о случившемся своему начальнику — Александру Лямину. Тот рекомендовал «остаться максимально в стороне».

6 февраля Вяря вернулся в Москву. На протяжении следующих четырех дней он отправил Бровко несколько сообщений с советами по технической части (Вяря предоставил «Медузе» скриншоты переписки). В переписке, в частности, он рекомендует использовать для системы голландские трафикообменники, где «проходят терабиты трафика — и на десяток гигабит не обратят внимания». Бровко ответил коротко: «Спасибо. Изучаю».

Фрагмент переписки Вяри с Василием Бровко

Через месяц, 6 марта, Бровко, по утверждению Вяри, попросил о встрече «без вовлечения руководства». У них состоялся такой диалог:

Вяря: я человек подневольный и без одобрения шефа не могу.

Бровко: Ну ты скажи, что кофе выпить выйдешь

Вяря: к сожалению, не могу:(

Бровко: Не прав, но ладно. Дай номер шефа.

Лямин таким вниманием к своему сотруднику был недоволен. Он завел в телеграме чат под названием «WTF» (what the fuck? — «что за фигня?»), куда пригласил Александра Вярю, Василия Бровко и замдиректора департамента инфраструктурных проектов Минкомсвязи Вартана Хачатурова (который, по утверждению Вяри, в свое время просил о помощи в «щекотливом вопросе»).

Лямин: Коллеги. День добрый. Сказать что я взбешен — это ничего не сказать

Хачатуров: Привет

Лямин: Вартан, я всегда рад помочь тебе. Ты знаешь. Но когда к моим сотрудникам начинают лезть через мою голову — Я ПРОТИВ

Хачатуров: Я честно говоря думал, что это разовая история:)

Лямин: Я согласился помочь с Софией. Ни больше, ни меньше. Весь остальной «креатив» мной санкционирован не был . Ждем комментариев и объяснений Василия Бровко.

Бровко: Не понимаю о чем речь в целом. Мне Денис (Вяря не знает, кто это такой — прим. «Медузы») сказал, что вы мой консалтинг в очень щекотливом вопросе. Нет, так нет

Хачатуров: Василий, просто Денис не сказал, что это длящаяся работа, а не разовая помощь:)

Бровко: Разовая помощь. 15 мин хотел

Хачатуров: Мне кажется, это тогда не проблема, Саш.

Фрагмент переписки Лямина, Вяри, Бровко и Хачатурова

После этого разговора Бровко больше не пытался встретиться с Вярей и привлечь его к работе.

Василий Бровко подтвердил «Медузе», что был в Болгарии вместе с Вярей, но опроверг информацию о том, что они тестировали программу для организации DDoS-атак. «Был в Болгарии для анализа системы защиты от киберугроз, а не для совершения таковых», — сказал он, отказавшись комментировать «обвинения за рамками здравого смысла и не имеющие связи с реальностью». Он также рассказал, что «Ростех» постоянно подвергается кибератакам — с начала года на предприятия корпорации их было совершено свыше 11 тысяч.

Болгарская компания Packets Tehnologies не ответила на письмо «Медузы».

Руководитель компании Qrator Александр Лямин подтвердил «Медузе», что Вяря ездил в Софию на встречу с Василием Бровко. Однако, по его мнению, речь шла вовсе не о системе для DDoS-атак, но о трафикогенераторе — системе, необходимой для проверки устойчивости сайтов к нагрузке. «Скорее всего, был залп по „Слону“. Экспериментальный, на проверку. Нелегально? Это серая зона», — сказал Лямин.

На протяжении нескольких месяцев после встречи в Софии Александру Вяре казалось, что его все равно привлекут к работе над системой, а если и нет, то «ударят по башке».

К тому времени сотрудников Qrator вовсю оформляли в Чехию. Вяря с семьей переехали из съемной квартиры в Чертаново в квартиру в Бирюлево, чтобы немного сэкономить денег перед заграницей. В конце мая Вяря обнаружил возле офиса знакомую машину — тот самый тонированный фургон с антеннами, который уже засветился, когда Qrator обслуживал сайт Навального. А через несколько дней он увидел такой же автомобиль возле своего дома. Вяря говорит, что «начал параноить»: ему казалось, что он встречал одних и тех же людей в разных частях города. Он решил ездить из дома на работу разными маршрутами.

В последних числах июля Вяря сказал на работе, что не сможет ехать в Чехию, потому что этого якобы не хочет жена. Тем не менее, Лямин хотел, чтобы у сотрудников его компании были европейские документы: он посоветовал Вяре получить вид на жительство в Финляндии, поскольку у Вяри там есть корни по отцовской линии. Для ВНЖ требовалось сдать экзамен на знание финского языка. Вяря взял отпуск, чтобы его подучить.

21 августа 2015 года друзья Вяри, у которых есть знакомые в ФСБ, передали Вяре, что им якобы продолжают интересоваться спецслужбы и сотрудники «Ростеха» — и его могут все-таки привлечь к работе над проектом, раз он уже про него знает. Ему посоветовали уехать из России, поскольку система может быть использована в сентябре — во время выборов — для атаки на сайты СМИ.

На следующий день он собрал рюкзак и отправился на вокзал; купил билет на «Сапсан» и уехал в Петербург. Вечером на площади Восстания сел в автобус до Хельсинки. Оттуда на пароме перебрался в Стокгольм — Вяря собирался обратиться за помощью к шведским правозащитникам, но они отправили его обратно в Финляндию — страну первого въезда. Вяря вернулся в Хельсинки 25 августа, чтобы попросить статус беженца.

Бывший начальник Вяри Александр Лямин в разговоре с «Медузой» предположил, что Вяря чем-то обижен на компанию и, возможно, выполняет заказ «Лаборатории Касперского» — их главного конкурента. «В Финляндии доллары пригодятся», — сказал Лямин и отправил мне ссылку на расследование Reuters о том, что Евгений Касперский .

Рано утром 27 августа 2015 года Александр Вяря пришел в полицейский участок. У него взяли короткое интервью, сняли отпечатки пальцев; потом распределили в один из миграционных лагерей в черте финской столицы. Им оказалось большое здание, отделанное кафельной плиткой. В обеденное время возле него бродили несколько десятков беженцев (в основном сирийцы и иракцы), без остановки разговаривающие по телефону. Внутри работала столовая с бесплатной едой.

После заселения Вяря встретил в центре беженца из Чечни. Тот рекомендовал ему беречь постиранные вещи — в лагере воруют. На следующий день он познакомился с парой из Сибири, скрывающейся от уголовного преследования, и интеллигентным сыном какого-то египетского министра. На третий день из лагеря увезли мужчину с подозрением на малярию. На четвертый день Вяре сказали, что после большого интервью с сотрудниками миграционной службы его, скорее всего, переведут в миграционный лагерь в 600 километрах к северу от Хельсинки — ждать решения по его делу.