Читаем Вторжение. Краткая история русских хакеров полностью

Офис располагался неподалеку. В переговорной один из сотрудников Packets Technologies включил презентацию, а заодно рассказал о себе: работал в израильской армии, консультировал по сетевой безопасности крупнейшие интернет-компании, участвовал в Black Hat (главная мировая конференция по информационной безопасности, на которую приезжают и представители IT-корпораций, и хакеры).

После этого сотрудник болгарской компании, как утверждает Вяря, заявил: «Сейчас я вам представлю продукт для организации DDoS-атак». Названия у программного обеспечения не было. Сотрудник добавил, что «продукт» умеет организовывать DDoS-атаки на сетевом уровне. Такие атаки «забивают» ресурсы сервера паразитными пакетами, из-за чего система перестает принимать полезные пакеты трафика.

Система представляла собой небольшое устройство – «коробку» с программным обеспечением, установленную на одном из трафикообменников [[5] ]. Для «продукта» была выделена специальная полоса с максимальной мощностью в 10 Гбит / с. Специалисты Packets Technologies добавили: система позволяет совершать «коктейльные» – то есть смешанные по типам – атаки, которые труднее всего отражать; кроме того, можно легко увеличить трафик, установив еще одну «коробку». В 2010 году атака силой 10 Гбит / секунду была совершена на серверы Wikileaks; мощность крупнейшей DDoS-атаки[6] в истории интернета – голландский хостер Cyberbunker против компании Spamhaus – достигала 300 Гбит / секунду: как писали в The New York Times, она «замедлила интернет».

Закончив с теоретической частью, сотрудник компании запустил VPN-соединение [[7] ] и Tor-браузер [[8] ], обеспечив себе анонимность (начало такой атаки отследить практически невозможно). Набрал в браузере IP-адрес [[9] ] – открылась страница с крайне простым интерфейсом. Наверху размещалась адресная строка, ниже – около десятка названий подвидов DDoS-атак, рядом с каждой – пустая ячейка, которую можно отметить галочкой. Внизу – кнопка для выбора мощности атаки: от 100 мегабит до 10 гигабит в секунду. «Можно не на всю катушку, если жертве достаточно поменьше», – поясняет Вяря.

Сотрудники компании ввели в строке интерфейса адрес сайта министерства обороны Украины. В соседнем окне открыли страницу сервиса, по которому можно определять работоспособность сайтов. Затем включили программу в полную силу. Возник график, показывающий мощность атаки – вскоре она достигла 10 Гбит / с. Сервис работоспособности показал, что сайт недоступен. Его попробовали открыть в браузере, но он не загрузился. Через пару минут атаку остановили и сайт снова стал открываться.

Потом они попробовали атаковать сайт украинского министерства обороны на мощности в 100 Мбит / с – он снова перестал работать.

«Давайте проверим на slon.ru», – предложил Бровко, до этого молчавший (я воспроизвожу его реплику со слов Вяри). «Слон» (сейчас называется Republic), одно из самых популярных независимых новостных СМИ в России, атаковали на мощности 10 Гбит / с. Сайт перестал открываться и лежал несколько минут. Позже тогдашний главный редактор «Слона» Максим Кашулинский подтвердил мне, что 5 февраля 2015 года они зафиксировали атаку, которая на две минуты обрушила сайт.

«А что, если сайты пользуются защитой? Пробьете?» – спросил Вяря. Ему ответили, что в этом случае придется узнавать реальный адрес сервера (все сервисы защиты пропускают атаку через себя, а реальный адрес сервера маскируют), но у Packet Technologies есть соответствующая методика. Вяря уточнил, сколько стоит система; по его словам, Бровко ответил: «Около миллиона долларов».

После встречи Вяря и Бровко отправились в Grand Hotel Sofia. Сели в лобби, взяли кофе. Вяря вспоминает, что Бровко больше всего интересовало, как найти реальный адрес сайта и на каких трафикообменниках лучше всего ставить такую систему. Через некоторое время сотрудник «Ростеха» якобы сказал: «Ну что, нам нужен кто-то, кто будет этим управлять». Вяря поперхнулся и сказал: «Нет, извините. Я не хакер. Это против моих принципов, и это противозаконно». Бровко, по словам Вяри, спросил: «Ты знаешь, какая организация тебя сюда пригласила?» Вяря предположил, что он намекает на ФСБ, но вслух сказал, что впредь готов только отвечать на вопросы по технической части. Они добавили друг друга в Telegram и разошлись.

Вяря, по его словам, был шокирован произошедшим. Он сразу написал обо всем своему начальнику Лямину – тот рекомендовал «остаться максимально в стороне». На следующий день, 6 февраля, Вяря вернулся в Москву.

Вяря предоставил мне скриншоты дальнейших переписок с Бровко и свои с начальством. Сотруднику «Ростеха» он написал несколько сообщений с советами по технической части. В частности, порекомендовал использовать для системы голландские трафикообменники, где «проходят терабиты трафика – и на десяток гигабит не обратят внимания». Бровко ответил коротко: «Спасибо. Изучаю».