Sony Pictures!»[79]
И снова за причудливым и архаичным языком скрывались серьезные намерения. Хакеры исполнили угрозу: в интернет на всеобщее обозрение были выложены многие и многие тысячи в высшей степени конфиденциальных электронных писем наиболее высокопоставленных руководителей компании.
Для журналистов настало раздолье: наконец они получили возможность изучить то, что некогда было лишь неподтвержденными слухами. О том, что разразилось в СМИ после этой атаки, будет рассказано в одной из последующих глав. Но, прежде чем всеобщее внимание переключилось на соблазнительные письма Sony, некоторые журналисты попытались установить, кто стоит за взломом. Всего через несколько дней после того, как компания объявила, что стала жертвой хакеров, появились предположения о связи преступников с КНДР, оскорбленной насмешками над ее лидером в фильме «Интервью»[80]. Но группа Guardians of Peace вообще не упоминала о картине, хотя и сделала несколько публичных заявлений о взломе Sony.
Ситуация изменилась 16 декабря, через три недели после того, как о взломе стало известно общественности. Хакеры опубликовали в интернете сообщение с отсылкой к фильму. Они также намекнули, что не собираются ограничиваться компьютерными преступлениями и утечками данных, и отметили, что в ход могут пойти и реальные насильственные методы:
Внимание, мы наглядно продемонстрируем всегда и везде, где будут показывать «Интервью», включая премьеру, какая горькая участь ждет тех, кто попытается поразвлечься… Вспомните 11 сентября 2001 года. Мы рекомендуем вам в это время держаться подальше от тех мест. (Если ваш дом находится рядом, лучше покиньте его.)
Решение об остановке работы над фильмом далось Sony нелегко. Казалось абсурдным превращать легкомысленную комедию в символ борьбы за свободу слова, всерьез рискуя безопасностью людей. С другой стороны, отказ от производства картины мог быть воспринят как проявление самоцензуры, а если за атаками действительно стояла КНДР, получилось бы, что Sony, по сути, занимается низкопоклонничеством перед государством – и создавать такой прецедент компания не хотела.
Но давление со стороны хакеров не ослабевало, а несколько крупных кинопрокатных сетей отказались показывать картину в своих кинотеатрах, и Sony отменила ее широкий прокат на большом экране. Позже она была выпущена онлайн, и возникшая вокруг шумиха, судя по всему, привлекла к ней внимание: за первые четыре дня картина собрала пятнадцать миллионов долларов (по случайному совпадению именно такую сумму в Sony изначально выделили на ликвидацию последствий хакерской атаки)[81].
Тем временем Барак Обама публично обвинил во взломе КНДР[82]. С его стороны это был беспрецедентный шаг – ни один мировой лидер никогда прежде не выступал с такими обвинениями против другого государства так скоро после инцидента. В итоге это привело к пересмотру проблемы, которая регулярно возникала при расследовании киберпреступлений после их появления на повестке дня: проблеме атрибуции. В отличие от обычных преступлений, в хакинге нет ни отпечатков пальцев, ни ДНК. Хотя IP-адреса и адреса электронной почты кажутся весьма убедительными уликами, их можно подделать (именно поэтому подозрения ФБР в адрес КНДР и остаются только подозрениями, которые вряд ли могут быть приняты к рассмотрению в суде). Компании, которые на момент взлома Sony работали в сфере компьютерной безопасности, старались не связывать преступления ни с какой конкретной страной (по крайней мере во всеуслышание). Вместо этого каждая компания присваивала различным хакерским группам, с которыми сталкивалась, собственные кодовые имена, такие как Lazarus.
На самом деле, однако, стремление открыто говорить о том, кто стоит за преступлениями, росло, и решение Обамы стало важной вехой на пути к изменению ситуации. В начале 2013 года американская компания Mandiant, работающая в сфере технологической безопасности, вместе с журналистами The New York Times расследовала хакерскую атаку, которой подверглась газета. В результате сотрудники Mandiant связали десятки атак с конкретной группой хакеров, которая, как утверждалось, шла в наступление на все, от концерна Coca-Cola до американских энергетических компаний. На этот раз в Mandiant не просто установили, какая хакерская группа с непонятным кодовым именем стоит за атаками, а пошли гораздо дальше и открыто обвинили в преступлениях китайское правительство, не только назвав конкретное подразделение Народно-освободительной армии Китая, но и указав на конкретное здание, откуда, по данным компании, производились атаки. Китайское правительство категорически отрицало свое участие в атаках, утверждая, что «выступает однозначно против хакерских действий»[83]. Тем не менее в The New York Times решили опубликовать статью о расследовании и не постеснялись назвать предполагаемых виновных и даже разместить фотографию здания, в котором, по данным Mandiant, работали хакеры[84]. Директор Mandiant Кевин Мандиа сказал мне: «Накануне публикации я разговаривал с журналистом, и он сказал: „Это важная новость“, – но я ответил: „Вовсе нет, никто даже не обратит на нее внимания“».
Мандиа ошибся: эхо этой статьи прокатилось по всему миру. В представлении Мандиа она стала поворотным моментом в привлечении внимания к вопросам кибербезопасности, и ключом к этому оказалась атрибуция вины.
«Нам казалось, что мы стоим на перепутье, – сказал он мне. – Эта деятельность продолжалась целых семь лет. Когда одно суверенное государство обвиняет в чем-либо другое суверенное государство, возникают риски – и возникают причины молчать. И поэтому мы решили, что, возможно, с этим справится частный сектор».
В конце концов статья в The New York Times наделала шуму, а Mandiant стала одной из самых востребованных в мире компаний, работающих в сфере безопасности (впоследствии ее, как сообщается, за один миллиард долларов купила компания Fire Eye, которая также работает в сфере технологической безопасности и участвовала в устранении последствий взлома Sony)[85]. С тех пор требования к гласности возросли: сегодня считается, что общественность должна не только получать загадочные кодовые имена хакерских групп, но и понимать, какие государства и даже люди стоят за преступлениями.
После атаки на Sony Обама словно бы повысил ставки: национальный лидер во всеуслышание обвинил во взломе другую страну. Однако, несмотря на прямоту президента, ФБР, ссылаясь на «необходимость защитить источники разведывательной информации и методы ее получения», не обнародовала почти никаких конкретных улик, чтобы подкрепить обвинение[86]. В результате появились серьезные сомнения в том, что за атакой действительно стояла КНДР. Поводы для подозрений были: если взлом стал местью за фильм «Интервью», то почему Guardians of Peace заговорили о нем лишь через несколько недель, когда о нем упомянули журналисты? Почему изначально они потребовали у Sony денег (может, КНДР и не хватает средств, но вряд ли страна нуждается настолько, чтобы вымогать деньги у киностудии)? И почему КНДР вдруг решила слить в сеть частную переписку воротил кинобизнеса? Все перечисленное казалось довольно странным, даже для такой неординарной страны.
На самом деле за кулисами сотрудники ФБР постепенно по крупицам собирали свидетельства, которые, как утверждается, указывали на Пхеньян: северокорейские IP-адреса использовались для сканирования сайта Sony на протяжении нескольких месяцев перед атакой, а затем с тех же адресов были зарегистрированы учетные записи Facebook, владельцы которых разместили комментарии на страницах актеров «Интервью». Кроме того, эти же адреса использовались для доступа на компьютерный сервер, где содержался скрытый за экранной заставкой вирус, и для настройки аккаунтов, рассылающих фишинговые письма в кинотеатры, которые обещали пустить «Интервью» в прокат.
Судя по всему, хакеры оставили немало цифровых отпечатков пальцев, что отчасти объясняется узостью окна, через которое КНДР выходит в интернет. Но они либо не знали об этом, либо не беспокоились – и уже готовились нанести следующий удар. Теперь они нацелились на банк. И не просто на какой-нибудь, а на тот, где хранились драгоценные миллиарды уязвимой и едва сводящей концы с концами страны.
Как в любом хорошем фильме об ограблении банка, далее по сценарию следовал эпизод о проведении прекрасно спланированной разведывательной операции.
В конце января 2015 года, когда шумиха вокруг «Интервью» уже почти улеглась, несколько сотрудников Банка Бангладеш получили вежливое электронное письмо от соискателя вакансии по имени Расель Ахлам. «Я буду очень рад стать частью вашей команды, – написал Ахлам, – и надеюсь, что вы дадите мне возможность подробнее рассказать о себе при личной встрече на собеседовании. Я прикладываю к этому сообщению свое резюме и сопроводительное письмо. Заранее спасибо вам за уделенное мне время и внимание»[87]. В этом письме содержалась ссылка на сайт, откуда можно было скачать резюме Ахлама в виде сжатого файла .zip.
Сотрудники банка этого не знали, но письмо пришло с адреса, который использовался в ходе атаки на Sony Pictures Entertainment. Тот, кто стоял за взломом медиагиганта, теперь подбирался к новой, гораздо более богатой жертве.
Банк Бангладеш – государственная финансовая организация, эквивалентная Банку Англии. В нем хранятся резервы иностранной валюты в объеме около тридцати двух миллиардов долларов. Для Бангладеш – страны с населением сто шестьдесят пять миллионов человек и валовым внутренним продуктом около двухсот пятидесяти миллиардов долларов