Посольство КНДР со всех сторон увешано камерами наблюдения. Единственным намеком на какую-то индивидуальность служит баскетбольное кольцо, стоящее на заднем дворе (в конце концов, Ким Чен Ын обожает баскетбол). Кирпичное здание посольства служит истинным воплощением холодного приема.
Впрочем, почтальонам дверь они, похоже, открывают. Мое заказное письмо с запросом об интервью было передано некоему Киму в 10:27 утра 30 марта 2019 года. На момент написания этих строк я по-прежнему жду ответа.
Даже если бы я смог задать свои вопросы об обвинениях во взломе банков, было бы уже поздно. Следователи утверждают, что хакеры из КНДР и другие злоумышленники нашли очередной способ срывать куш благодаря новому хакерскому методу, который приносит еще больше прибыли, чем атаки на банки. Это связано с тем, что описанные в этой главе взломы банковских систем объединяет серьезная проблема: посредники.
Только подумайте: наша история началась с дерзкого замысла украсть почти миллиард долларов в ходе высокотехнологичного ограбления, достойного голливудского блокбастера. Но в финальной сцене мы видим нескольких прокуренных игроков, которые расшвыриваются песо за карточными столами манильских казино. Сколько из изначальных девятисот пятидесяти одного миллиона долларов в итоге оказалось в руках грабителей? Сколько они потеряли при взаимодействии с казино, с игроками, с финансовыми организациями? Как ни ответь на эти вопросы, в карман к ним упали лишь жалкие гроши, и рядом не стоявшие с миллиардом долларов, на который они нацеливались в самом начале.
И сколько сил было на это потрачено? Не менее года международная преступная сеть трудилась не покладая рук, изучая систему SWIFT, создавая вирусы и составляя поддельные резюме, чтобы взломать Банк Бангладеш, умаслить шри-ланкийский благотворительный фонд, открыть подставные счета и найти посредников в Маниле. Но в результате огромная доля добычи злоумышленников просто потерялась в закоулках системы, построенной специально для отмывания денег.
Аналогичным образом дела обстояли и при взломе других банков в этой череде преступлений. За три года Lazarus Group попыталась украсть 1,25 миллиарда долларов. В конце концов из-за работы посредников, отмены транзакций и перехвата денег до преступников дошли лишь сто двадцать два миллиона. Неплохо, но изначально они нацеливались на большее.
Вот бы нашелся способ наживаться на киберпреступлениях без посредников! Как сделать так, чтобы нажива отправлялась прямо к преступнику, минуя другие этапы?
В следующей главе я расскажу, как киберпреступники получили ответ на свои молитвы. И снова киберинструменты организованной преступности стали использоваться государственными хакерами; и снова собранные ФБР улики указали на КНДР, которая шла в авангарде новой преступной волны. И на этот раз ее жертвами стали не только банки и развивающиеся страны – она ударила по сфере, где в буквальном смысле решаются вопросы жизни и смерти.
Глава 4Цифровое вымогательство
Лежа с обритой грудью под действием обезболивающих, введенных ему в кровь, Патрик Уорд никак не мог сосредоточиться на дрянном детективе, который захватил с собой.
Тем пятничным утром в мае 2017 года он коротал время на койке в больнице Святого Варфоломея в Лондоне в ожидании назначенной несколькими часами позже операции, которая, как он надеялся, должна была изменить его будущее. Полному жизни Уорду было сорок семь лет, но из-за наследственной патологии у него увеличилось сердце, в результате чего на смену активности пришли короткие прогулки, одышка на лестнице и регулярные визиты в больницу, с толпами пенсионеров. Он два года ждал септальной миоэктомии (операции по иссечению небольшого фрагмента его сердечной мышцы) в ведущей больнице Лондона и очень надеялся вернуть себе свою активную и спортивную жизнь. Нужный хирург проводил операцию лишь один раз в неделю, и очередь Уорда наконец подошла.
Его родственники заселились в гостиницу неподалеку от больницы, и он взял на работе шестинедельный отпуск, чтобы окрепнуть после операции. Уорд изучил всю доступную ему информацию и был уверен, что планируемая процедура решит его проблемы раз и навсегда. И вот этот знаменательный день настал.
Однако хирург пришел в его палату с плохими новостями. Операцию пришлось отменить. В компьютерной системе больницы возникли неполадки.
Даже два года спустя Уорд негодует, вспоминая, что почувствовал в тот момент: «Я сказал: „Да ладно, ничего страшного, давайте приступим!“ Я даже позволил себе несколько крепких словечек. „Я готов, черт вас дери! Я два года этого ждал!“»
Как истинный оптимист, Уорд сначала надеялся, что компьютерную систему быстро починят. Но время шло, и постепенно становилось ясно, что проблема не решится сама собой. Его сломанное сердце не исправят. Ему придется еще некоторое время мириться с одышкой, вместо того чтобы жить полной жизнью.
Он вспоминает, что бурлящая обычно больница в тот день преобразилась:
Я вышел из палаты, поболтал с несколькими людьми. Дошел до поста медсестер: пустые экраны, никаких звуков. Очень, очень странно. Жутко. Сестры не знали, что происходит, да и никто тогда этого не знал. Я взял телефон. «Боже, Национальную службу здравоохранения взломали хакеры».
В пяти километрах от больницы в здании со множеством камер наблюдения, стоящем за станцией метро Воксхолл, сотрудники Национального агентства по борьбе с преступностью (NCA) погромче включили офисный телевизор. Что-то в новостях привлекло их внимание. На канале Sky News рассказывали о взломе компьютерной системы больницы на северо-западе Англии, и вскоре стало понятно, что одним инцидентом дело не ограничилось. В отдел NCA по борьбе с киберпреступностью, где работает около двухсот пятидесяти человек, начали поступать все новые и новые звонки.
Почти как в больнице, в этом отделе сообщения об инцидентах сортируют по срочности и распределяют между сотрудниками разного уровня. В тот день эта система оказалась перегружена. Полиция по всей стране принимала заявления о взломах, и самыми частыми их жертвами оказывались больницы.
Сотрудники NCA поспешили в подвергшиеся атаке подразделения Национальной службы здравоохранения (NHS), надеясь не упустить «золотой час», когда улики еще свежи. Одним из первых адресов в их списке стала больница Святого Варфоломея, которую только что покинул Уорд. Он растерянно вышел на улицу в сопровождении родственников, но тотчас столкнулся со скопившимися у больницы журналистами, которые уже рассказывали о случившемся. Когда репортер BBC брал у Уорда интервью, у того на руках еще белели пластыри, которыми заклеили ранки от вынутого катетера.
По-прежнему разговорчивый, но явно обескураженный, в своем интервью Уорд задал вопрос, который вертелся у всех на языке: «Зачем кому-то взламывать больницу, которая просто пытается делать доброе дело?»[123]
Но взлому подверглись не только больницы. Эта хакерская атака велась на многие компьютеры по всему миру.
Компьютерный вирус был запущен примерно за двенадцать часов до того, как Уорд покинул больницу. По данным источника NCA, сначала он поразил Аргентину, а затем стал с пугающей скоростью распространяться по другим странам.
Примерно к десяти утра по западноевропейскому времени он появился в Испании, где нашел плодородную почву – гигантскую испанскую телекоммуникационную компанию Telefónica, в которой в разных странах работает около ста двадцати тысяч человек. Некоторые мадридские сотрудники компании увидели на экранах своих компьютеров тревожное сообщение. На красном фоне было написано: «Ой, ваши файлы были зашифрованы»[124]. Далее в сообщении говорилось: чтобы расшифровать файлы, необходимо заплатить несколько сотен долларов взломавшим систему хакерам, используя для этого виртуальную валюту биткоин. Через семьдесят два часа преступники грозили удвоить выкуп, а через несколько дней – навсегда уничтожить зашифрованные данные. В выпадающем меню содержались инструкции для оплаты, написанные на двадцати восьми разных языках, – похоже, хакеры ожидали, что их ждет международный успех.
В подобных «программах-вымогателях» не было ничего нового. Как мы узнали ранее, в 2010-е годы они были прибыльным ответвлением грозного вируса Zeus, но существовали и задолго до этого (одна из первых программ-вымогателей распространялась на дискетах, которые рассылались по почте в 1989 году)[125].
С течением десятилетий вирусы-вымогатели становились все изощреннее и постепенно достигли уровня, который можно считать зенитом киберпреступного мастерства: они превратились в развитую форму автоматизированного шантажа. Их успех во многом зависел от правильного выбора суммы выкупа, в чем присутствовал и элемент психологии. Если сумма слишком низкая, киберпреступникам нет смысла тратить свое время на создание вируса. Если слишком высокая – жертва не заплатит. В связи с этим вирусы-вымогатели берут количеством при низкой маржинальности: у каждой жертвы требуют относительно небольшую сумму, но при миллионах заражений общая прибыль оказывается огромной. Используя описанную модель, программы-вымогатели не попадали в новости по двум причинам: на личном уровне многие жертвы не сообщали о них, считая такие взломы скорее досадными неприятностями, чем преступлениями, а на корпоративном уровне, сталкиваясь с такими атаками на свои системы, многие компании испытывали своеобразный «киберстыд». На онлайн-форумах, где работающие в компаниях айтишники искали совета, обычно рекомендовалось просто заплатить требуемую сумму, поскольку расстаться с несколькими сотнями долларов было лучше, чем тратить время на решение проблемы – или, хуже того, попасть в газеты.
Это спорный совет, и люди, давшие его на форумах и следовавшие ему в жизни, никогда не раскрывали, где именно они работают. Но нам точно известно, какой сокрушительный удар программы-вымогатели наносят по крупнейшим в мире компаниям, поскольку теперь количество атак с их использованием настолько возросло, что руководству фирм приходится сообщать об этом своим кассирам. Например, американский фармацевтический гигант