У чэрвені супольнасць «Кіберпартызаны» вырашыла трохі скінуць флёр таямнічасці і пачало расказваць пра ўдзельнікаў каманды ў сваім тэлеграм-канале. Адзін з іх пагадзіўся пагаварыць з «Люстэркам». Яго псеўданім — Вінт. У арганізацыі ён фактычна ад пачатку яе заснавання — з верасня 2020-га. Мы пагаварылі з ім пра тое, чаму ён стаў кіберпартызанам, як ламаў базы МУС і Белчыгункі, пра сакрэтныя аперацыі і адсутнасць гучных зліваў.
Суразмоўца прадстаўляецца проста: «Вінт». Кажа, псеўданім з’явіўся ў ягоным жыцці дзякуючы журналісту. Калі «Кіберпартызаны» толькі ўтвараліся і вакол супольнасці яшчэ не было такой сакрэтнасці, падчас невялікага інтэрв'ю ў яго ўдакладнілі імя і ролю ў альянсе. «Я сказаў, што я проста невялікі вінцік», — успамінае суразмоўца. Той тэкст так і не выйшаў, а нік застаўся.
Вінт згаджаецца толькі на інтэрв'ю па перапісцы ў мэсэнджары і адразу ж прапануе перайсці на «ты». Асабістай інфармацыі пра сябе не паведамляе. На пытанні пра ўзрост, сямейнае становішча і нават краіну, дзе ён знаходзіцца, адказвае каротка: «Няма каментароў». Кажа толькі, што паводле «фармальнай адукацыі» ён не айцішнік. Навучыўся ўсяму, што было яму цікава, самастойна. Да таго як трапіць у «Кіберпартызаны», працаваў «праграмістам і ў іншых сферах высокіх тэхналогій».
«Актыўна нешта рабіць у кіберпрасторы ў 2020-м было страшна»
— Мы размаўляем толькі перапіскай, нават проста стэлефанавацца ты адмовіўся. Чаму?
— У гэтага некалькі прычын. Па-першае, мая асабістая бяспека. Ёсць тэхналогіі, якія дазваляюць вылічыць чалавека па голасе. Нават калі голас зменены. Мая бяспека наўпрост звязаная з бяспекай ўсёй арганізацыі. Чым менш зачэпак на ўдзельнікаў, тым менш «Кіберпартызаны» ўразлівыя. Па-другое, у адрозненне ад іншых [беларускіх] апазіцыйных арганізацый, у тэорыі нас могуць пераследаваць нават краіны Захаду. Хоць мы іх не атакуем. Усё ж магчымасці нашай арганізацыі — гэта зброя. Яна можа быць выкарыстаная як для дабра, так і для зла. Замежныя спецслужбы не ведаюць нас асабіста (я спадзяюся), нашыя намеры ім таксама не вядомыя, таму яны могуць вырашыць прэвентыўна нас затрымаць. Як мінімум для папярэдняга расследавання.
— На запыт беларускага МУС такое затрыманне таксама магчымае?
— Да вайны існавала і такая рызыка. Цяпер, думаю, гэта менш імаверна. І ўсё ж у прававым полі мы знаходзімся ў шэрай зоне і па змоўчанні нашая дзейнасць можа лічыцца незаконнай нават на Захадзе, хоць апошнім часам хактывізм (выкарыстанне незаконнымі спосабамі камп’ютараў і сетак для прасоўвання палітычных ідэй, свабоды слова, свабоды інфармацыі і абароны правоў чалавека. — Заўв. рэд.) бурна абмяркоўваецца. Нашую пазіцыю на гэтую тэму на форумах і рабочых групах мы даносім праз Юліяну (Юліяна Шаметавец — прадстаўніца «Кіберпартызан», на гэты момант жыве ў ЗША. — Заўв. рэд.). Яна не ўдзельнічае ў атаках, але гэта не значыць, што, адкрыўшы твар, яна не рызыкуе. Хутчэй, яна рызыкуе больш за ўсіх. Але ўсё ж мы думаем, што на Захадзе яе пераследаваць не будуць.
— Калі і чаму ты далучыўся да «Кіберпартызан»?
— Мяне моцна закрануў гвалт, які адбываўся да, падчас і пасля выбараў-2020. Кругласутачна сачыў за навінамі. Прачытаўшы пра першы ўзлом «Кіберпартызан», натхніўся (тады «партызаны» ўзламалі сайт Кіраўніцтва справамі Лукашэнкі — на яго галоўнай старонцы з’явіўся бел-чырвона-белы сцяг, а побач — фота Віктара Шэймана з зоркай Веркі Сярдзючкі на галаве. — Заўв. рэд.). У гэтым я ўбачыў магчымасць асіметрычнай барацьбы. Барацьбы, дзе ў нас будзе моцная пазіцыя, а ў рэжыму — слабая. Змаганне, дзе мы зможам перамагаць. Разумеў, што ў мяне ёсць пэўныя навыкі, і хацеў неяк паўплываць на вынік падзей. Таму далучыўся да групы амаль з самага пачатку.
— Паўтара года таму прадстаўнік «Кіберпартызан» расказваў, што ў жніўні 2020-га чалавек, якога можна назваць заснавальнікам групы, на сайце Гандлёва-прамысловай палаты абвясціў пра стварэнне арганізацыі і размясціў загадку. Тыя, хто з ёй справіўся, змаглі з ім звязацца. Раскажы, як ты рашаў гэты рэбус.
— Для пачатку трэба было зразумець, што гэта за дзіўныя лічбачкі-літаркі. Той, хто трохі знаёмы з крыптаграфіяй або расшыфроўкай пароляў, мог распазнаць, што гэта падобна да хэшу (hash) тыпу md5. Для разгадкі трэба было знайсці тэкст, які зашыфраваны ў гэтым хэшы.
Я не хакер, такіх задач раней не вырашаў, таму з заданнем справіўся не адразу. Некалькі дзён гугліў, спрабаваў розныя інструменты, але атрымлівалася проста каша з літар і лічбаў. Здавацца не хацеў, я чалавек настырны. Калі пасля мноства спробаў у мяне атрымаўся тэкст з сэнсам — гэта быў адрас электроннай пошты, — аж мурашкі пайшлі па целе. Я адправіў ліст на гэты мэйл (цяпер яго ўжо не існуе).
Заснавальнік групы досыць хутка адказаў. Спытаў, што ўмею і колькі ў мяне ёсць часу. Потым мне далі праверачнае заданне: напісаць невялікую праграму. Пасля чаго мы досыць хутка пераключыліся на камунікацыю праз зашыфраваны мэсэнджар. Ён спытаў, ці магу я разабрацца з адной з сістэм для анлайн-вяшчання, і я ўзяўся за працу.
Каманда тады была невялікая — 2−4 чалавекі, выразна акрэсленага пратаколу, хто што робіць, яшчэ не існавала. Заданні ўдзельнікі групы звычайна знаходзілі сабе самі. Напрыклад, распрацоўвалі па сваёй ініцыятыве праграмы, той жа П-тэлеграм (партызанскі тэлеграм. — Заўв. рэд.). Або правяралі ўсякія сайты на ўразлівасць: як толькі нешта знаходзілі, спрабавалі «калупаць» далей, намагаліся атрымаць доступ, які, напрыклад, дазваляў замяніць змесціва платформы. А таксама працавалі з людзьмі праз бот, каб дастаць інфармацыю для ўзломаў або доступу.
Калі казаць пра мяне, то я спрабаваў распрацоўваць IT-праекты, што маглі б дапамагчы пратэстам стаць больш эфектыўнымі і скаардынаванымі, а таксама, як і цяпер, займаўся ўзломам унутраных сетак. Дарэчы, спецыяльна нас ніхто нічому не вучыў. Усё гэта мы рабілі самі, адно аднаму дапамагалі, толькі калі былі канкрэтныя дылемы і пытанні.
— Не страшна было займацца гэтым з Беларусі?
— Сваёй лакацыі абмяркоўваць не буду. Скажу толькі, што актыўна нешта рабіць у кіберпрасторы на той момант было страшна. КДБ тады яшчэ рэальна палохаў. Цяпер — не. Чаму? Праз больш чым два гады існавання мы ўжо гулялі глыбока ў тыле ворага. Прамацалі, хто на тым баку на што здольны. Мне здаецца, у кіберпрасторы мы для іх (сілавікоў. — Заўв. рэд.) стыхія, якую яны ўспрымаюць так: «Ну ўзламалі і ўзламалі, нічога мы зрабіць не маглі. Застаецца толькі разгрэбці наступствы». Рэальна нешта ўзламаць, калі гэта не дзверы кватэры, той бок не можа. А нашыя паспяховыя атакі дэманструюць, што і абараняцца ў іх не асабліва атрымліваецца.
— Калі ты далучыўся да каманды, цябе неяк правяралі? Раптам ты агент.
— Толькі праверачныя заданні і асабістая камунікацыя, але пазней, можна сказаць, мяне праверылі на ўзломе БТ і іншых справах. Цяпер доступ да ўнутранай сеткі прапаганды мы б нізашто не далі пачаткоўцу. Цяпер прыняцце чалавека — больш працяглы працэс.
— Падчас працы людзей пераправяраюць? Мала хто ў працэсе вырашыў перайсці на іншы бок.
— Калі чалавек паводзіць сябе падазрона, тады пытанне ягонага ўдзелу ў «Кіберпартызанах» можа быць узнятае на абмеркаванне. Як гэта адбываецца? У нас ёсць чат, куды ўключаная большая частка кібераў, якія доўгі час з намі, ужо праявілі сябе ў справе і знаходзяцца ў дастатковай бяспецы. Сітуацыю з тым, ці можа чалавек працягваць працу ў камандзе, і іншыя пытанні мы вырашаем у чаце ў дыскусіях і часам галасаваннем.
Акрамя таго, у нас існуе кіберсейм. У яго ўваходзіць некалькі прадстаўнікоў. Гэта людзі, у якіх ёсць доступ да асабліва адчувальнай інфармацыі. Кіберсейм разглядае пытанні, якія мы не можам абмяркоўваць адкрыта з усёй групай. Гэта канкрэтныя мэты для атак або справы, якія датычаць асабістай бяспекі ўдзельнікаў каманды. Рашэнні ж, якія закранаюць усіх кібераў, звычайна прымаюцца ўсёй групай.
— Ты ў кіберсейме?
— Без каментароў.
— Што трэба, каб туды трапіць?
— Неабходна адпавядаць спісу крытэраў і быць ухваленым астатнімі чальцамі сейма. Крытэры строгія. Датычаць рэальнага «выхлапу» ад працы кібера, адпаведнасці пратаколам бяспекі, інтэнсіўнай уцягнутасці ў штодзённую дзейнасць арганізацыі і іншыя.
— За час існавання арганізацыі шмат людзей яе пакінула?
— Літаральна некалькі чалавек. Каля двух-трох хлопцаў пакінулі нас, бо не ставіліся дастаткова адказна да бяспекі. Яшчэ адзін-два — бо не былі згодныя з прынятымі намі рашэннямі. Апошнія сыходзілі самастойна. Мы не адхіляем людзей за іх меркаванне або перакананні. Па поглядах у нас вельмі разнастайная група.
«Было адчуванне, што гэты ўзлом натхніў многіх людзей на працяг пратэстаў»
— Ты сказаў, што цябе правяралі на ўзломе БТ. Так разумею, гэта была твая першая атака. Можаш пра яе расказаць?
— Гэта адзін з самых яркіх момантаў у маім жыцці. Адзін з нас знайшоў доступ да сістэмы анлайн-вяшчання. Трэба было разабрацца, як яна працуе і як можна ў ёй нешта мяняць.
Самая інтэнсіўная праца праводзілася апошнія тры дні перад атакай. Я амаль не спаў, складаў алгарытм, які мусіў адначасова змяніць эфір на ўсіх каналах Белтэлерадыёкампаніі і АНТ. Мне трэба было пісаць код, тэставаць яго, даследаваць, чаму нешта не працуе, папраўляць, зноў тэставаць.
У вечар атакі таварыш загрузіў мой скрыпт у сістэму вяшчання, і мы праверылі яго на адным з сервераў «Беларусь 5″. І гэта спрацавала! [На сайце канала] круціўся наш ролік (з кадрамі гвалту з боку сілавікоў. — Заўв. рэд.). У той момант я нават ускочыў ад радасці. Мы абодва здзівіліся, што вось так з першага разу ўсё спрацавала. Пасля гэтага ён запусціў скрыпт на сайты БТ і АНТ. Гэта быў цуд, як алгарытм з тысячы радкоў спрацаваў з першай спробы. У мяне яшчэ такога не здаралася ў жыцці.
Яшчэ ў той вечар на анлайн-радыё мы паставілі „Лебядзінае возера“, але гэтага нібыта ніхто нават не заўважыў. Усе памятаюць толькі БТ і АНТ. У тую ноч я не спаў, чытаў навіны, вывучаў рэакцыю грамадства — і яна мяне ўразіла. Усе СМІ пра гэта пісалі. Нам нават паведамілі, што КДБ прыехаў на БТ і Эйсманта (Івана Эйсманта — старшыню дзяржтэлерадыёкампаніі. — Заўв. рэд.) „паймелі“. Выбачайце маю французскую. Было адчуванне, што гэты ўзлом натхніў многіх людзей на працяг пратэстаў.
— Чым ты цяпер займаешся ў „Кіберпартызанах“?
— Дзесьці ў суадносінах 50 на 50 займаюся вырашэннем адміністрацыйных пытанняў і працай па закрытых сетках, то-бок па такіх, куды па змоўчанні няма доступу з інтэрнэту. Напрыклад, сетка МУС, дзе захоўваюцца рэспубліканскія базы дадзеных, або сетка БДУ, у якой знаходзяцца іх базы супрацоўнікаў, студэнтаў і працоўныя станцыі супрацоўнікаў (напрыклад, персанальныя працоўныя камп’ютары людзей. — Заўв. рэд.).
— Ці ёсць у цябе яшчэ праца, акрамя „Кіберпартызан“?
— Асноўную частку часу я ўкладаю ў нашую арганізацыю, таму сумяшчаць атрымліваецца кепска.
— Тады нясціплае пытанне: а на што ты жывеш?
— Калі далучыўся да групы, спачатку працаваў. Потым амаль увесь свой час пачаў аддаваць партызанству. Давялося жыць на ашчаджэнні. Да моманту, калі і яны скончыліся, мы набралі трохі фінансаў ад донараў і з данатаў, і такім, як я, можна было плаціць зарплату.
Здараюцца перыяды, што ў арганізацыі няма грошай, тады даводзіцца падпрацоўваць і (або) жыць аскетычна. Звычайна гэты час у мяне атрымліваецца перачакаць ці нешта ў кагосьці пазычыць. Нашую працу спыняць нельга.
— Які заробак плацяць айцішніку твайго ўзроўню цяпер?
— У сярэднім я мог бы зарабляць у 5−6 разоў больш, чым цяпер. Але для мяне кіберпартызанства — бальзам для душы. Ніякая сума грошай гэтага не заменіць.
— Колькі цяпер людзей у камандзе „Кіберпартызан“? Ці многія, як ты, занятыя ў праекце ўвесь працоўны дзень?
— На гэты момант у нас каля 70 чалавек. Усе на розных этапах і ўзроўнях доступу да інфармацыі. Большасць не займаецца непасрэдна ўзломамі. На жаль, у асноўнай часткі актывістаў ёсць звычайная праца. Калі атрымліваецца знайсці больш рэсурсаў, мы павялічваем колькасць людзей на фултайм. У такія перыяды „выхлап“ істотна нарошчваецца, і мы можам праводзіць паралельна больш складаных аперацый.
— Беларусь шмат гадоў пазіцыянавала сябе як IT-краіна. Як думаеш, чаму ў „Кіберпартызанах“ людзей менш, чым у палку Каліноўскага?
— Думаю, у гэтага ёсць некалькі прычын. Першая — байцом, у тэорыі, можа стаць амаль любы чалавек. Для кіберпартызанства патрэбныя спецыфічныя навыкі. Другая — нікому з тых, хто далучыўся, мы не можам гарантаваць аплату, таму партызанствам людзі вымушаныя займацца ў вольны час. А яго ў іх часта няма. Трэцяе — нямногія праходзяць наш працяглы адбор. Сярод тых, хто піша ў бот і цікавіцца, як трапіць у каманду, у наступным каля 80 працэнтаў падвісаюць з розных прычын.
— Які працэнт у камандзе беларусы? З якіх краін астатнія?
— Амаль усе беларусы. Пра астатніх па краінах інфармацыі даць не магу: мы асабіста не знаёмыя.
— Колькі ў камандзе дзяўчат?
— Чалавек пяць. На жаль, гэта няшмат, але мы заўсёды вітаем людзей любога полу, нацыянальнасці. Галоўнае — галава на плячах і вольны час.
„Звычайныя людзі таксама пішуць. Просяць інфармацыю пра тых, хто іх рэпрэсаваў, збіваў, судзіў“
— З чаго складаецца працоўны дзень кіберпартызана?
— Праца ніколі не заканчваецца. Цяпер у нас ужо столькі доступаў, што з рэсурсамі, якія ў нас ёсць на гэты момант, цалкам мы не зможам іх апрацаваць нават за пяць гадоў.
Што да графіку, то гэта вельмі індывідуальна. Днём многія актывісты на звычайнай працы, так што адцягвацца на нешта яшчэ складана. Гэта ж і адна з прычын, чаму кібераперацыі праходзяць начамі. Другая — у гэты перыяд адміністратары менш актыўна сочаць за тым, што адбываецца ў іх сетках.
Што да мяне, то, калі я заняты ноччу, магу сядзець да 5−6 раніцы. Калі ў гэты час сплю, то прачынаюся ў 7−9 раніцы і пачынаю дзень з праверкі паведамленняў ад кібераў і партнёраў, сярод якіх арганізацыі ў дэмакратычным полі, журналісты, следчыя, публічныя дзеячы. У паведамленнях яны могуць звяртацца па кансультацыі па бяспецы, прасіць дадзеныя з нашых базаў, прапаноўваць праекты ці мерапрыемствы.
Звычайныя людзі таксама пішуць. Просяць праверыць, ці ёсць яны ў базе „Беспарадкі“, просяць інфармацыю пра тых, хто іх рэпрэсаваў, збіваў, судзіў. Гэта тысячы зваротаў. Мы на іх таксама адказваем, лічым, у чалавека ёсць права ведаць, хто яго пакрыўдзіў. Гэта справядліва. Там, дзе дзяржава не коапоціцца пра бяспеку людзей, гэта будзем рабіць мы.
— Не баіцеся, што гэта можа прывесці да кепскіх наступстваў? Напрыклад, чалавек на эмоцыях пойдзе разбірацца з крыўдзіцелем і потым апынецца за кратамі.
— Не баімся, такога яшчэ не здаралася. Дарэчы, нам паступае мноства паведамленняў, у якіх людзі просяць дапамагчы ім знайсці ўпадабанага чалавека. Нядаўна звяртаўся хлопец. Яму ў цягніку спадабалася дзяўчына, але пазнаёміцца ён не падышоў. Ведае, на якой станцыі яна выйшла. Пытаўся, ці не можам мы па сістэме білетаў Белчыгункі вылічыць, хто гэта. Яму мы адмовілі.
— Вернемся да таго, як праходзіць дзень кібера. Пасля таго як ты разгроб лісты, што далей?
— Адкрываю свой спіс задач і займаюся самым тэрміновым. Сярод такіх справаў можа быць выпраўленне працы нашых сервераў для праграм або інфраструктуры для аперацый. Могуць быць і самі аперацыі. Хоць часцей я па іх працую вечарамі ці начамі, калі горад засынае.
— Чаму? Ты сава?
— Я ўжо да гэтага прывык, так што, можна сказаць, сава.
Кібераперацыі звычайна патрабуюць вельмі шмат кагнітыўных рэсурсаў. У гэтую справу трэба занурацца. Калі цябе нешта адцягвае, прадуктыўнасць падае, і трэба ўключацца зноў, таму за складаныя і тэрміновыя аперацыі я бяруся ноччу (у гэты перыяд прасцей засяродзіцца), а таксама выключаю паведамленні. Гэта таксама трохі дапамагае.
Да таго ж звычайна ноччу сістэмы больш уразлівыя праз чалавечы фактар: людзі любяць спаць. Але ёсць тут і свае нюансы. Праз зніжаную актыўнасць у гэты перыяд любы твой след будзе мацней вылучацца. Да таго ж некаторыя дзеянні можна зрабіць толькі днём. Напрыклад, калі патрэбныя дадзеныя з пэўнай працоўнай станцыі (ПК супрацоўніка), а яна ўключаная толькі днём.
— Колькі начэй запар ты, здаралася, не спаў?
— Менш за ўсё адпачываў падчас аперацый на БЧ і БТ. Бывала, за тры ночы спаў сумарна ўсяго тры-чатыры гадзіны.
„На кожную „шумную“ аперацыю ў нас, умоўна, ёсць пяць сакрэтных“
— Ці змянілася праца кібераў пасля пачатку вайны?
— Так, давялося ставіць больш жорсткія прыярытэты. Абстаноўка рэзка мяняецца, і нам трэба рэагаваць хутка. Калі раней мы маглі планаваць аперацыю на шэсць-дзевяць месяцаў і праводзіць яе, „калі будзе вольны час“, то з пачаткам вайны даводзіцца знаходзіць новыя рэсурсы і ўкладвацца ў значна меншыя тэрміны.
— Прывядзі прыклад хуткага рэагавання.
— З дапамогай нашых базаў дадзеных правяраюць добраахвотнікаў, якія хочуць у полк Каліноўскага. Калі пошукавая сістэма не працуе, людзі не могуць трапіць у падраздзяленне. Тая ж сітуацыя і з беларускімі валанцёрамі, якія накіроўваюцца з розных прычын ва Украіну. З просьбай праверыць чалавека да нас часам звяртаецца ўкраінскі бок. Калі мы своечасова не даследуем звесткі пра гэтых людзей, працэс іх трапляння ў краіну зацягнецца. А некаторыя валанцёры вязуць дроны для фронту ці гуманітарку. Каб затрымак не адбывалася, няспраўнасці ў базах трэба тэрмінова выпраўляць.
— Пытаю, бо пасля ўзлому на Белчыгунцы ў Беларусі нейкіх гучных атак у „Кіберпартызан“, наколькі памятаю, не было.
— Былі. Проста мы іх не афішавалі. На кожную „шумную“ аперацыю ў нас, умоўна, ёсць пяць сакрэтных. Калі казаць публічна пра ўзлом — гэта значыць страціць свае пазіцыі на гэтым аб’екце. Калі ж мы маўчым, у нас атрымліваецца заставацца на ім (часам гэта можа доўжыцца гадамі і дазваляе атрымліваць дадзеныя ў рэжыме рэальнага часу) або пранікаць нанова без вялікіх высілкаў.
Ад агалоскі страчваеш мацней, чым выйграваеш. Тым больш многія нашыя аперацыі нацэленыя на прамежкавы доступ. Напрыклад, калі б мы паведамілі пра адзін з узломаў, які патрабаваўся для доступу ў сетку МУС, мы б туды не трапілі. Уся нашая інфраструктура была б раскрытая, і той бок зацыраваў бы свае дзіркі.
— Колькі такіх сакрэтных аперацый у вас у Беларусі цяпер?
— Складана сказаць. У распрацоўцы больш за 150. Некаторыя ўжо гатовыя пад ключ, у іншых ёсць пачатковы доступ і іх трэба дапрацаваць.
— Ці ёсць нешта з аб’ектаў, дзе вы знаходзіцеся, узроўню базы дадзеных МУС?
— Так, ёсць. Цяпер мы атакуем сетку падобнай складанасці. Хачу сказаць, што з 2021-га мы істотна выраслі і набралі шмат досведу ў такіх узломах. Узлом Белчыгункі гэта прадэманстраваў.
— Якая мэта ў буйных аперацый, над якімі вы цяпер працуеце?
— У 2021-м мы плаўна пераключыліся з аперацый „Спёка“ (разведвальныя) на аперацыі „Пекла“ (дыверсійныя). Сярод іх асноўных мэтаў звычайна — развіць інфраструктуру доступаў для будучых узломаў або нанесці шкоду.
— Што сабой уяўляе гэтая шкода? Растлумач на прыкладзе ўзлому базаў дадзеных МУС.
— У МУС сотні базаў дадзеных, у некаторых сотні мільёнаў радкоў. Праверыць, якія змены мы ў іх унеслі, нерэальна. Акрамя таго, трэба патраціць шмат месяцаў і грошай, каб толькі зразумець, як мы туды праніклі (у іх гэта, дарэчы, так і не атрымалася), а потым гадамі паляпшаць інфраструктуру бяспекі, каб хаця б трохі перашкодзіць нам паўторна ўзламаць сетку ў будучыні.
— Як выбіраеце тых, на каго здзяйсняецца атака?
— Прыярытэты ўзгадняюцца ў кіберсейме. Потым больш агульна яны абмяркоўваюцца ў чаце супольнасці і з кіраўніцтвам палка Каліноўскага. Прыярытэты — гэта не канкрэтныя аб’екты для атак, а кірункі. Напрыклад, вайсковая інфраструктура (выпадак БЧ), разведвальныя звесткі для дня „Х“, фінансавая шкода рэжыму Лукашэнкі. Затым, зыходзячы з прыярытэтаў і доступаў (калі іх няма, спачатку спрабуем іх атрымаць), выбіраем канкрэтныя мэты атак. Звычайна пра іх ведаюць толькі тыя, хто па іх працуе.
Тыповы аб’ект для кібераперацыі — закрытая сетка. Тут могуць быць цікавыя для нас базы дадзеных, дакументы, сістэмы кіравання або крытычная інфраструктура. Як правіла, такія камп’ютарныя сеткі закрытыя з інтэрнэту, таму даводзіцца крэатывіць, каб у іх трапіць.
Раскажу, як будаваўся алгарытм нашай працы на прыкладзе ўзлому базаў МУС. Яны досыць ізаляваныя ад інтэрнэту, таму да іх трэба было падключыць канал сувязі звонку. Асноўных варыянтаў было два — партызан на зямлі або пранікненне ў сумежную сетку, якая перасякаецца з сеткай МУС. Мы выбралі гібрыдны: партызан на зямлі падключыў нашую прыладу ў сумежную, менш абароненую сетку. Адсюль нам трэба было пранікнуць у „знешні перыметр“ сеткі МУС, гэта свайго роду буферная зона паміж інтэрнэтам і „ўнутраным перыметрам“ — месцам, дзе знаходзіцца самае каштоўнае, напрыклад, рэспубліканскія базы дадзеных МУС. У „знешні перыметр“ мы трапілі дыстанцыйна. Потым пачалі спрабаваць пракрасціся ва „ўнутраны“. Атрымалася. Падчас пранікнення сюды нас ніхто не заўважыў, і мы маглі назіраць, што там адбываецца: хто і куды заходзіць і іншае. Усе базы былі нам бачныя, але атрымаць з іх дадзеныя без ключа (пароля) мы не маглі.
Неўзабаве ў адной з базаў удалося знайсці слабае месца. Гэта дазволіла пракрасціся на сервер, дзе яна захоўвалася. На ім былі доступы ў іншыя базы (праз тое, што базам трэба абменьвацца дадзенымі, на іх сервэры часам ёсць паролі адна ад адной). Так паступова ўдалося трапіць на дзясяткі сервераў, дзе сумарна знаходзяцца сотні базаў дадзеных. Звычайна такія аперацыі займаюць паўгода, але нам пашанцавала і мы справіліся за два-тры месяцы. Над усім гэтым працавалі два-тры кіберы і адзін партызан на зямлі.
— Як вы выгрузілі дадзеныя з гэтых базаў?
— Гэтай падрабязнасці я не магу раскрыць. Скажу толькі, што мы выкарыстоўвалі некалькі каналаў сувязі, бо аб’ём інфармацыі ішоў на тэрабайты.
— А дзе яны цяпер захоўваюцца? Асабліва цікава, дзе ляжаць дадзеныя сістэмы „Пашпарт“.
— Рэспубліканскія базы дадзеных захоўваюцца на асабліва абароненых серверах. Да іх ёсць доступ у вельмі абмежаванай колькасці чальцоў арганізацыі, якім мы цалкам давяраем.
— Людзі на месцах вам яшчэ згаджаюцца дапамагаць?
— Цяпер каля 80 працэнтаў аперацый праводзяцца цалкам дыстанцыйна. У астатніх атрымліваем дапамогу „на зямлі“.
— Нават цяпер, калі ўсіх трасуць, ёсць тыя, хто гатовы дапамагаць?
— Менавіта таму, што ўсіх трасуць, знайсці ахвотных дапамагчы прасцей. Але калі мы можам абысціся без прыцягвання чалавека „на зямлі“, кажам: „Не трэба“. Адзначу, што за ўвесь час не быў затрыманы ні адзін партызан, які дапамог нам пранікнуць у абароненыя сеткі. То-бок у рэжыму не атрымліваецца вылічваць людзей.
„У выпадку з сістэмай у БДУ ўся патрэбная інфармацыя для ўзлому была знойдзеная ў адкрытых крыніцах“
— Як вы рыхтуецеся да узломаў?
— Часта першы этап — гэта вывучэнне мэты, яе „вонкавага перыметра“. Калі прасцей, плота і КПП, за якімі знаходзіцца „аб'ект“. Падчас даследавання нярэдка сустракаеш нейкія новыя тэхналогіі. У іх трэба разабрацца, каб знайсці ўразлівасці. Як гэта робім? Гуглім або глядзім інфармацыю з папярэдніх узломаў. У выпадку з сістэмай у БДУ ўся патрэбная інфармацыя была знойдзеная ў адкрытых крыніцах. Сетка аказалася досыць дзіравая.
— Пра сітуацыю з БДУ. Калі прачытала навіну пра атаку на ўнутраную сетку ВНУ, у мяне было два пытанні: „У чым сэнс гэтага ўсяго? На што можа паўплываць узлом універсітэцкага сайта?“
— У кожнай атакі свае мэты. Мы стараемся выкласці іх у анонсах. У гэтым выпадку ён гучаў так, цытую: „Нашае пасланне для ўсіх арганізацый і структур Беларусі: дзейнічаеце як карнікі — значыць, атрымліваеце як карнікі. Тады вы становіцеся для нас мэтай як памагатыя дыктатуры і гвалту“.
Калі прасцей, мы хацелі зрабіць так, каб кіраўнікам ВНУ было непанадна рэпрэсаваць студэнтаў, а начальнікам прадпрыемстваў — сваіх супрацоўнікаў. Мне здаецца, яны наматалі на вус. А ці зрабілі правільныя высновы? Тут пакажа час. Атака наглядна ім прадэманстравала: калі працягнуць жасціць, няма ніякіх гарантый, што мы іх не ўзламаем.
— Ты праўда верыш, што пасля вашай атакі хтосьці з начальнікаў перастане звальняць супрацоўнікаў за палітыку?
— Некаторыя працягнуць. Іншыя двойчы задумаюцца: №А ці варта прыцягваць увагу „Кіберпартызан“?»
Хачу растлумачыць пра БДУ. У гэтым выпадку мы атакавалі не сайт, а ўнутраную сетку, якая складаецца з сотні сервераў, тысячы працоўных станцый, многіх дзясяткаў базаў дадзеных і гэтак далей. Наколькі мне вядома, першыя дні пасля атакі супрацоўнікі проста ішлі дадому, бо на камп’ютарах у ВНУ быў сіні экран. Потым на ўсе ПК ва ўніверсітэце пачалі ставіць свежую аперацыйную сістэму і праграмы для працы.
Наогул, у нашых патрабаванняў дзве асноўныя задачы. Першая — вызваленне палітвязняў, нават калі імавернасць невялікая. Другая — перанакіраваць гнеў кіраўніцтва арганізацыі на рэжым. Мы прапануем ім, як вырашыць сітуацыю, астатняе ў руках рэжыму. Таму да яго адміністрацыі і трэба адрасаваць прэтэнзіі.
— Пасля ўзлому ўнутранай сеткі БДУ вы прапанавалі вярнуць ім дадзеныя, калі на волю выйдзе 50 палітвязняў. Вам не падаецца, што гэта несупастаўныя ў разуменні рэжыму патрабаванні? Калі б вы ўзламалі, умоўна, «Беларусбанк», тады, напэўна, з вамі вялі б іншую размову.
— У выпадку з БДУ гэта трэцяе нашае такое патрабаванне. Пасля ўзлому МУС мы таксама настойвалі на вызваленні палітвязняў. Гэта раз.
Два. Узломы фінансавых установаў — спрэчная тэма. Нават унутры «Кіберпартызан» няма адназначнай пазіцыі што да таго, ці варта наносіць па ёй сур’ёзныя ўдары і ці варта гэта рабіць менавіта цяпер, а не ў вырашальны момант. Пасля такіх атак банк можа закрыцца. Пры гэтым звычайным людзям будзе нанесеная большая шкода, чым рэжыму. Так што гэта пытанне адкрытае і агучыць нашыя высновы на такую тэму я не магу.
Тры. Трэба ўлічваць, што нашыя рэсурсы вельмі абмежаваныя. Часам, калі мы можам задзейнічаць больш людзей, то праводзім складанейшыя аперацыі і робім гэта часцей.
— У верасні 2022-га вашая прадстаўніца расказвала, што вы завалодалі сістэмай «Пашпарт», базамі дадзеных МУС, супрацоўнікаў СК, запісамі з ізалятара часовага ўтрымання. Усё гэта гучала вельмі ўражліва, але відэа з ізалятараў не выкладалася, гучных зліваў таксама даўно не было. Чаму так?
— Мы зліваем толькі тое, што ўяўляе цікавасць для грамадства. Няма сэнсу (ды і неэтычна) публікаваць усё запар без апрацоўкі і фільтрацыі. У нас часта няма тых, хто б мог рэгулярна разбірацца з праслухоўваннем і базамі дадзеных, таму часам, калі мала рэсурсаў, мы публікуем менш зліваў.
На аснове выгружаных намі дадзеных працягваюць рэгулярна выходзіць расследаванні — кожны тыдзень некалькі. Многія нават не ўяўляюць, наколькі доступ да дадзеных, якія мы атрымалі, паўплываў на медыяполе і ўзмацніў свабодную журналістыку.
Мы, дарэчы, таксама часам публікуем запісы праслухоўкі МУС і іншыя матэрыялы. Нядаўна выпусцілі бот для распазнавання мянтоў па фота. Усё гэта на аснове узламаных базаў.
«Сістэмныя адміністратары БЧ пасвілі нас загадзя. Яны ведалі, мы нешта каламуцім»
— Што са зліваў ці ўзломаў цябе больш за ўсё ўразіла?
— Быў здзіўлены, што, мяркуючы з праслухоўкі МУС, рэжым больш за ўсё піша сваіх. Камандзіраў АМАПа, напрыклад. Мабыць, мацней за ўсё баяцца, што свае ж ім і здрадзяць. Гэта азначае, што вертыкаль крохкая.
А яшчэ кожны раз нанова дзіўлюся халатнасці ў «абароненых» сетках рэжыму. Часам проста жахаюся. Часта іх інфраструктура не абслугоўваецца і састарэла. У сетцы БЧ сустракаліся Windows XP і нават Windows 98. Дастаткова Windows XP было і ў БДУ. Старажытныя аперацыйныя сістэмы больш уразлівыя, бо не атрымліваюць абнаўлення ад вытворцы.
Наогул, аддзелы IT і ІБ (інтэрнэт-бяспекі. — Заўв. рэд.) кепска фінансуюцца. Напрыклад, наколькі мне вядома, на ўвесь БДУ, дзе тысячы камп’ютараў, кібербяспекай займаецца толькі тры чалавекі. Адна з іх у працэсе навучання.
— Што адчуваеш пасля ўзлому?
— Цяжка апісаць словамі. На піку аперацыі звычайна шмат адрэналіну. На наступны дзень, калі вывучаеш наступствы і ўсё яшчэ знаходзішся ў сетцы, таксама. Часам ад таго, што адбываецца, мурашкі па скуры. Нейкі час адчуваеш сябе часткай чагосьці вялікага. Большага за цябе і «Кіберпартызан». Часткай больш глабальных працэсаў. Гэта натхняе працягваць барацьбу, займацца новымі атакамі і праектамі.
— Ці існуе ў «Кіберпартызан» маральны кодэкс?
— Так, ёсць, але мы не гатовыя яго апублічваць, ён для ўнутранага карыстання. Кодэкс датычыць шкоды звычайным людзям. Мы ўсімі сіламі спрабуем, каб асноўная шкода наносілася рэжыму, а для мірных грамадзян усё абмяжоўвалася максімум нязручнасцю.
Акрамя таго, мы не зробім нічога, што прывядзе да ахвяр сярод простага насельніцтва.
— Ці ёсць у арганізацыі офіс?
— Фізічнага офіса ў нас няма, усе працуюць адкуль зручна. Звычайна ў кожнага ёсць свая інфраструктура для правядзення аперацый: абароненыя віртуальныя серверы (каб не падхапіць усякую заразу на свой ПК), серверы для захоўвання выгружаных дадзеных. Напрыклад, каманда, якую я ўводжу на сваім ПК, можа быць перанакіраваная праз ланцужок у 5−10 сервераў, пакуль не дасягне «ахвяры».
— За чый кошт аплачваюцца серверы?
— За кошт ахвяраванняў або за асабістыя сродкі. Нядаўна пачалі атрымліваць трохі грантаў.
— Ці бываюць у «Кіберпартызан» хаця б анлайн-карпаратывы?
— У нас ёсць штотыднёвыя сустрэчы анлайн, дзе мы ў перапісцы абмяркоўваем парадак дня, прымаем рашэнні.
— Часта сутыкаешся са стрэсамі? Якая сітуацыя была самай напружанай?
— Цяпер рэдка, шмат стрэсу было падчас атакі на БЧ. Мы загадзя зразумелі, што РФ, хутчэй за ўсё, нападзе на Украіну, і пачалі да гэтага рыхтавацца. Спадзяваліся, што да першага дня вайны ў нас будзе зробленая атака пад ключ, але не паспелі. У выніку трэба было працаваць у рэжыме 24/7, каб дапамагчы сарваць наступ на Кіеў.
Унутраную сетку БЧ мы атакавалі ў снежні 2021 — студзені 2022-га, але для спынення руху цягнікоў трэба было яшчэ добра папрацаваць. За дзень да атакі давялося прыспешваць людзей, каб кожны скончыў сваю частку і ўсе сістэмы скаардынавана леглі. Адключэнне хаця б адной сістэмы сарвала б атаку — і агульны эфект быў бы абмежаваным.
Дарэчы, сістэмныя адміністратары БЧ пасвілі нас загадзя. Яны ведалі, мы нешта каламуцім, але не разумелі што. З адным з іх мы літаральна працавалі на тым жа серверы, пакуль ён нешта там папраўляў, мы блакавалі яго дзеянні.
«Было некалькі праколаў падчас аперацый, калі мы заўчасна спаліліся ці моцна наслядзілі»
— Як тое, што ты стаў кіберпартызанам, адбілася на тваім жыцці?
— Даводзіцца хаваць ад блізкіх і знаёмых, чым я рэальна займаюся. Можа, у адзін дзень яны пра гэта даведаюцца, а можа, і не. На выпадак, калі нехта пытае пра працу, у мяне ёсць легенда, якую з табой абмяркоўваць не буду. Але мне даводзіцца трымаць у галаве ўяўную рэальнасць.
Цяпер у мяне ўжо шмат сяброў у «Кіберпартызанах». З некаторымі хлопцамі ў нас склалася паўнавартасная дружба, хоць у жыцці мы не сустракаліся і асабіста не знаёмыя. Але я адчуваю, што магу ім давяраць і на іх разлічваць.
— Ці ўзломвалі цябе або іншых кібераў?
— Мяне — не, наколькі мне вядома, іншых таксама, але мы рыхтуемся і да такога сцэнара. Пасля ўсяго, што мы наламалі, мне зразумела, наколькі анлайн-сістэмы могуць быць уразлівыя.
Наогул, падрабязна абдумаць нашую і маю асабіста сістэму бяспекі давялося напярэдадні першай атакі на БЧ. Было зразумела, што гэта рубікон, пасля якога на нашае вылічэнне пачнуць вылучаць на парадак больш рэсурсаў і высілкаў. Прычым не толькі рэжым Лукашэнкі, але і Крэмль.
— Чаму вы перайшлі і да ўзломаў расійскіх арганізацый? Я пра «Раскамнагляд» і Галоўны радыёчастотны цэнтр.
— Мы ўсведамляем, што для вызвалення Беларусі Крэмль мусіць быць сур’ёзна аслаблены. Найлепшы спосаб ажыццявіць гэта праз яго паразу ва Украіне.
— Супрацоўнікі органаў сталі мацнейшыя ў тым, каб супраціўляцца «Кіберпартызанам»?
— У першы год нашай працы праціўнікі рабілі пэўныя высновы і спрабавалі процідзейнічаць нам. Цяпер складваецца ўражанне, што там пэўная стагнацыя. Магчыма, гэта ілжывае адчуванне, звязанае з тым, што ў нас ёсць усё больш поспехаў. Але адназначна мы паляпшаемся хутчэй за іх.
— Можаш прывесці канкрэтны прыклад?
— Не, тэма контрразведкі вельмі адчувальная. Мы імкнёмся да таго, каб наш вораг не ведаў, што нам вядома пра яго і яго здольнасці.
— Тады ацані свайго праціўніка па шкале ад 0 да 5, дзе 5 — максімум.
— Асабіста я даў бы рэжыму Лукашэнкі тройку. Не тое каб яны нічога не рабілі. Яны стараюцца, але вельмі недастаткова. Ім проста шанцавала, што доўгі час у іх не здаралася сур’ёзных пагрозаў у кіберпрасторы. У выніку ўся сістэма не была наладжаная на тое, каб спраўляцца з годным праціўнікам у гэтай галіне. А перарабіць яе ва ўмовах рэжыму нерэальна. Наогул, дыктатурам уласціва не рабіць рэзкіх рухаў на месцах, адсутнасць інавацый, ініцыятыўнасці, застой. Без нас яны наогул знаходзіліся б у мёртвым пункце.
— Кіберы таксама робяць памылкі?
— Было некалькі праколаў падчас аперацый, калі мы заўчасна спаліліся або моцна наслядзілі. Пасля любога такога інцыдэнту абмяркоўваем сітуацыю, аналізуем, робім высновы.
— Можаш падрабязней расказаць?
— Падрабязна не магу, але каротка апішу адну з сітуацый. У атакаванай сетцы былі ўсталяваныя розныя сістэмы для сачэння за супрацоўнікамі. Адна з іх падхапіла дадзеныя, скапіяваныя з буфера абмену кібера. Натуральна, там не было ніякіх асабістых звестак самога байца, але была інфармацыя, якая раскрывала адну з нашых «метадычак». Гэта касяк (бо чым больш праціўнік будзе разумець, як мы працуем, тым прасцей яму нам процідзейнічаць), але не смяротны. Мы зрабілі высновы, і такое больш, здаецца, не паўтаралася.
«Агенты не могуць проста так звязацца з любым чалавекам з каманды, каб паспрабаваць яго завербаваць ці спакусіць»
— Ці працягваюць новыя добраахвотнікі стукацца ў ваш бот?
— Некалькі чалавек піша кожны тыдзень.
— Якіх спецыялістаў вы цяпер шукаеце?
— Праграмістаў праграм, сервераў, інструментаў для ўзломаў і рэверсінгу (калі чалавек разбірае софт і вывучае яго ўразлівасці. — Заўв. рэд.). А таксама людзей, якія ўмеюць і любяць працаваць з дадзенымі і напісаннем кантэнту. Але больш за ўсё нам патрэбныя талковыя людзі. Тыя, хто ўмее вучыцца новаму і, што не менш важна, гатовы аддаваць час агульнай справе. Адзначу, што ў нашай камандзе не толькі айцішнікі, але ёсць і тыя, хто працуе з дадзенымі, кантэнтам для сацсетак, графікай і іншым.
— Калі я, напрыклад, настаўнік геаграфіі, ці ёсць сэнс мне да вас стукацца?
— Так, настаўнікі нам патрэбныя. У нас не структураваны працэс навучання новых кіберсамураяў (так мы называем тых, хто непасрэдна займаецца атакамі). Ёсць над чым працаваць. Настаўнік мог бы і ў гэтым дапамагчы.
— Ці пішуць у чат-бот дзяўчаты, каб пазнаёміцца?
— Я такога не ўспамінаю, хоць я не асабліва ўжо манітору боты. Гэтым цяпер займаюцца іншыя. Калі хтосьці з такой нагоды і пісаў, то звычайна гэта былі мянты. Але яны рабілі гэта настолькі недарэчна, што кідалася ў вочы.
— Дай прыклад.
— Дасылалі аголеныя фоткі і падазроныя спасылкі.
— Як наогул кіберы знаёмяцца? Ці няма параноі, што падкатвае не проста дзяўчына, а агент?
— Не, бо ніхто не ведае, хто мы. Я спадзяюся. Боты ў нас адмініструе мінімум людзей, таму агенты не могуць проста так звязацца з любым чалавекам з каманды, каб паспрабаваць яго завербаваць ці спакусіць.
Калі казаць пра мяне, то асабіста я нічога такога ў дачыненні да сябе не баюся. Па-першае, я не павядуся. Па-другое, калі мяне вырашаць вылічыць, то, напэўна, паспрабуюць проста ліквідаваць. Без цырымоній.
— Выкраданне дадзеных — злачынства. Прычым не па палітычным артыкуле. Як ты ў гэтым удзельнічаеш? Як думаеш, ці давядзецца ў будучыні ў Беларусі за гэта адказваць перад законам?
— Калі фундаментальныя законы (Канстытуцыя) не выконваюцца, тады ў цэлым усе законы страчваюць любы сэнс. У Беларусі цяпер пануе беззаконне. Гэта бяда, крызіс, але як ёсць.
Пры адсутнасці законаў пачынаюць дамінаваць каштоўнасці і «паняцці». Цяпер у нашай краіне «выкраданне звестак» у так званай дзяржавы можа спрацаваць на карысць народа. Проста залежыць ад таго, хто гэта робіць, з якой мэтай, як гэтыя дадзеныя выкарыстоўваюцца і ахоўваюцца. У нейкай меры новыя законы пішуцца замест тых, якія больш не выконваюцца.
Я перакананы, што калі мы працягнем рабіць тое, што робім, то ў новай Беларусі пераследаваць нас за гэта не будуць. Вядома, гэта толькі маё меркаванне, і яно не азначае, што мы не станем рабіць усё магчымае, каб так і здарылася насамрэч.
— Што ты маеш на ўвазе?
— Цяпер у нас ёсць пэўная палітычная вага. Магчымасць паўплываць на палітыкаў і самім удзельнічаць у палітычным жыцці. Нам гэта неабходна, каб пасля змены рэжыму гарантаваць сваю бяспеку і пераход да дэмакратычнай улады.
— Як думаеш, ці адкрыюць калі-небудзь «Кіберпартызаны» твары?
— Так, думаю, гэта адбудзецца ў першыя гады пасля зрынання рэжыму. Хай нават і не ўсе на гэта наважацца.
— Ці плануеш ты сам вярнуцца ў Беларусь? Чым зоймешся?
— Так, пасля перамогі я буду ў Беларусі, а можа, і да. Займуся пабудовай краіны, высокатэхналагічнай індустрыі, IT-галіны. Увогуле, падключуся да таго, дзе больш за ўсё спатрэбіцца мая дапамога.
Чытайце таксама
