«Белорус, от тебя зависит всё!»

Вечером 5 сентября на сайте Белорусской торгово-промышленной палаты вместо обычных сообщений про консалтинг и маркетинг вдруг появилось обращение:

«Мы — кибер-партизаны Беларуси. Мы, как и наши смелые предки, начали свою партизанскую войну против полицаев, гестапо, оккупационных властей и прочих коллаборационистов. Мы призываем всех белорусов, независимо от пола и возраста, религии и профессии, присоединиться к борьбе.

Наших друзей и родных убивают, пытают и насилуют. Никому не получится отсидеться в стороне. После карателей останется только выжженная земля!

Белорус, ты думаешь, от тебя ничего не зависит? От тебя зависит всё! Ты можешь больше, чем думаешь!»

Дальше шла шифровка: «Всем другим отрядам кибер-партизан: канал для связи с нами…» — и дальше длинный-длинный ряд цифр и букв. Это был код. Те, кто его расшифровал, могли связаться с автором взлома сайта и, в сущности, одним из основателей группы киберпартизан. (Дефис в слове «кибер-партизаны» потом незаметно отвалился.)

До 5 сентября было несколько стихийных взломов — сайта Академии МВД, к примеру, или Управления делами Лукашенко. Но именно 5 сентября, когда появилась шифровка, объединившая IT-активистов, можно считать днем рождения группы. Тогда шифр разгадали около сотни человек. Были созданы три группы — синяя, желтая и красная.

Ячейка и волонтеры

— Структура организации выглядит так, — объясняет Юлиана, — есть около 90 волонтеров, и есть ячейка группы. Это 30 человек — они основные, постоянно работающие в организации. Среди этих 30 тоже разные команды. Например, есть люди, которые работают только над партизанским телеграмом (приложение, внешне похожее на обычную «телегу». Только помимо стандартного код-пароля здесь можно задать ложный код-пароль, который, если ввести его по требованию силовиков, скроет чаты, каналы и сам аккаунт. — Прим. ред.): тестируют, разрабатывают, пишут коды, пишут посты, отвечают на вопросы по безопасному использованию интернета. Эти люди никак не участвуют в хакерских атаках, но являются частью группы. Есть команда, которая работает исключительно над анализом данных: бесконечные «пробивы», которые постоянно к нам приходят, данные, которые мы получаем из разных баз, — всё это огромный объем работы, и занятые ею люди тоже не участвуют больше ни в чем. И, наконец, есть группа хакеров — тех, кто осуществляет атаки. Но даже среди них есть те, у кого наивысший кредит доверия, то есть они знают, на каких объектах работают и кого атакуют. А есть те, кто пишет код под задачу, но не знают, где этот код будет использован. Они узнают об этом постфактум. И еще есть очень небольшая группа людей, которые непосредственно разрабатывают стратегию атак: приоритеты группы на ближайший год, над каким регионом и профилем объектов работать, на что обратить особое внимание в ближайшей перспективе.

В принципе это отчасти похоже на структуру обычной IT-компании: сениоры и джуниоры, аналитики и тестировщики. У киберпартизан есть и производственные совещания, и перспективное планирование. Есть общее голосование группы: какую стратегию выбираем, на чем фокусируемся. Стратегия атак — это узкая сфера для нескольких человек, а генеральная стратегия группы — предмет для общего обсуждения. А дальше, после выбора профиля, уже небольшая группа людей определяет объект и разрабатывает стратегию атаки.

Правда, совещания — это не зум-конференции. Участники не видят и не слышат друг друга. Они общаются текстовыми сообщениями. Когда Юлиана Шеметовец проходила собеседование, она не видела и не слышала своих будущих коллег. Она сидела перед темным экраном компьютера и отвечала на вопросы, которые ей присылали. Со стороны это выглядело монологом: сидит девушка перед компьютером и говорит. Теперь она говорит от имени тех, кто был по ту сторону экрана.

Правда, кибератака на «Аэрофлот», повлекшая за собой отмену сотни рейсов, изначально не была частью плана, хотя авиакомпания и входила в сферу стратегических интересов киберпартизан. Но в этой атаке они работали вместе с украинской группой Silent Crow и решения о том, когда и как действовать, принимали вместе. Первичный доступ получили именно украинские хакеры, они поделились с белорусами, и дальше уже киберпартизаны работали внутри сети.

— К нам обратились коллеги, — говорит Шеметовец, — и сказали: «Вот у нас есть такой доступ, давайте работать». И наши главные ребята подумали: ага, это соответствует нашей стратегии, это будет выгодно и нам, это правильная задача и правильное направление. Значит, будем работать и вкладывать свои ресурсы в этот проект. А еще бывает так: наши «сканеры» (люди, которые сканируют сети в Беларуси и России) где-то находят уязвимость. Это, впрочем, не означает, что можно попасть внутрь сети. Если объяснять просто, то представьте: нужно перелезть через забор, потом открыть первую дверь, зайти внутрь, в холл, и ориентироваться, где сидит директор и как прорваться через охрану. Так что не факт, что обнаруженная уязвимость приведет ко взлому. Но сканирование происходит постоянно, и потом уже принимается решение, над чем работать.

Во время атаки на «Аэрофлот» белорусские и украинские хакеры завладели терабайтами информации. И сейчас начинают делиться тем, что узнали: там и прослушка сотрудников авиакомпании, и переписка, и история отмененных из-за плана «Ковер» рейсов, а еще информация о том, что гендиректор «Аэрофлота» не менял пароли с 2022 года, и о том, что в «Аэрофлоте» до сих пор используют Windows XP.

Жаркое лето 2021-го

Метафора «перелезть через забор и открыть дверь» иногда перестает быть метафорой. Достаточно вспомнить саму эффектную атаку киберпартизан — операцию «Жара». Летом 2021 года они постепенно добирались до всех милицейских баз: вначале взломали базу данных ГАИ и получили доступ ко всем данным автовладельцев Беларуси. Затем пришла очередь АИС «Паспорт»: киберпартизаны получили паспортные данные всех граждан Беларуси.

— Вот как раз в этой атаке нам помог человек на месте. Это не значит, что он смог скачать какие-то базы или дать нам возможность добраться до них. Но он, если использовать ту метафору, открыл нам дверь. А дальше, внутри сети, киберпартизаны должны были пробираться сами. Человек, который нам помог, не участник группы. Но у нас есть киберпартизаны и внутри Беларуси — люди, которые сами приняли решение остаться в стране и работать оттуда. Понятно, что это большой риск, и, конечно, те, кто в стране, не могут участвовать в самых чувствительных операциях. Но это осознанный выбор, который мы уважаем.

После того как киберпартизаны получили данные всех белорусских паспортов, они взломали базу звонков в службу 102. Так были установлены стукачи, которые звонили в 102 и сообщали, где находятся протестующие и где висят флаги. (Кстати, во время взлома выяснилось, что база была полностью вычищена после взрыва в минском метро в апреле 2011 года.) Благодаря этому взлому была составлена «Черная карта» Беларуси: имена и адреса звонивших с доносами на протестующих были нанесены на карту.

Потом «Черная карта» благодаря работе киберпартизан дополнялась и продолжает дополняться.

Для каждой категории — свой символ, так что ориентироваться легко. Значок с изображением телефонной трубки — доносчик, звонивший в 102. Череп и кости на красном фоне — ЧВК «Вагнер». Очки на черном фоне — сексот. Буквы TV — пропагандист. Работа над картой не останавливается. К слову, я с неподдельной радостью обнаружила, что из моего дома ни одного звонка в милицию с жалобами на протестующих не было. Браво, соседи.

После звонков в службу 102 киберпартизаны взломали базу данных УСБ МВД Беларуси — Управления собственной безопасности. «Тысячи занимательных историй про подставы, подлоги, халатность, служебное несоответствие, пьянство и прочие детали. Оказывается, граждане менты любят следить друг за другом», — комментировали партизаны в своем телеграм-канале полученные данные.

Затем последовали взломы серверов с видеозаписями оперативных дронов МВД, системы видеонаблюдения в знаменитых ИВС и в центре изоляции правонарушителей (ЦИП) на Окрестина, база данных Главного управления кадров МВД, подсеть айти-подразделения части внутренних войск 5448, база «Беспорядки», куда МВД вносило всех привлеченных к административной ответственности за участие в протестах, сервер Департамента обеспечения оперативно-розыскной деятельности, база данных всех мобильных операторов Беларуси, единый реестр недвижимого имущества. Лето 2021 года действительно стало жарким.

17 августа, когда операция «Жара» была в разгаре и каждый день киберпартизаны выставляли на всеобщее обозрение личные данные силовиков или прослушки их телефонных разговоров, Лукашенко на совещании с правительством заявил: «Если не можете, как я часто говорю, защитить в своих компьютерах информацию, тогда возвращайтесь к бумажным носителям. Пишите от руки и складывайте у себя в ящик. Одновременно правоохранительным органам нужно активизировать деятельность по пресечению преступлений в сфере высоких технологий. Проблема архиважная».

«Чемоданиха, уебище лесное»

В результате «Жары» были обнародованы сюжеты и страшные, и смешные. Из страшного — аудиозаписи разговоров пресс-секретаря Лукашенко Натальи Эйсмонт и командира минского ОМОН Дмитрия Балабы 2 ноября 2020 года. Записи хранились на серверах Департамента оперативно-розыскной деятельности, взломанных киберпартизанами. Из трех разговоров одного вечера стало очевидным, что осенью 2020 года силовики вели настоящую охоту на людей — тех, кто у себя во дворах вешал на заборы бело-красно-белые ленточки и ставил портреты арестованных. И пресс-секретарь Лукашенко непосредственно участвовала в этих карательных акциях: ее компания приезжала во дворы, срезала ленточки и уничтожала мемориалы. А когда местные жители пытались этому помешать, появлялся ОМОН и начинал бить и арестовывать людей.

Наталья Эйсмонт говорит Балабе, что их компания собирается в какой-нибудь «самый-самый жесткий двор». Командир ОМОН обещает быть неподалеку и подстраховать. И спрашивает, какой двор она считает самым жестким. Эйсмонт перечисляет: «Мегаполис», «Каскад», Новая Боровая — и называет еще «Площадь перемен, где мы были в прошлый раз». Через десять дней в том дворе, где Площадь перемен, силовики насмерть забьют Романа Бондаренко, вышедшего из дома, чтобы помешать срезать ленточки.

Балаба говорит Эйсмонт: «Я знаю, что вы абсолютно серьезно относитесь к этим вещам. И я надеюсь, что сегодня “охота” ваша будет удачной. Но мы же тоже не сидим на месте». А через полтора часа у них следующий разговор. Эйсмонт сокрушается: приехали — а во дворе ничего, пусто, «всё чисто в нашей точке». Балаба в ответ предлагает «загонную охоту» и вспоминает, где сегодня видел ленточки: в минском районе Грушевка. В ответ пресс-секретарь Лукашенко укоряет командира ОМОН: «Ну, Дмитрий, ленточки — это же вторичное. Нам нужны головы!» И сообщает, что едет сначала в Новую Боровую, потом на Площадь перемен. Балаба снова желает удачной охоты. Им нужны головы.

Разговоров, разумеется, не с мужем, а с совершенно другими гражданами, в том числе с подчиненным Балабы. Можно сколько угодно спорить, этично ли обнародовать интимные телефонные разговоры, но это был, несомненно, удар под дых для Балабы: что может быть страшнее для командира ОМОН, чем хихиканье его подчиненных, знающих, что начальник — известный всей стране рогоносец?

А самая забавная прослушка (диалог омерзительный, конечно, но давший начало мемам и народному творчеству) — это запись разговора заместителя начальника ГУВД Мингорисполкома Игоря Подвойского и заместителя начальника УВД Минской области Виталия Козлова. Два милицейских начальника разговаривали поздним вечером 2 июля 2020 года. Массовых протестов еще не было, но белорусская жизнь на улицах уже была активной: после ареста кандидатов в президенты Виктора Бабарико и Сергея Тихановского и многолетних лидеров уличных протестов Николая Статкевича и Павла Северинца белорусы выходили стихийно, выстраивались в цепи солидарности, формировали сигналящие автоколонны, вставали по обочинам центральных улиц белорусских городов с флагами. А 2 июля — это канун государственного праздника, Дня независимости. И два полковника обсуждали, как бы чего не вышло во время движения лукашенковского кортежа.

Областной милицейский начальник Козлов спрашивает городского милицейского начальника Подвойского: «Будешь “принимать”, если что, шарики-хуярики-цепи?» Вот чего они боялись на пути следования машины Лукашенко: шариков и белорусов, выстроившихся в цепь солидарности. Потом Подвойский рассказывает, что был у министра и «пизды получал». И, наконец, начинает сетовать, что у него проблемы из-за просочившегося в сеть видеоролика, не замеченного вовремя начальницей Управления информации и общественных связей МВД Беларуси Ольгой Чемодановой: «Чемоданиха, уебище лесное, блядь». Областной начальник Козлов сочувствует: «Она что, думает, что у нее девять жизней, как у кота, блядь?» Вообще, если подсчитать хронометраж, мат займет в разговоре больше времени, чем нормативная лексика.

И хотя никаких иллюзий относительно интеллектуального уровня и культуры речи милиционеров у белорусов давно не было, определение Чемоданихи вызвало всеобщее веселье. Настолько, что из МВД ее быстро убрали: наверняка весь личный состав отныне только так начальницу управления и называл: «Чемоданиха, уебище лесное». Ее отправили в минскую организацию Белорусского союза женщин, потом — в горисполком. Карьера разрушилась одним простым словом. Простите, не буду его повторять еще раз.

Вакцина для Лукашенко

«Жара» оказалась настолько эффектной кибератакой, что ее авторами заинтересовались все мировые медиа. И тогда у киберпартизан возникла необходимость в спикере — человеке, который может, не пряча лица и не скрывая имени, говорить, а не писать сообщения. Который сможет общаться с журналистами и по-белорусски, и по-английски, и по-русски. А главное — сможет объяснять, что киберпартизаны не хакеры, а хактивисты. А это совершенно разные понятия. И тогда появилась Юлиана Шеметовец.

— Моя гражданская позиция, — вспоминает она, — окончательно сформировалась в день президентских выборов 19 декабря 2010 года. Я была старшеклассницей, и никто из моих друзей не осмелился идти на протесты. Я пошла одна. Прогулялась. Было очень страшно. Потом я всю ночь сидела и читала новости на [новостном интернет-портале] «Хартия’97». И последующие годы для меня — это вовлеченность в белорусскую культуру, историю, язык. В 2016 году я уехала в США в магистратуру — изучать политические науки. Ходила на мероприятия диаспоры, со многими познакомилась. И когда случилась операция «Жара» и киберпартизанам понадобился спикер, сработал закон нескольких рукопожатий.

У всех есть другие возможности зарабатывать, кроме нескольких человек, которые заняты подготовкой кибератак 24 часа в сутки.

Впрочем, искать деньги всё равно пришлось: у киберпартизан очень много данных и серверов, которые нужно оплачивать. Необходимо защищать данные, поддерживать инфраструктуру. Доноры киберпартизан — не фонды, помогающие демократическим силам, а представители технологической сферы. И даже если финансовая поддержка прекратится, работа не остановится: партизаны смогут обойтись собственными силами. Они не зависят от грантов.

Юлиана еще со стороны, не будучи частью команды, наблюдала, как взламывают базы МВД. Как мировая пресса пишет, что такое бывает только в фильмах. И первое, что она предложила киберпартизанам, — это связаться с Габриэлой Коулман, главным специалистом по хактивизму. Габриэла работала с группой Anonymous (международная сеть активистов и хактивистов), писала о них книгу. Именно она комментировала агентству Bloomberg операцию «Жара» и говорила, что такое видела только в кино. А Юлиане очень хотелось, чтобы у специалистов такого уровня, как Габриэла, было представление о Беларуси, о ситуации в стране, о киберпартизанах. Так она и начала работать с «киберами». К слову, вместе с Коулман Юлиана организовала мероприятие в Гарвардском университете, посвященное деятельности киберпартизан. С ними Шеметовец работает уже четыре года. И говорит, что по-прежнему в восторге от того, что и как они делают.

Ей приходится не только отвечать на вопросы журналистов. Ее фейсбук завален просьбами «пробить того-то», «взломать тех-то».

— Можно полгода потратить на то, чтобы кого-то взломать, — объясняет Юлиана, — и получить нулевой «выхлоп» в виде какой-нибудь переписки с любовницей. Мы специально не взламывали ни жену Балабы, ни пресс-секретаря Лукашенко — все эти прослушки были в базе МВД, которую мы получили целиком. Они стали «бомбой» точно так же, как база доносов в КГБ. В принципе никогда не знаешь, что именно найдешь и что произведет наибольший эффект. Однажды к нам обратился «Белсат», и мы сделали совместное расследование о том, как чиновники скрывали реальные масштабы смертности от коронавируса в Беларуси. Мы смогли получить записи телефонных разговоров, в которых чиновники от медицины обсуждали закупку специальных вакцин для семьи Лукашенко. Он потом оправдывался, говорил, что вообще никогда не вакцинировался, и требовал обеспечить высокий уровень кибербезопасности страны.

После «Жары», в ноябре 2021 года, киберпартизаны анонсировали операцию «Пекло». Они взломали внутреннюю сеть Академии управления при Лукашенко и зашифровали ее, затем заменили обои на рабочих компьютерах фотографиями убитого Романа Бондаренко и надписями «Не забудем, не простим!». Следующей целью кибератаки стала компьютерная сеть ОАО «Беларуськалий» — главного производителя и экспортера калийных удобрений. «В рамках операции “Пекло” были “заминированы” компьютеры и сервера предприятия кибер-бомбочками, которые постепенно срабатывают с задержкой, а также на серверах были установлены новые обои в память Романа. Заражены тысячи компьютеров», — писали киберпартизаны в своем телеграм-канале 29 ноября 2021 года. В декабре они взломали сеть предприятия «Могилевтрансмаш». «Все файлы, сервера и базы данных больше недоступны сотрудникам предприятия, — отчитывались киберпартизаны. — Бухгалтерия, руководство, инженеры уходят в принудительную забастовку». Такой, собственно, и была задача операции «Пекло» — это уже не добывание компромата на силовиков, а нанесение ущерба госпредприятиям.

А потом началась война.

Партизанский кодекс

После 24 февраля 2022 года стратегия киберпартизан менялась на ходу. У них не было планов идти в российские сети: хактивисты были сосредоточены на белорусских. Конечно, возможность российской агрессии обсуждалась ими и раньше, но после нападения произошел сдвиг в стратегическом планировании. Нужно было помогать Украине. Киберпартизаны решили сосредоточиться на логистике: было понятно, что белорусская железная дорога будет использоваться для российских военных грузов.

Впрочем, железную дорогу как возможную цель атаки они рассматривали еще до вторжения: так можно было показать торговым партнерам белорусского режима, в том числе и Западу, и Китаю, что Лукашенко ничего не контролирует в стране и проще перестать его поддерживать, чем терпеть убытки. Так что БелЖД оказалась в фокусе еще до 24 февраля.

Первую атаку киберпартизаны провели в рамках «Пекла» в конце января 2022 года. Они зашифровали основную часть серверов, баз данных и рабочих станций БелЖД, чтобы нарушить ее работу: в то время железной дорогой в Беларусь как раз перебрасывались российские войска для участия в учениях «Союзная решимость — 2022». Вторую — уже на войне, 27 февраля. А на следующий день в Беларуси появились рельсовые партизаны, которые выводили из строя сигнальное оборудование.

В наше время, впрочем, рельсовую войну можно вести, не прокрадываясь в ночи к релейным шкафам на железнодорожных перегонах, а сидя за компьютером и нажимая на клавиши. Я спрашивала Юлиану, почему киберпартизаны не начали просто-напросто пускать под откос эшелоны с военной техникой, если смогли добраться до внутренней сети БелЖД.

— У нас действительно был доступ, — отвечает она. — Мы могли отключить семафоры, к примеру. Но это могло привести к совершенно непредсказуемым последствиям. Если ты не специалист в железнодорожных перевозках, то, даже оказавшись внутри сети, ты не можешь гарантировать, что нанесешь урон только конкретным поездам.

Перед нами всегда стоит моральный выбор. Мы стараемся оценить, насколько та или иная атака повлияет на людей в Беларуси. К примеру, на «Гродно-Азот» ребята пробрались в сеть, которая даже не была подключена к интернету. Если бы они отключили оборудование, это могло привести к взрыву. Точно так же кодекс не дает нам возможности отвечать на все просьбы журналистов о «пробивах». Очень часто просят «пробить» того или иного: у нас на руках доступ к данным всех белорусов, мы фактически владеем той же информацией, что и государство. Но мы не будем предоставлять никаких данных о людях, не связанных с режимом. Если будет доказательная база — да, мы подключимся и поможем. Но если только подозрения, то пусть лучше на нас кто-то обидится, чем мы дадим информацию о человеке, не имеющем отношения к режиму.

Тогда же, в первый год войны, киберпартизаны взломали дочернюю структуру Роскомнадзора «Главный радиочастотный центр» и передали два терабайта информации «Важным историям» и Süddeutsche Zeitung. В конце 2023 года они взломали пропагандистское агентство БелТА. В 2024 году киберпартизаны проникли в сети российского предприятия «Специальный технологический центр», производящего беспилотники «Орлан», и передали всю информацию, которую скачали (список сотрудников, внутреннюю переписку, расположение тренировочных площадок, техническую документацию), Украине. 12 июня нынешнего года они атаковали 95 сайтов районных и областных администраций в России и повесили на главные страницы сайтов кадры войны в Украине.

Продолжается работа над партизанским телеграмом, деаноном силовиков и пополнением данных «Черной карты» Беларуси. И над тем, о чем мы узнаем только постфактум.

В команде постоянно появляются новые люди, в том числе и те, кто остается в Беларуси. Недаром же ее всегда называли партизанским краем. Теперь, в связи с развитием технологий, можно добавить: Беларусь — киберпартизанский край.