Киберпартизаны: что известно о хакерах, которые хотят разрушить режим Лукашенко

Отличительной чертой новой протестной волны стало «цифровое сопротивление» в интернете. Анонимные хакеры взламывают государственные сайты и собирают информацию о сотрудниках силовых ведомств, пишут в расследовании Русская служба Би-би-си.

Первые сообщения о хакерских атаках на государственные сайты в Беларуси появились в начале сентября. Сначала был атакован сайт Управления делами президента: на его главной странице появился бело-красно-белый флаг, который был государственным в 1991-95 годах и который сейчас используют противники Лукашенко.

Рядом с флагом была размещена фотография главы президентской администрации Виктора Шеймана – давнего соратника Лукашенко – со звездой Верки Сердючки на голове.

Затем был атакован сайт МВД. В раздел «Розыск» были добавлены Александр Лукашенко и глава МВД Юрий Караев. Атаки на сайт МВД впоследствии повторялись, он недоступен на момент публикации этого материала.

После этого хакеры взломали сайт Белорусской торгово-промышленной палаты. Во время этого взлома они оставили картинку с человеком за ноутбуком в белом худи на красном фоне и впервые идентифицировали себя, оставив рядом сообщение под заголовком «Мы – киберпартизаны».

– Наших друзей и родных убивают, пытают и насилуют. Никому не получится отсидеться в стороне, – говорилось в сообщении. Авторы взлома призвали белорусов «присоединяться к борьбе».

Взломщики также оставили e-mail в зашифрованном виде, по которому Русская служба Би-би-си связалась с киберпартизанами. Общение велось по e-mail и в анонимном мессенджере.

Впоследствии выяснилось, что есть еще одна группа хакеров, называющих себя «киберпартизанами», для их различения первую группу мы будем называть «белыми» - по цвету логотипа.

«Белые» и «синие»

Представитель белых киберпартизан, ответивший Би-би-си, рассказал, что их команда насчитывает около 10 человек, у всех большой опыт работы в IT-секторе, и политическим активизмом никто из них раньше никогда не занимался.

По его словам, сначала план был найти как можно больше информации о сотрудниках МВД, которые участвовали в разгоне массовых акций протеста 9-12 августа.

Протесты в Беларуси начались после президентских выборов, победителем которых ЦИК Беларуси объявил Александра Лукашенко. Наблюдатели сообщили о многочисленных нарушениях. Противники Лукашенко считают, что он проиграл, и потребовали провести новые выборы.

9 августа на улицы Минска и других городов Беларуси вышли тысячи человек. При разгоне акций протеста силовики использовали светошумовые гранаты и резиновые пули. Как рассказывали многие задержанные, в автозаках и изоляторах их избивали и пытали.

11 сентября самый популярный среди протестующих телеграм-канал сообщил, что киберпартизаны передали редакции канала личные данные сотрудников МВД.

Авторы канала пригрозили начать публикацию данных, если насилие не остановится.

Почти все милиционеры и сотрудники других силовых структур в Беларуси на акциях протеста носят маски, скрывающие лица. Активисты считают деанонимизацию силовиков одной из основных целей протеста.

В этот же день, 11 сентября, сообщение о передаче базы данных редакции появилось в телеграм-канале cyberpartisan, который, судя по сообщениям в канале, был запущен несколькими днями ранее. Сейчас там более 70 тысяч подписчиков.

Представитель «««белых» киберпартизан сообщил Би-би-си, что их группа «помогла найти только часть данных», но не раскрыл подробностей о том, как добывались эти данные.

При этом он заявил, что у их группы нет телеграм-канала, а канал cyberpartisan ведут неизвестные им люди – другая группа хакеров. По его словам, cyberpartisan просто перепечатали из канала Степана Путило новость о передаче данных силовиков от своего имени.

На канале cyberpartisan для связи была оставлена ссылка на чат в приложении Keybase. Би-би-си связалась с администратором чата.

Он подтвердил, что они представляют другую группу киберпартизан - назовем их синими, тоже по цвету логотипа (в одном из постов они сами называют себя «синей командой»).

На вопрос о том, кто же все таки передал данные силовиков, он ответил уклончиво, заявив, что канал cyberpartisan публикует данные в том числе и чужих взломов, чтобы «не разобщать сообщество».

По словам администратора синих киберпартизан, участники их группы регулярно передают данные в редакцию канала Степана Путило :

– У нас есть собственные каналы связи.

По его словам, группа синих киберпартизан появилась давно, около 5-6 лет назад. Тогда они размещали в интернете издевательские сообщения о выставленном на продажу Кремле и должности президента России.

Доказательств причастности группы к этим акциям он не привел, но в открытом доступе остались их следы. В феврале и июле 2015 года неизвестные опубликовали на сайте госторгов России информацию о продаже Кремля и должности президента России вместе со всей страной. Сообщения были размещены через аккаунты Нижнесергинского муниципального района Свердловской области и Михайловского сельского поселения Тверской области. Тогда авторы взломов называли себя «уральскими киберпартизанами».

На вопрос о гражданстве участников группы администратор «синих» партизан ответил, что в движении участвуют люди из разных стран. В одном из сообщений активисты призвали объединяться граждан Беларуси, России, Украины, Польши, Литвы и Латвии.

– Принято решение о создании цифрового фронта сопротивления»,– говорится в сообщении.

Логотипы с фигуркой хакера в синем худи или человека в черно-серых тонах на фоне бело-красно-белого флага группа придумала именно для того, чтобы ее отличали от другой группы киберпартизан, отметил администратор синих.

Впоследствии телеграм-канал появился и у белых киберпартизан. Сейчас на него подписаны 54 тысячи пользователей.

– Появилось несколько ТГ-каналов, которые начали говорить от нашего имени и от имени всего Движения. Мы не согласны со многими действиями этих каналов. Поэтому запускаем свой, – говорится в первом сообщении этого канала.

Чем еще отличаются киберпартизаны

Белые киберпартизаны время от времени пишут в своем канале, с какими действиями других активистов они не согласны.

– Мы НЕ хотим: собирать донаты, создавать свою криптовалюту, писать манифесты, пиариться за счет достижений других команд, соперничать с другими командами и старыми ТГ-каналами. И, главное, мы НЕ хотим, чтобы из-за действий «Кибер-Партизан» пострадали обычные люди, – говорится в сообщении (оригинальные орфография и пунктуация сохранены).

Эти слова выглядят как отсылка к методам «синих» киберпатизан, которые собирали пожертвования в криптовалюте: к некоторым сообщениям на их канале прикрепляли номер биткоин-кошелька. Также этот кошелек закреплен в описании чата в Keybase.

На этот номер по состоянию на 1 октября было отправлено чуть более 0.073 биткоина (около 730 долларов).

Синие киберпартизаны также писали об атаках на ресурсы, которые используют в повседневной жизни обычные граждане. Например, в их канале появлялась информация об атаке на сайт министерства по налогам и сборам.

Администратор «синих» киберпартизан сообщил Би-би-си, что технически атака на министерство не сказалась на работе системы, а ее смысл был в том, чтобы получить доступ к необходимой информации (какой именно - он не уточнил).

Атака действительно привела лишь к небольшим перебоям в работе системы сбора налогов: пользователи, которые пытались заплатить налоги, сообщали о проблемах с доступом в личные кабинеты. Министерство сообщило, что проблемы были, но они быстро были устранены.

Наконец, третье разногласие между партизанами – это наличие или отсутствие манифестов.

Белые киберпартизаны, как упоминалось выше, отказываются составлять и распространять программные документы для объединения единомышленников. В первом сообщении на их телеграм-канале говорится лишь, что активисты намерены продолжать поиски информации о силовиках.

Синие запустили сайт «Белорусский IT-фронт», на котором размещен манифест с прописанными целями, в числе которых «отстранение от власти чиновников, не желающих слышать голос народа и служить интересам Республики Беларусь», и путями их достижения – «проникновение в закрытые государственные IT-системы», «поиск материалов затрагивающих интересы чиновников и силовых ведомств и публичное раскрытие».

Также на сайте есть раздел «Вступить в ряды», где можно оставить свои контакты. Сколько сейчас сторонников у группы синих киберпартизан – неизвестно, но в чате в Keybase сейчас более восьми сотен участников.

Реакция властей

МВД Беларуси отреагировало на публикацию данных силовиков 19 сентября. Пресс-служба министерства сообщила, что милиция располагает технологиями и средствами, которые позволяют установить виновных в утечке данных.

Через несколько дней МВД сообщило, что были опубликованы данные четырехлетней давности, и публикация не навредила ведомству.

Внимания министерства удостоилась также рассылка писем с вредоносным содержимым. 29 сентября МВД опубликовало сообщение под заголовком «Киберпреступники атакуют госорганизации». В нем говорится, что «киберактивисты перешли к серьезным преступлениям против информационной безопасности».

– На официальные почтовые ящики госорганизаций они стали массово рассылать электронные письма с вредоносным вложением, замаскированным под срочный документ. Выполнив предложенное действие, пользователь инфицирует компьютер и тем самым ставит под угрозу как свои персональные данные, так и служебную информацию всей организации, – пишет МВД.

Белые киберпартизаны отрицают причастность к подобным фишинговым рассылкам. Администратор синих на вопрос, причастны ли они к рассылкам, ответил Би-би-си: «Само собой».

Он обосновал саму эффективность таких акций тем, что цифровая грамотность чиновников в Беларуси находится на очень низком уровне, потому что специалисты на госслужбе получают небольшие зарплаты.

В подтверждение своих слов активист прислал ссылку на вакансию ведущего инженера в Научно-техническом центре КГБ Беларуси. Соискателям с опытом работы 3-6 лет в области обслуживания сетевой инфраструктуры предлагается зарплата от 1000 белорусских рублей (385 долларов).

Представитель белых киберпартизан согласен, что профессионалов в области информационных технологий на госслужбе мало.

– Очень сложно работать в госструктурах, так как там смотрят на твою лояльность и профессионалы не особо нужны. Но они есть. Если брать всю совокупность госсайтов, то там полный бардак, – отметил он.

Контр-киберпартизаны

На киберпартизан обратили внимание не только власти, но и провластные активисты.

Редакция онлайн-журнала Kyky, активно освещающего протесты, сообщила 28 сентября, что их сайт был атакован - на главной странице появился текст под заголовком «Вы взломаны». Внутри статьи была только фотография Александра Лукашенко с его инаугурации и аудиозапись.

Как сообщили журналисты Kyky, на этой записи измененный голос от имени сторонников Лукашенко зачитывает текст, в котором критикует действия киберпартизан по деанонимизации сотрудников силовых структур.

Ранее канал «синих» киберпартизан объявил о начале разработки системы распознавания лиц с открытым исходным кодом, которая будет не только идентифицировать силовиков по видео и фото, но и собирать информацию в одном месте.

Контр-киберпартизаны в своем сообщении написали, что силовики «честным трудом зарабатывали эти деньги, разгоняя толпу нерадивых протестантов».

«Поэтому мы не приемлем такого безобразия и хотим восстановить справедливость. Знайте, киберпартизаны, вы тоже не защищены! И мы вас не боимся. До встречи».

На данный момент это единственное публичное сообщение от противников киберпартизан.

Также в «Телеграме» есть несколько сомнительных каналов, выступающих от имени киберпартизан. На один из них обратил внимание человек с ником Шон Таунсенд, представитель движения «Украинский киберальянс», которое называет своей целью противодействие российской агрессии в Украине.

В этом канале-клоне сначала копировались посты из оригинального канала «синих» киберпартизан , после чего последовали предложения «раздать денег». Чтобы получить деньги, нужно было отправить сообщение пользователю kiber_money.

Таунсенд считает, что такие каналы-клоны могут создаваться спецслужбами для деанонимизации протестующих.

– Я просто не вижу, кто бы еще мог быть заинтересован в деанонимизации пользователей. Если это просто мошенники, то они беспросветно глупы, и если цель была обманом выманивать деньги пользователей, то они могли бы просто начать собирать пожертвования на канале-клоне, – сказал он Би-би-си.

«Украинский киберальянс» имеет опыт борьбы против атак прокремлевских хакеров. По словам Таунсенда, в результате ответных действий активистам киберальянса удалось получить доступ к данным трех хакеров.

«Белые» киберпартизаны допускают, что власти Беларуси могут привлечь российских IT-специалистов, чтобы защитить государственные сайты и личную информацию силовиков. Ранее Александр Лукашенко признал, что после увольнений и забастовок на государственном телевидении власти Беларуси пригласили в страну российских журналистов.

Даже если что-то похожее случится в IT-сфере и для борьбы с киберпартизанами подключат специалистов из России, эффекта от этого будет мало, считают представители обеих групп.

– Только представьте, что этих [государственных] ресурсов сотни или тысячи. Что все очень запущено. Что нужно будет как-то организовать это все. Ничто же не мешало делать нормальные много лет или строить нормальную экономику? А тут нужно быстро пропатчить все, – написал Би-би-си представитель «белых» киберпартизан.

«Где здесь закон»?

Действия киберпартизан могут трактоваться властями как нарушение закона. Активисты отвечают на это, что «все понимают про закон».

– Но мы также видели разгоны мирных демонстраций, Окрестина, украденные выборы и прочие ужасы. Где здесь закон? Дел уголовных заведено ноль. Несколько человек убито, а один застрелен в упор, – комментирует представитель «белых» киберпартизан.

Во время протестов силовиками были убиты 34-летний Александр Тарайковский и 43-летний Геннадий Шутов. МВД трактует эти случаи как необходимую самоборону со стороны силовиков.

Еще несколько человек погибли при невыясненных обстоятельствах.

После разгона акций протеста 9-12 августа правозащитники получили более четырех сотен свидетельств об избиениях и жестоком обращении с задержанными в изоляторе на Окрестина в Минске. Эту информацию передали в ООН.

ОБСЕ сочла сообщения о пытках достоверными и инициировала так называемый Московский механизм, в рамках которого группа экспертов изучит ситуацию с правами человека в Беларуси.

МВД утверждает, что пыток не было. На данный момент нет информации о том, ведется ли какая-то проверка сообщений об избиениях в изоляторах и обстоятельств смерти протестующих.

О конкретных планах на будущее обе группы киберпартизан они не сообщают.

Впрочем, «белые» и прежде сообщали о взломах лишь постфактум, а «синие» раньше анонсировали атаки у себя на канале, но сейчас не этого делают – как говорит их представитель, чтобы не давать властям времени на подготовку к атаке.

Правда ли белорусских силовиков научились распознавать под масками?