Страница 11 из 12
Глава 6: Ботнет имени Harambe
Глава 6: Ботнет имени Harambe
Москва. Июнь 2016.
Ленинский проспект тонул в мареве летней жары. Стеклянные фасады дата-центра сверкали, как гигантские кристаллы, встроенные в бетонную громаду сталинской застройки. Внутри, за толстыми стенами, гудели сервера — ритмично, словно механическое сердце. Кондиционеры боролись с теплом, выдыхаемым железными стойками, но воздух всё равно пах озоном и пылью. Здесь, на третьем этаже, в комнате с затемнёнными окнами, Эльза сидела перед монитором, где в Splunk пульсировали графики. Синий свет экрана рисовал тени на её лице, а курсор метался между вкладками, как пчела, ищущая цветок.
— Ботнет C&C-сервер здесь, — она ткнула пальцем в карту сети, где мигала красная точка. — Трафик идет через порт 443, маскируется под HTTPS... но внутри — SSH-туннель. Смотрите.
На экране поток данных напоминал реку — зашифрованные пакеты текли ровно, пока Эльза не увеличила масштаб. Внезапно структура распалась на рваные фрагменты:
— Видите? Внешне TLS-рукопожатие, но после него — не SSL, а SSH. Как будто в туннель метро встроили секретную ветку.
Артём, откинувшись на спинку кресла, щурился в свой ноутбук. Его рабочее место напоминало лабораторию безумного учёного: провода свисали со стола, рядом валялся паяльник, а на стене висела схема уязвимостей MS17-010, испещрённая пометками красным маркером.
— OpenSSH 6.9... — он пробормотал, перебирая строки кода, будто листал книгу с шифрами. — CVE-2016-0777. Привет, старый друг.
Его пальцы взлетели над клавиатурой. На экране замелькали команды — словно цифровые когти, разрывающие защиту.
— Они не обновили библиотеку, — Артём усмехнулся. — Всё равно что оставить дверь с кодом «1234» в банке.
Через десять минут на мониторе всплыло окно с зелёным текстом: # root@cc-server ~. Артём выдохнул и потянулся к банке с «Burn», на которой капли конденсата стекали, как слёзы.
Гоша стоял у окна, за которым Москва кипела в предзакатном свете. На экране его телефона новости о Brexit смешивались с мемами: Борис Джонсон в образе Харамбе, ЕС в виде горящего зоопарка.
— Интересно, если боты проголосуют за выход Британии, — он повернулся к остальным, — ЕС потребует пересчёта? Или отправят нашу шифрованную гориллу в суд?
Эльза не ответила. Она вглядывалась в трафик ботнета — тысячи заражённых машин, разбросанных по миру, слали сигналы в дата-центр. Каждый пакет был криком из цифровой пустоты: «Я здесь, я готов».
Атака начиналась незаметно.
В офисах, где кондиционеры боролись с июньским зноем, сотрудники открывали письма с темой «Ваш аккаунт заблокирован». Вложение — invoice.doc — выглядело невинно, как налоговый отчёт. Макросы включались с лёгким щелчком, и тогда из глубин Windows выползал PowerShell-скрипт. Он прятался в реестре, как змея под камнем, а потом качал шифровальщик с сервера в Нидерландах, замаскированного под легальный CDN.
Через 10 минут экраны жертв гаснут. Вместо рабочего стола — чёрный фон, белый текст:
«ВАШИ ФАЙЛЫ ПРИНАДЛЕЖАТ HARAMBE. 0.5 BTC = 1 KEY».
Ниже — фото погибшей гориллы, её глаза грустные, будто осуждающие. Кто-то в Твиттере уже назвал это «мемом апокалипсиса».
Катя, сидя в университетской аудитории с облупившимися стенами, листала чат кафедры. На экране её ноутбука висел стикер: «Не забудь: курсовая до пятницы!».
— Роскомнадзор опять пытается заблокировать Telegram, — она напечатала, добавив гифку с танцующим осьминогом. — Может, им EternalBlue подкинем? Пусть их сервера сами себя шифруют.
Артём, глядя на сообщение, фыркнул. В его голове всплыли заголовки: «РКН заблокировал сайт ветеринарной клиники «Лапка» вместо Tor-ноды».
— Вчера пол-Москвы искало, куда делся их прокси, — он ответил. — А оказалось, котикам нельзя записаться на стрижку когтей.
Ночью дата-центр на Ленинском напоминал маяк. Синие LED-лампы мигали за стеклом, а на крыше, среди антенн, гнездились грачи — их крики смешивались с гулом серверов. Артём и Эльза поднялись на лифте, пропуски на шеях болтались, как ошейники. В зале с стойками, где воздух дрожал от жара, он подключил ноутбук к коммутатору.
— EternalBlue... — пробормотал Артём, запуская эксплойт. — Как будто запускаешь вирус в кровеносную систему.
Сервера ботнета рухнули за 12 минут. На мониторе появился логотип — пиксельная горилла с надписью «Harambe Lives». Эльза, листая логи, замерла:
— Смотри. В коде... упоминание Fancy Bear.
Тишина стала гуще. Где-то за стеной завыла сирена — то ли уборщица задела датчик, то ли сработала сигнализация.
— Медведи из интернета, — Гоша, наблюдавший за ними через TeamViewer, выдал свою коронную фразу. — Теперь можем в резюме писать: «Победил APT28 в рукопашной».
Утром, когда солнце поднялось над Садовым кольцом, шифровальщик перестал работать. Но в чатах хакеров уже обсуждали новый эксплойт — что-то с IoT-чайниками и блокчейном. Эльза сменила обои на рабочем столе: вместо Харамбе — схема SSH-туннеля, где порт 443 был помечен черепом.
— Думаешь, это конец? — спросила Катя, глядя, как Артём допивает четвёртый энергетик.
— Конец? — Эльза провела рукой по экрану, где в Splunk уже зрел новый аномальный пик. — EternalBlue — это как радиация. Даже если закрыть шахту, где-то останется трещина...
Грачи на крыше дата-центра взлетели, испуганные грохотом поезда метро. Где-то под землёй, в тоннелях, вибрация шевелила провода — словно Сеть вздрогнула, готовясь к новой атаке.