Хакер, который захватил страну
В 2016 году масштабная DDoS-атака обвалила серверы крупнейшего провайдера Либерии и на несколько дней оставила полстраны без интернета. Затем вирус перекинулся на Европу, атаковав серверы компаний в Германии, Франции и Великобритании. Спецслужбы выяснили, что за атакой стоял 29-летний британец Дэниел Кайе, работавший под ником Spiderman.
После ареста он признался, что атаковал либерийского провайдера по заказу его конкурента. Кайе использовал открытый код вируса Mirai и превратил его в крупнейший в мир ботнет. Затем вирус «вышел из-под контроля» и атаковал европейские серверы. Дэниела судили в Германии, где он отделался условным сроком, и в Великобритании, где вместо 10 лет он получил 32 месяца тюрьмы. Издание TheБабель пересказывает большой материал Bloomberg о том, как Дэниел Кайе стал самым разыскиваемым хакером в мире, но его причастность к большинству преступлений не смогли доказать.
В октябре 2016 года на Либерию, одну из беднейших стран мира, началась хакерская атака. Более полумиллиона камер наблюдения по всему миру пытались подключиться к горстке серверов местного оператора мобильной связи Lonestar Cell MTN. Сеть Lonestar рухнула от перегрузки — почти половина страны осталась без интернета, включая банки и больницы.
Технический термин для такого рода атак — распределенный отказ в обслуживании, или DDoS. Грубая, но эффективная DDoS-атака использует целую армию машин, называемых ботнетом, чтобы одновременно подключиться к одной точке в сети. Ботнет, атаковавший Либерию, был самым большим за всю историю интернета. Большинство таких атак длятся всего несколько минут, но в случае с Lonestar это затянулось на несколько дней. Специалисты не смогли установить причину атаки, но предположили, что хакеры испытывали свои возможности для чего-то большего, возможно даже для кибервойны.
В конце ноября того же года гигантский ботнет атаковал серверы в Европе. Пострадали немецкий провайдер Deutsche Telekom, французский OVH и компания Dyn, которая предоставляет свои серверы Twitter, Amazon, Tumblr, Reddit, Spotify и Netflix. Deutsche Telekom спешно выпустил обновление для своих устройств и сервисов. Последствия атаки устраняли несколько дней.
В январе 2017 года DDoS-атака заблокировала работу сайтов двух крупнейших банков Великобритании — Lloyds и Barclays. Учитывая масштабы поражения, некоторые специалисты по кибербезопасности предположили, что за атаками стоят Россия или Китай. Тогда за расследование взялись спецслужбы Британии, Германии и США. Они вычислили имя пользователя, по нему нашли адрес электронной почты, на который была зарегистрирована учетная запись в Skype. Она привела к странице Facebook, принадлежащей Дэниелу Кайе — 29-летнему подданному Великобритании, который называл себя независимым экспертом по безопасности.
Утром 22 февраля 2017 года Кайе арестовали в лондонском аэропорту, когда он собирался улететь на Кипр. При обыске у него нашли десять тысяч долларов наличными. У Кайе тяжелая форма диабета, и пока его допрашивали в участке, он потерял сознание. Его под охраной отправили в больницу. Кайе оказался не кремлевским шпионом и не руководителем глобальной организации кибертеррористов, а обычным наемником.
Дэниел Кайе родился в Великобритании, но после развода родителей в шесть лет вместе с матерью переехал в Израиль. Подростком он научился кодить и под псевдонимом spy[d]ir стал зависать на израильских форумах, где молодежь хвасталась своими хакерским подвигами. В течение 2000-х он взламывал сайты разных компаний по всему Ближнему Востоку, оставляя надпись Hacked By spy[D]ir! LOL или звезду Давида. К началу 2010-х он окончил среднюю школу, но не стал поступать в университет, а устроился внештатным программистом.
Дэниел несколько раз пытался устроиться на работу в офис, однако провалил все собеседования. Основатель Высшей школы кибербезопасности HackerU Ави Вейссман, который пытался его нанять, вспоминает, что в реальной жизни Кайе был «неуклюжим, косоглазым тихоней, который, казалось, что-то скрывает». После этого Дэниел работал только удаленно и продолжал свои хакерские похождения. В 2012 году им заинтересовалась израильская полиция. Его допросили, но отпустили, не предъявив обвинений. Тогда он переехал в Великобританию вместе со своей девушкой, чтобы «начать новую жизнь».
В Лондоне Дэниэл несколько лет перебивался случайными заработками, пока в 2014 году с ним не связался Авишай Марцьяно. Это был израильский бизнесмен, исполнительный директор Cellcom — второго по величине провайдера Либерии. Главным конкурентом Cellcom был Lonestar, и между ними уже более десяти лет шла «беспощадная война».
Сначала Кайе занимался безопасностью систем дочерней компании Cellcom в соседней Гвинее. Затем Марцьяно попросил взломать сеть Lonestar, чтобы найти доказательства взяток или других фактов коррупции. Дэниэл не нашел компромата, но зато скачал клиентскую базу Lonestar. В 2015 году Кайе и Марцьяно обсуждали DDoS-атаку на серверы Lonestar, чтобы замедлить их работу и переманить раздраженных клиентов. К тому времени Дэниэл уже зарабатывал столько, что решил вместе с девушкой переехать на Кипр. Там он снял дом с бассейном и видом на море.
Для DDoS-атаки на Lonestar Кайе использовал вредоносную программу Mirai. Ее разработали американские студенты и выложили код на хакерских форумах. Главная особенность программы — она могла полуавтономно, то есть без участия человека, искать и заражать веб-камеры, беспроводные маршрутизаторы и другие дешевые и плохо защищенные устройства. Кайе подправил код: настроил на камеры наблюдения китайского производства и заблокировал доступ извне к своему ботнету. Он получил доступ к более чем пяти миллионам камер по всему миру. В итоге атака без проблем обвалила серверы Lonestar. За свою работу Дэниел получал десять тысяч долларов в месяц.
Затем вирус вышел из-под контроля. Теперь он атаковал устройства уже в Европе, пытаясь заставить их загрузить вредоносную программу, но вместо того чтобы присоединиться к ботнету, устройства просто отключались. Кайе испугался — в отличие от Либерии в Европе наказывали за киберпреступления. Тогда он выложил свой код Mirai, но не бесплатно, а в обмен на биткоины на сумму от двух до двадцати тысяч долларов. Вскоре после этого начались атаки на британские банки.
В конце февраля Кайе прилетел из Кипра в Лондон, чтобы встретиться с Марцьяно и забрать очередные десять тысяч долларов. С этими деньгами его и арестовали в аэропорту Лондона. Когда Дэниел очнулся в больнице, он отрицал причастность к кибератакам. Через неделю его экстрадировали в Германию. Там криптографы взломали его смартфон и нашли переписку с друзьями-хакерами и Марцьяно. Он признал только причастность к атаке на Либерию, а инцидент с серверами Deutsche Telekom назвал несчастным случаем. В итоге в Германии Кайе получил только условный срок.
Но этим дело не закончилось. Дэниэла отправили обратно в Британию, где его ждал новый судебный процесс — его обвиняли по 12 пунктам, включая шантаж и отмывание денег. Прокурор доказывал, что именно Кайе стоит за пользователями с никами BestBuy, Popopret и Spiderman, причастными к атакам на Либерию, Германию и Британию. Максимальный срок по этим статьям — десять лет. Дэниэл признал только ник Spiderman и получил 32 месяца тюрьмы. Поскольку срок считается с момента его ареста в феврале 2017 года, то Кайе выйдет на свободу в начале 2020-го.
Дэниэл отбыл часть наказания в нескольких тюрьмах Лондона. Недавно его перевели в тюрьму строгого режима «Белмарш», где содержат насильников, убийц и террористов. Здесь он работает на тюремной кухне и старается избегать других заключенных. Многие считают приговор слишком мягким. Согласно расследованию журналиста Брайана Кребса, пользователи с ником BestBuy и Popopret продавали на хакерских форумах вирус GovRAT для взлома правительственных учреждений США.
Что касается Марцьяно, то после ареста Кайе в 2017 году он уволился из компании Cellcom и исчез. Его бывшая жена, которая живет в Израиле, понятия не имеет, куда он пропал.