Какие хакерские группировки используют тактику «водопоя», заражая не сайты жертвы, а те, на которые она сама любит заглядывать? Чем методы группировок, связанных с ФСБ, отличаются от команд, близких к ГРУ? Могут ли хакеры, работающие на разные ведомства, обмениваться секретами? Сколько они зарабатывают? Ответы — в расследовании Daily Storm про «Степь гризли».
Накануне президентских выборов в США в 2016 году, когда кресло в Овальном кабинете Белого дома получил республиканец Дональд Трамп, его конкуренты из Демократической партии США подверглись атакам российских хакеров. Взломщики смогли получить доступ к переписке Хиллари Клинтон и передали собранный компромат администраторам сайта WikiLeaks.
Неизвестно, как сильно повлиял на результаты голосования этот «слив», но для России хакерский кейс обернулся испорченными отношениями с новой администрацией в Вашингтоне и бесконечным расследованием о вмешательстве в американские выборы.
В ходе него выяснилось, что кандидату от демократов пыталась противостоять, и не одна, а две независимые друг от друга хакерские группировки. И если первая, которую расследователи связывали с ФСБ, действовала более тонко и аккуратно, то вторая, предположительно подконтрольная ГРУ, работала нахально, не слишком старательно маскируясь и не убирая за собой следы.
Триумфатор тех событий президент Дональд Трамп в 2018 году создал Агентство кибербезопасности (CISA). На официальной странице ведомства прямо обозначены три страны, откуда исходят киберугрозы для США: Россия, Китай и Северная Корея.
Для хакерских группировок, связанных с Москвой, американские чиновники даже придумали специальный термин: «Степь гризли».
Daily Storm опросил сотрудников российских спецслужб и участников хакерских группировок (и те, и другие согласились общаться только на условиях анонимности). С помощью этой информации, а также благодаря сведениям из докладов, посвященных хакерской активности, мы смогли нарисовать карту «Степи гризли» и рассказать о том, с какими силовыми ведомствами связаны самые известные хакерские группировки.
Группировки, связанные с ФСБ
Primitive Bear
Альтернативные названия: Gamaredon
Считается, что прогосударственная группировка Primitive Bear появилась в середине 2013 года. Тогда хакеры начали спецоперацию под названием «Армагеддон», направленную на сбор сведений о деятельности политических сил на Украине. По времени эти события совпали с ратификацией договора между ЕС и Киевом об упрощении визового режима. Кибервзломщики использовали примитивные (отсюда и название Primitive Bear) методы взлома.
Медведей в названия группировок включают тоже не сами хакеры, а эксперты по кибербезопасности: например, китайские команды обозначают как Panda, а иранские — Kitten («котята», в честь персидских кошек).
Хакеры рассылали украинским чиновникам фишинговые письма, содержащие вирус или троян (атака типа spear phishing). Чтобы заставить получателя скачать зараженный файл или перейти по вредоносной ссылке, хакеры использовали украденные ранее секретные или компрометирующие документы, которые могли заинтересовать жертву.
Спецоперацию группировки Primitive Bear окрестили «Армагеддоном», после того как специалисты компании Looking Glass, работающей в сфере кибербезопасности, изучили метаданные зараженных писем: выяснилось, что хакеры модифицировали некоторые документы Word под никнеймом Armageddon. В одном из таких документов исследователи обнаружили неправильное написание этого слова (Armagedon), таким образом группировка получила свое второе, ироничное наименование: Gamaredon.
Цели Primitive Bear до и после революции на Украине в 2014 году существенно отличались: если до «майдана» жертвами хакеров становились преимущественно оппозиционные Януковичу журналисты и политики, то после революции акцент сместился на новое правительство, армию и правоохранительные органы.
Группа продолжает действовать и по сей день, существенно расширив свой функционал: например, они разработали собственный инструмент Pterodo, позволяющий не только воровать информацию с компьютера жертвы, но и распространять «заразу» дальше через съемные флеш-накопители. Весной 2020 года Primitive Bear начали активную рассылку фишинговых писем, якобы содержащих актуальную информацию о COVID-19.
В отличие от других проправительственных хакерских групп участники Primitive Bear прилагают минимальные усилия для того, чтобы остаться незамеченными. Их основная задача — как можно быстрее распространиться в сети жертвы и похитить максимальное количество данных. Инструментарий группы позволяет инфицировать компьютеры на базе Windows.
СБУ считает, что за группировкой Primitive Bear стоят сотрудники Центра информационной безопасности ФСБ (ЦИБ ФСБ, 18-й центр) и Центра радиоэлектронной разведки на средствах связи ФСБ (16-й центр). Эксперты из Lookingglass Cyber (подрядчик правительства США в сфере кибербезопасности) подтвердили выводы СБУ относительно принадлежности группировки к двум центрам ФСБ. Они также обратили внимание, что хакеры проявляли активности в рабочие часы по московскому времени (с 09:00 до 17:00) и использовали кириллицу в коде.
Venomous Bear
Альтернативные названия: Turla, Snake, Krypton, Uroboros (возможно также Moonlight Maze)
Многие компании, работающие в сфере информационной безопасности, полагают, что группировка Turla зародилась в 2004 году. Однако эксперты «Лаборатории Касперского» совместно с исследователями из Королевского колледжа Лондона пришли к выводу, что Turla может быть реинкарнацией культовой пророссийской группировки 90-х — Moonlight Maze. С того времени мог измениться состав группы, но «боевой» инструментарий Turla базируется на наработках вероятных предшественников.
Moonlight Maze были первыми российскими кибершпионами, работавшими на государство. В 1996 году они выкрали из военных и правительственных сетей США «огромное количество» документов, которые могли содержать секретные военно-морские коды и информацию о системах управления ракетами. Жертвами атаки стали несколько военных баз, Министерство энергетики, NASA и Пентагон.
— Мы находимся в разгаре кибервойны, — говорил своим коллегам Джон Хамре, на тот момент — заместитель министра обороны США.
В следующий раз Turla прогремела на весь мир в 2014 году: тогда им удалось распространить свой компьютерный вирус более чем в 45 странах. Исследователи назвали эту кибератаку Epic Turla. Жертвами стали несколько сотен компьютеров правительств и министерств, вирус внедрялся в устройства вооруженных сил и иностранных посольств. От кибератаки Turla пострадали не только западные страны (США, Германия, Нидерланды), но и ближайшие соседи (Казахстан, Армения, Украина). Цель атаки: хищение конфиденциальных документов.
В своих фишинговых письмах-приманках Turla использовала кликбейтные названия инфицированных файлов: «Позиции НАТО в Сирии», «Женевская конвенция», «Протокол безопасности». Когда хакеры проникали в почтовый ящик жертвы, они искали там письма по ключевым словам «НАТО» и «Энергетический диалог ЕС».
Помимо атак типа spear phishing (рассылки фишинговых писем), группировка использует стратегию watering hole. Название стратегии («водопой») взято из мира дикой природы: зачастую хищники выслеживают свою добычу у берега реки или озера. Так поступали и члены Turla: они отслеживали сайты, которые пользовались популярностью у потенциальной жертвы, а затем взламывали их. Разместив вирус на сайте, они выжидали, когда «зловред» попадет на компьютер цели.
Turla считается одной из наиболее продвинутых и технически подкованных группировок. Они применяют собственное кибероружие, постоянно его совершенствуя. Turla использует сложные методики прикрытия атак: например, в 2017 году они взломали системы хакерской группировки OilRig и воспользовались ими для кибератаки на британское научное учреждение.
Служба внешней разведки Эстонии утверждает, что члены группировки Turla — сотрудники ФСБ, а базируется она в войсковой части 71330. Часть входит в состав 16-го центра ФСБ (радиоэлектронная разведка на средствах связи). Вадим Гребенников в своей книге «Радиоразведка России. Перехват информации» писал, что часть 71330 является «основной структурой для операций в интернете за пределами России, которая отвечает за перехват, дешифровку и обработку электронных сообщений». Эта войсковая часть «засветилась» в СМИ, после того как оппозиционные российской власти хакеры взломали крупного подрядчика ФСБ: тогда выяснилось, что часть 71330 была заказчиком системы для «деанонимизации пользователей TOR».
Cozy Bear
Альтернативные названия: APT 29, Dukes, Yttrium
Согласно докладу CISA, хакеры из Cozy Bear были первой пророссийской группировкой, которой удалось внедриться в систему Национального комитета Демократической партии США. Это произошло летом 2015 года, более чем за год до публикации компромата на Хиллари Клинтон и президентских выборов. Тогда они разослали более тысячи таргетированных фишинговых писем, среди получателей были высокопоставленные члены правительства. Ссылки в письмах вели на инфицированные сайты, зарегистрированные хакерами на легальные домены американских организаций и учебных заведений.
В том же году они отметились «изощренной кибератакой» на одну из e-mail-систем Пентагона, затронувшей более 4000 военнослужащих США. В 2020 году Cozy Bear переориентировались на медицинский кибершпионаж: эксперты Национального центра кибербезопасности Великобритании утверждают, что Cozy Bear атаковали организации и институты, занимающиеся разработкой вакцины от COVID-19 в Канаде, США и Великобритании. Цель — кибершпионаж: хакеры искали информацию о результатах исследований. Для атак на исследовательские институты хакеры использовали собственное кибероружие (WellMess и WellMail). «Медведи» сканировали внешние IP-адреса организаций и заражали те, в которых были выявлены уязвимости.
Cozy Bear, которых еще называют Dukes («Князья»), действуют с 2008 года. Финская компания F-Secure описывает их как «хорошо вооруженную, в высшей степени преданную своему делу и организованную группу киберразведчиков». Хакеров из этой группировки приписывают к сотрудникам ФСБ. Служба внешней разведки Эстонии утверждает, что «Князья» связаны не только с «чекистами», но и со Службой внешней разведки России (СВР). Собеседник Daily Storm из российских спецслужб допускает такую возможность:
— Сотрудникам ФСБ и ГРУ запрещено обмениваться кусками кода или программами друг с другом. С СВР, в теории, обмениваться можно, но я про такое ни разу не слышал.
Группировки, связанные с ГРУ
Fancy Bear
Альтернативные названия: APT 28, Pawn Storm, Tsar Team, Strontium
«Модный медведь» — самая известная прогосударственная группировка.
Считается, что именно они весной 2016 года проникли в систему Национального комитета Демократической партии США (вторые после Cozy Bear) и выкрали информацию с личного почтового сервера Хиллари Клинтон. Во время атаки Fancy Bear использовали собственное кибероружие X-Agent.
Для рассылки фишинговых писем сотрудникам штаба Клинтон Fancy Bear использовали e-mail-адрес, на одну букву отличающийся от адреса одного из участников кампании Клинтон (тип атаки: тайпсквоттинг). В письмах содержалась фейковая ссылка на Excel документ с «актуальным рейтингом Клинтон», а на деле, кликнув по ссылке, сотрудник штаба заражал свой компьютер.
Для сокрытия следов взлома хакеры из Fancy Bear создали фейковую виртуальную личность — хакера с ником Guccifer 2.0 — и разработали для него фейковый блог. Виртуал Гуччифер 2.0 является калькой с реального румынского хакера с ником Гуччифер (слияние слов «Гуччи» и «Люцифер»), который прославился взломом электронной почты сестры Джорджа Буша — младшего. В докладе спецпрокурора Роберта Мюллера, расследовавшего «Российское вмешательство», отмечается, что после того, как Гуччифера 2.0 обвинили в работе на российские спецслужбы, с серверов войсковой части 74455 «гуглили» правописание слова illuminati и английский перевод фразы «несколько сотен листов». Спустя несколько часов в блоге Гуччифера 2.0 появилось заявление, использующее эти фразы, в котором «хакер-одиночка» отрицал свою связь с Россией.
Войсковая часть 74455 является подразделением ГРУ, специализация которого — боевые кибероперации. Ее прозвали «Башней ГРУ», поскольку она базируется на территории бизнес-центра. Обвинения в сговоре с целью вмешательства в выборы США были выдвинуты против трех офицеров этой части.
Еще одна известная кибератака Fancy Bear, ответственность за которую они уже не скрывали, произошла в сентябре 2016 года. Тогда они взломали Всемирное антидопинговое агентство (WADA). За месяц до взлома российских спортсменов отстранили от участия в Олимпиаде в Рио-де-Жанейро за употребление допинга.
Тогда «Медведи» запустили собственный сайт, где опубликовали украденные с серверов WADA документы. Сейчас на сайте стоит «заглушка» ФБР, но он доступен в веб-архиве. Дизайн веб-ресурса состоял из карикатурных вариаций на «медвежью тему»: белый медведь в маске Гая Фокса, медведь в форме американского копа и крадущийся гризли. Из опубликованных на сайте документов следовало, что с разрешения WADA допинг принимали известные американские спортсмены.
В 2020 году Fancy Bear вновь обвиняют во вмешательстве в американские выборы: в сентябре об этом заявила корпорация Microsoft. Им приписывается атака на более чем 200 политических организаций. 19 октября Департамент юстиции США выдвинул новые обвинения против ГРУ, в частности — создание кибероружия Olympic Destroyer, которое вывело из строя тысячи компьютеров, использовавшихся для обеспечения зимней Олимпиады 2018 года в Пхенчхане. Эксперты «Лаборатории Касперского» обнаружили ряд улик, указывающих на то, что авторы вируса — «Модные медведи».
Американские спецслужбы считают, что группировка, созданная в 2004 году, состоит из военнослужащих двух войсковых частей ГРУ: упомянутой выше части 74455 и части 26165. Последняя является 85-м Главным центром специальной службы ГРУ, специализирующимся на криптографии. Обвинения в сговоре с целью вмешательства в выборы США были выдвинуты против девяти офицеров этой части.
Спецпрокурор Мюллер называет эту часть киберподразделением ГРУ, «предназначенным для нанесения ударов по военным, политическим и правительственным организациям». В СМИ войсковая часть 26165 «засветилась» и в другом громком киберинциденте: взломе переписки Эммануэля Макрона и его штаба.
Voodoo Bear
Альтернативные названия: BlackEnergy, Sandworm Team
Voodoo Bear существует с 2009 года и известна прежде всего созданием легендарного вируса-шифровальщика NotPetya, о котором написаны целые книги (например, Sandworm Энди Гринберга). Именно Voodoo Bear фигурируют в новом обвинительном заключении американского Минюста. В июне 2017 года их вирус обездвижил компании по всему миру, заразив 12,5 тысячи компьютеров в 65 странах. Глава центра реагирования Cisco Крейг Уильямс говорил про NotPetya:
«В ту секунду, когда вы видите его, ваш дата-центр уже пропал».
В США потери от кибератаки оценили в рекордные 10 миллиардов долларов (для сравнения, предыдущий разрушительный вирус WannaCry нанес ущерб в четыре-восемь миллиардов долларов), некоторые частные компании понесли рекордные убытки: Merc (США) — 870 миллионов долларов, Maersk (Дания) — 300 миллионов. Больше всего от NotPetya пострадала Украина: вирус поразил около 10% правительственных компьютеров, 22 банка, шесть энергетических компаний, шесть госпиталей и два аэропорта.
Вирус NotPetya является наследником вируса-вымогателя Petya, обнаруженного в 2016 году. Такие программы шифруют файлы, хранящиеся на жестком диске компьютера-жертвы, в результате все файлы становятся недоступны. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам. Целью вируса Petya было получение денег: за расшифровку жертва должна была отправить разработчикам около 380 долларов (тогда — 0,9 биткойна). Цель NotPetya — исключительно нанесение вреда, поскольку «малварь» необратимо шифровал загрузочный сектор компьютера. Восстановить содержимое было невозможно, выплаты ни к чему не приводили. NotPetya только маскируется под вирус-вымогатель, а на деле является настоящим кибероружием.
Voodoo Bear также известны разработкой еще одного кибероружия — BlackEnergy. Считается, что этот инструмент использовался для атаки на энергетический сектор Украины в 2015 году, когда более 225 тысяч человек остались без электричества. Хакеры распространяли вирус с помощью фишинговых писем с инфицированными Word-документами. Примечательно, что одним из таких документов была брошюра «Правого сектора» — известной националистической партии Украины.
19 октября 2020 года американский минюст обвинил шестерых офицеров ГРУ в создании вируса NotPetya. В тексте обвинения указано, что офицеры являются военнослужащими войсковой части 74455 («Башня ГРУ») и, судя по всему, участниками группировки Voodoo Bear.
Всего США выдвинули обвинения против девяти офицеров войсковой части 26165 (за атаки группировки Fancy Bear) и девяти офицеров войсковой части 74455 (троих — за атаки Fancy Bear, шестерых — за деятельность Voodoo Bear).
Принято считать, что у Voodoo Bear есть две группировки-сателлита, с которыми они делятся своим киберарсеналом: GreyEnergy и TeleBots. GreyEnergy фокусируется на энергетическом секторе и транспортной инфраструктуре Польши и Украины. Цели TeleBots — финансовый сектор и бизнес-среда Украины. Во время одной из атак они использовали бэкдор TeleBot (отсюда и название группы) и распространяли вирус, который перезаписывал определенные файлы и демонстрировал изображение из сериала про хакеров «Мистер Робот» с надписью We are fsociety. Join us.
Energetic Bear
Альтернативные названия: Dragonfly, Electrum
В 2015 году, незадолго до Рождества, в Ивано-Франковской области Украины были зафиксированы перебои с подачей электроэнергии. Оператор одного из центров управления энергетическими подстанциями заметил, что курсор на его мониторе начал самостоятельно двигаться в сторону кнопки, отвечающей за рубильник на одной из подстанций, и выключил его. В это время в call-центре энергетической компании, отвечающей за область, произошел технический сбой, вызванный шквалом звонков. Это была атака группировки кибершпионов Dragonfly: помимо внедрения в энергетическую сеть хакеры устроили массовый спам-прозвон техподдержки.
Изначально ориентированные на оборонные и авиационные компании, в начале 2013 года хакеры сместили вектор атак на энергетический сектор. Жертвой их активности в основном была Украина, но также были замеченыатаки на энергетические компании Великобритании и США и на вьетнамских производителей бурильных установок.
Министерство внутренней безопасности США приписывает хакеров из Dragonfly к неустановленной войсковой части ГРУ, однако до сих пор не было предоставлено подробностей. Хакер, знакомый с деятельностью российских группировок, в разговоре с Daily Storm выразил сомнения в «высокой степени точности» такой атрибуции:
— Знаете, как они (спецслужбы и ИБ-компании. — Примеч. Daily Storm) могут группы детектить? Если в вирусе находят кусок кода, который был на «ру» форуме, то сразу записывают его создателей в русскую группировку. Комменты в коде на китайском написаны — записывают в китайскую, или если код скомпилирован на компе, где локальный язык — хинди, то в индийскую.
Считается, что у Dragonfly есть одна группировка-сателлит — Berserk Bear (Dragonfly 2.0), с которой они активно делятся своими программными наработками. Они известны своими атаками на энергетические компании США и Германии.
Не атрибутированные группировки
Киберберкут
Альтернативные названия: Cyber Berkut, Kiberberkut
После революции на Украине в 2014 году милицейский спецназ «Беркут» был расформирован за «полную дискредитацию перед украинским народом». Одновременно с этими событиями в стране начала действовать пророссийская группировка «Киберберкут». Ее члены заявляют, что «помогают Украине сохранить независимось от военной агрессии Запада, готового защитить правительство неофашистов».
Первые атаки группировки были зафиксированы в середине марта 2014 года, накануне референдума о статусе Крыма. Атаке подверглись три веб-ресурса НАТО и несколько украинских госсайтов. А в мае 2014 года, накануне президентских выборов, хакеры атаковали ЦИК Украины. На сайте «Киберберкута» есть раздел «БеркутLeaks», где опубликованы утечки, якобы полученные группировкой в результате взломов. Например, там есть «вскрытая» переписка министра внутренних дел Украины Арсена Авакова, документы с данными о погибших украинских военных и персональные данные клиентов ПриватБанка.
Но самый известный взлом группировки произошел в феврале 2016 года. Он подробно описан в книге Даниила Туровского «Вторжение. Краткая история русских хакеров». Тогда хакеры из «Киберберкута» взломали электронную почту журналиста-расследователя Руслана Левиева, сотрудничающего с интернет-изданием Bellingcat. Это издание известно своими расследованиями об участии российских военных в конфликтах на Украине и разоблачительными материалами о Руслане Боширове и Александре Петрове, которых британские власти подозревают в отравлении Скрипалей.
С помощью взломанной почты хакеры получили доступ в панель администратора сайта Bellingcat и от имени Левиева разместили обращение:
«Bellingcat — это про-НАТО и проамериканская организация провокаторов, они врут и шпионят, проблемы других — их хлеб. Они мусорщики, а не расследователи».
Исследователи компании Threatconnect полагают, что хакеры из Fancy Bear могли делиться своей инфраструктурой (серверами и доменами) с группой «Киберберкут». Канадская лаборатория Citizen Lab отмечает, что у двух группировок схожая стилистика атак. Однако данных о том, что «Медведь» делился своими наработками кибероружия (например, кодом вируса) с «Беркутом» — нет. Поэтому мы причисляем ее к неатрибутированной пророссийской группировке.
Позиция России
Российские официальные лица неоднократно отвергали причастность правительственных и силовых структур к международным кибератакам. Впрочем, еще ни одно государство в мире не брало на себя ответственность за совершение кибератак. Президент России Владимир Путин считает, что хакеры — «люди свободные, как художники»:
«Если они настроены патриотически, они начинают вносить свою лепту, как они считают правильным, в борьбу с теми, кто плохо отзывается о России. Теоретически это возможно».
Путин также не исключает, что «кто-то специально выстраивает цепочку различных атак таким образом, чтобы источником этой атаки представить территорию Российской Федерации». Такие кейсы действительно встречаются: например, северокорейская хакерская группа Lazarus специально оставляла «русский след» в коде вредоносного ПО, которое использовалось для атаки на банки. Хакеры использовали русские слова, написанные на латинице: kliyent, ustanavlivat, vykhodit.
Особенности национальной вербовки
Будущих «боевых» государственных хакеров могут начинать «вести» с юного возраста. «Хакерские» НИИ зачастую сотрудничают с математическими лицеями и школами, а сотрудники силовых ведомств наведываются в специализированные школы, приглашая старшеклассников поступать в свои академии. Спецслужбы также внимательно следят за успехами в сфере кибербезопасности сотрудников НИИ и военнослужащих научных рот.
— Сотрудники спецслужб могут приехать в технический институт, «выцепить» талантливого парня-безопасника и пригласить его проехаться на машине, поговорить, — рассказывает Daily Storm хакер, знакомый с деятельностью группировок, работающих на государство. — Ничего такого, просто рассказывают о преимуществах работы на спецслужбы. Без принудиловки.
Существует распространенный миф, что основную массу «боевых» единиц составляют «блэкеры» (киберпреступники), которых поймали правоохранительные органы.
— Это заблуждение, — утверждает собеседник Daily Storm из российских спецслужб. — В начале 2010-х такое иногда практиковалось, но сейчас среди сотрудников «блэкеров» нет. Последним «блэкером» у нас, по слухам, (официально этого никто не признает) был Докучаев, который плохо кончил (в 2019 году сотрудник ФСБ Дмитрий Докучаев был приговорен к шести годам колонии по обвинению в госизмене. — Примеч. Daily Storm). Привлекать их в качестве внештатников — можно, но только на свой страх и риск и под редкие задачи, которые невозможно решить без их помощи.
Однако, по его словам, вопрос «использовать ли киберпреступников в работе» возникает у каждого спеца.
— Есть те, кто считает, что на войне все средства хороши, а кто-то — всегда против подобных приемов. Но официальная позиция высшего руководства: привлекать преступников нельзя. Мы не можем их контролировать: их мотивация — поскорее освободиться, плюс — меркантильные цели (денег где-то украсть, например). Рано или поздно они начнут творить отсебятину, в которой будут обвинять нашу страну. Или сами перевербуют кого-то из спецов — это будет как сращивание оперов с ОПГ в 90-е. Тут вопрос скорее не этики, а чисто прагматические соображения: если мы будем использовать «блэков», то и противник тоже будет. Таким образом мы создадим еще одну силу, которая в итоге восстанет против всех нас. Так было с талибами, так в итоге случилось у американцев с ИГИЛ.
Как признался собеседник Daily Storm, обработка потенциальных сотрудников происходит по американской схеме SMICE: «секс, деньги, идеология, компромат, эго», по убывающей. В России приоритет обратный: секс — крайне редкий мотив сотрудничества.
— У каждого человека есть свои мотивы. На самом деле, много тех, кто работает из патриотических соображений, но это тоже в каком-то смысле относится к «эго».
Хакер, знакомый с деятельностью прогосударственных группировок, рассказал Daily Storm, что зарплата хакеров, задействованных в атаках на иностранные государства, может превышать 200 тысяч рублей в месяц. Для сравнения, зарплата инженера по информационной безопасности в НИИ «Квант» начинается от 80 тысяч рублей, а зарплата главного инженера по ИБ в НТЦ «Вулкан», сотрудничающего с ФСБ, составляет 120-200 тысяч рублей.
— А вообще, — продолжал хакер, — принимая решение идти работать на государство, все понимают, какие ограничения это повлечет. Проверки на полиграфе, всех родственников ведут под перепись. Но есть и своеобразные «плюшки» — офицерское звание, «корочка». Кто-то идет, как ни странно, из-за любви к Родине. И я сейчас не шучу. Но в основном туда идут за адреналином, за ощущением причастности к мегадвижухе — событиям мирового масштаба. В работе на коммерческие ИБ-структуры такого ощущения нет. Оказаться посреди «битвы» здесь и сейчас — вот это ощущение непередаваемо.
Медвежьи угодья: как связаны пророссийские хакеры со спецслужбами РФ
Расследование Даниила Беловодьева — о том, на кого работают российские хакеры и как спецслужбы вербуют в кибервойска.