История армянского хакерства, часть IV. Герой или убийца: кибервойна вокруг одного преступления

То, что за годы виртуального противостояния хакерские группировки в Армении и Азербайджане росли качественно и количественно, говорило о том, что рано или поздно ружье выстрелит. И оно действительно выстрелило. Произошло это в сентябре 2012 года – тогда вспыхнула, пожалуй, самая серьезная кибервойна между Арменией и Азербайджаном. Поводом для нее послужила история, начавшаяся много лет назад.

В 2004 году в Будапеште в рамках программы НАТО «Партнерство во имя мира» проходили обучение военные из разных стран, в том числе постсоветских. Среди военнослужащих были офицеры Рамиль Сафаров из Азербайджана и Гурген Маргарян из Армении. В ночь на 19 февраля Сафаров зашел в комнату Маргаряна. Тот спал. Сафаров нанес спящему 16 ударов топором. Маргарян от полученных ранений скончался. Азербайджанский офицер был осужден на пожизненное заключение и отбывал срок в Венгрии.
Спустя восемь лет, 31 августа 2012 года, неожиданно для многих, убийца был экстрадирован в Азербайджан. В официальном объяснении говорилось, что его отправили на родину «для дальнейшего отбытия наказания». Однако в тот же день президент Ильхам Алиев помиловал Сафарова, повысил его в звании от старшего лейтенанта до майора и наградил квартирой. В азербайджанской прессе и обществе началась кампания по героизации военнослужащего.
Эта история вызвала резкую реакцию в Армении. Страна разорвала дипломатические отношения с Венгрией. Между Ереваном и Баку развернулась широкомасштабная информационная война. В нее были вовлечены армянские и азербайджанские СМИ, политические деятели и общественные организации – через все доступные медиаканалы началась пропагандистская война.
Сентябрьская кибервойна-2012
Возвращение и героизация Сафарова послужили детонатором и на киберполях – в Сети вспыхнуло новое противостояние, мощнее и организованнее прежних. Надо сказать, что серия кибератак армянских хакеров была одним из основных компонентов информационной войны. В основном атакам подвергались азербайджанские государственные и информационные площадки. Хакеры выбирали мишени основательно – они намеренно нападали на онлайн-платформы с символическим значением: под их прицелами были сайты президента, первой леди, министерства юстиции.
Скриншот с сайта президента Азербайджана president.az от 1 сентября 2012 года. Изображение размещено группой Armenian Cyber Army
Скриншот с сайта президента Азербайджана president.az от 1 сентября 2012 года. Изображение размещено группой Armenian Cyber Army
Не обделили вниманием армянские хакеры и основные новостные ресурсы противника – многие из них были выведены из строя. Атакованные киберактивистами ведущие азербайджанские СМИ в течение двух дней практически либо не работали, либо доступ к ним был сильно ограничен.
Скриншот страницы Facebook одного из самых посещаемых на тот период новостных сайтов Азербайджана 1news.az от 1 сентября 2012 года.
Скриншот страницы Facebook одного из самых посещаемых на тот период новостных сайтов Азербайджана 1news.az от 1 сентября 2012 года.
Серия кибератак этого периода отличалась от предыдущих тем, что была осуществлена совместными усилиями армянских хакеров – в ней участвовали сразу несколько группировок. Многие из игроков все предыдущие годы находились в тени, и вышли из нее лишь после героизации Сафарова. Одним из самых крупных акторов тогда была Armenian Cyber Army – она появилась на арене приблизительно за полгода до этого и сразу заявила о себе как о серьезном хакерском объединении (группа довольно активна и сейчас). Другие группировки, активные в сентябре 2012 года, наоборот, сегодня ушли в забытье – это, например, Deky Armenian Hackers и Anonym88.
Скриншот сайта министерства юстиции Азербайджана e-qanun.gov.az от 1 сентября 2012 года. Сайт был взломан хакером Konqy из группы A.S.A.L.A
Скриншот сайта министерства юстиции Азербайджана e-qanun.gov.az от 1 сентября 2012 года. Сайт был взломан хакером Konqy из группы A.S.A.L.A.
Око за око
Азербайджанские кибераскеры тоже не стояли в стороне. Примерно за год до этих событий, в ноябре 2011 года большинство действующих азербайджанских хакерских группировок скооперировались. Они объединились и создали консорциум Anti-Armenia. Цель этого объединения ясно отражает его название. К слову, Anti-Armenia до сих пор существует и довольно активно работает.
В принципе, самые первые взломы в этой истории были сделаны именно с азербайджанской стороны – еще 31 августа 2012 года, в день, когда Сафаров прибыл в Баку, были дефейснуты несколько сайтов в зоне .am. Но после сентябрьской эскалации сетевой войны, когда армянские хакеры взломали госсайты и новостные площадки противника, кибераскеры в отместку еще более активизировались и организовали атаки более масштабные. Тем не менее, государственные сайты им взломать не удалось – тремя годами ранее госсегмент Сети взяла под свой контроль Служба национальной безопасности Армении. Однако хакеры дефейснули несколько десятков других армянских сайтов – взломщики вывешивали на них скриншот указа о помиловании Рамиля Сафарова с сайта президента Азербайджана.
Скриншот с сайта благотворительного фонда, поддерживающего детские дома, manuk.am. Взломан хакером AsSert из группы Anti-Armenia. Скриншот от 31 августа 2012 года.
Скриншот с сайта благотворительного фонда, поддерживающего детские дома, manuk.am. Взломан хакером AsSert из группы Anti-Armenia. Скриншот от 31 августа 2012 года.
Армянские новостные сайты азербайджанским хакерам тогда оказались не по зубам. Тем временем, 1-2 сентября, пока скандал разгорался на международной арене, азербайджанские медийные площадки были фактически в дауне – от них на зарубежье уходили новости, отражающие армянскую позицию. Но уже 3-4 сентября азербайджанские хакеры нанесли ответный удар с помощью DDoS-атак. Они серьезно «положили» многие армянские медийные платформы. Пострадали также госсайты – они периодически уходили в даун и работали с натяжкой.
«Лаборатория Касперского»: Баку просил о помощи
В октябре 2013 года мне посчастливилось поговорить на эти темы с главным антивирусным экспертом «Лаборатории Касперского» Александром Гостевым. Он рассказал много интересного о сентябрьской кибервойне 2012 года:
«Я помню тот период – это был крупный инцидент, когда армянские хакеры атаковали азербайджанские сайты и получали ответные атаки. В тот момент из Армении к нам никто не обращался за помощью, а вот из Азербайджана такой запрос поступил. Сайт президента Ильхама Алиева подвергся DDoS-атаке, и нас попросили помочь. Буквально в течение нескольких часов мы обнаружили ботнет, с которого велась эта атака, перехватили доступ к центру управления и «перебросили» его на себя. Оказалось, что сервер управления находился в Германии и был зарегистрирован на гражданина Украины из Запорожья. Вероятно, это был тот самый человек, который принял заказ на проведение DDoS-атаки… Думаю, эти атаки не велись непосредственно ни армянскими, ни азербайджанскими хакерами. Они обращаются к неким киберпреступникам, к «ботоводам», которые живут в России, на Украине или, скажем, в Беларуси».
Обоюдные нападения в виртуальном пространстве продолжались еще несколько дней – сайты взламывались до 7-8 сентября. Постепенно DDoS атаки сошли на нет – армянские специалисты, тем временем, взялись минимизировать ущерб от кибернападений и довольно быстро справились. Вскоре хакеры из Армении и вовсе потеряли интерес и покинули киберарену, решив, что свое дело сделали.
Итог войны: формирование хакерского движения

Инцидент первой декады сентября 2012 года был не только крупнейшим столкновением между Арменией и Азербайджаном в киберпространстве – он стал ключевым для развития армянского хакерства. Этот период, пожалуй, можно назвать самой значимой вехой во всей истории армянского хакерского движения. Впервые разрозненные до того группировки поняли, насколько значимы и важны скоординированные действия. Еще одна отличительная особенность сентябрьской кибервойны в том, что хакерские атаки, которые вывели из строя ведущие азербайджанские СМИ,  впервые стали важной составляющей и серьезным подспорьем в информационной войне, которую вело государство на медийном и дипломатическом фронтах. Вероятнее всего, именно эти кибератаки и связанные с ними события в реале стали главным мотивирующим фактором. Этот период показал – армянское хакерское сообщество сформировалось как цельное комьюнити.