80 000 учёток, 8 бойцов. Остальные — массовка для устрашения. Вот как устроены хакерские «армии»

Специалисты по наступательным операциям в киберсреде — это инженеры и аналитики, которые разрабатывают и применяют техники проникновения в чужие сети: ищут уязвимости, пишут и адаптируют эксплойты, настраивают инфраструктуру для доступа, проводят целевые атаки и поддерживают присутствие в системах противника. Такие команды нужны государственным структурам и негосударственным объединениям для разведки, саботажа, кражи данных и подготовки технической базы под более широкие кампании. Требования к уровню подготовки здесь заметно выше, чем в задачах защиты: нужна методичная работа с низкоуровневыми механизмами, глубокое понимание протоколов, системной архитектуры и современных средств обнаружения.

Даже при росте мировых ИБ-сообществ и появлении организованных учебных «линеек» в ряде стран число действительно сильных практиков остаётся небольшим. Китайская военная мысль фиксировала это задолго до сегодняшнего дня: в ключевых докладах подчёркивалось, что в киберпространстве не срабатывает логика «массовой армии», а сложные операции тянут лишь небольшой, очень квалифицированный круг.

История китайских «красных» хакерских объединений конца 1990-х и 2000-х хорошо показывает разрыв между широкой аудиторией и реальными исполнителями. Площадки вроде Green Army, Honker Union of China или China Eagle Union демонстрировали впечатляющую статистику регистрации — тысячи и десятки тысяч аккаунтов. Однако оперативную деятельность вели компактные команды, тогда как большинство пользователей ограничивалось обсуждениями на форумах и чтением материалов.

Почти везде прослеживалось разделение на два слоя. Костяк координировал акции, занимался техникой и организацией, а «внешний круг» в основном вёл дискуссии и следил за новостями. В одних коллективах границы фиксировались прямо на сайте (официальные участники отдельно от аудитории площадки), в других различали «основных» и «волонтёров». Внутри ключевой команды роли распределялись не только по линии взлома: нужны были администраторы ресурсов, редакторы, переводчики, менеджеры по взаимодействию и люди, отвечающие за финансовые вопросы и логистику.

Цифры из архивов и публикаций дают показательные соотношения. В Green Army при ориентировочно трёх тысячах зарегистрированных в 1997–2000 годах ядро насчитывало около сорока человек. В Honker Union часто называли восемьдесят тысяч аккаунтов, но независимые источники описывали единичные «стержневые» фигуры: оценки колебались от пяти–шести до нескольких человек, реально тянувших техническую часть и организацию. В China Eagle Union в начале 2005-го говорили примерно о пятидесяти ключевых людях при более чем 113 тысячах регистраций к середине 2007 года.

Меньшие по масштабу коллективы демонстрировали ту же структуру. 0x557 в октябре 2004-го указывал одиннадцать «ядровых» ников; по фото, опубликованным в 2018 году, состав мог доходить до двадцати, при этом форум как отдельная площадка не обнаруживался. В NCHP в 2005-м перечисляли десять основных персон. XFocus в разные годы с 2004 по 2012 отмечал до восемнадцати «ключевых» и сообщал о пятидесяти тысячах учётных записей к сентябрю 2012-го. EvilOctal к 2010-му держал тридцать один «костяк» при 9562 зарегистрированных ещё в начале 2007 года. У Ph4nt0m Security Team в 2004–2009 годах основной состав менялся в диапазоне 11–20, а пик «внешней» аудитории пришёлся на октябрь 2006-го — около 6900. Если суммировать оценки по восьми рассматриваемым группам, получаем примерно двести человек, на которых, по сути, держалась практическая работа.

Низкий порог входа для широкой аудитории объясняет дисбаланс. Во многих случаях хватало e-mail, без проверки личности и демонстрации навыков. Люди приходили из любопытства и ради самообучения, значительная доля оставалась пассивной. Обсуждения модерировались технически грамотными кураторами, которые задавали тон и фильтровали материалы. При этом оценить реальный вклад «внешнего круга» по открытым признакам сложно: активность шла волнами, многие ограничивались чтением.

Качество подготовки тоже заметно различалось. Публикации середины 2000-х отмечали, что доступные «наборы» инструментов упростили старт для новичков: появлялись пользователи, которые не разбирались в сетевых основах и эксплуатировали готовые скрипты. Аналитические заметки тех лет прямо указывали на преобладание поверхностной активности: рассылки, примитивные атаки, эксплуатация устаревших приёмов. Медийная статистика при этом создаёт завышенное представление о масштабе.

Попадание в основной состав требовало совсем другого уровня. Где-то существовали формальные заявки с требованиями к портфолио, где-то работала негласная рекомендационная система. Даже в ключевой команде далеко не все занимались «взломом»: кто-то поддерживал сайты, кто-то переводил тексты, кто-то собирал и редактировал статьи, кто-то тянул координацию мероприятий. Технические специалисты оставались самой влиятельной частью, потому что без их инструментов и методик операции невозможны.

Дефицит сильных практиков объяснялся не только редкостью таланта. У сообществ не было устойчивых программ выращивания кадров и объективных методик оценки: ресурсы ограничивали менторство и верификацию навыков, поэтому часто ориентировались на публичные работы и личные контакты. Руководители в открытых обращениях признавали нехватку «рук» в техблоке; в отдельных кейсах техническую опору реально обеспечивали считанные люди. В другом известном примере лидер называл диапазон 30–50 для «реального ядра» и отмечал, что нет времени и сил, чтобы системно проверять компетенции всех, кто числится на сайте.

Основная мысль проста и хорошо подтверждается материалом из архивов. Большое число регистраций на площадках не означает наличие аналогичного количества людей, способных вести сложные наступательные операции : разработку и адаптацию эксплойтов, подготовку инфраструктуры, скрытное проникновение и удержание доступа. Практическая работа держалась на небольших, сыгранных командах с высоким уровнем подготовки, и даже при попытках выстроить «конвейер» обучения верхняя часть пирамиды растёт медленно. Именно эти люди определяли реальную силу групп, а не счётчик на главной странице форума .