По словам экс-сотрудника компании Qrator Александра Вяри, он был приглашен в Софию на встречу, во время которой производители программного обеспечения якобы демонстрировали возможности системы: на пробу они вывели из строя сайты министерства обороны Украины и российского издания Slon.ru.
Как пишет «Медуза», Вяря считает, что его хотели нанять в качестве специалиста, управляющего этим ПО.
Вяря рассказал, что в феврале 2015 года гендиректору Qrator Александру Лямину позвонил Вартан Хачатуров, замдиректора департамента инфраструктурных проектов Минкомсвязи РФ и попросил кого-нибудь из сотрудников компании помочь с одним «щекотливым вопросом». Кроме Вяри помогать было некому — все разъехались по конференциям.
Хачатуров связался с Вярей и оставил номер телефона, на который нужно было отправить смс; Вяря сразу послал сообщение. Ближе к вечеру раздался звонок: звонил некий Василий Бровко, который сказал ему, что через пару дней необходимо слетать вместе с ним в столицу Болгарии — Софию, а документы оформит его помощница.
Вяря поискал в Сети информацию о Бровко и оказалось, что тот основал компанию «Апостол», которую Алексей Навальный весной 2013 года обвинял в том, что она с помощью ботов раскручивала соцсети «Аэрофлота».
В последнее время Бровко работал начальником департамента коммуникаций в «Ростехе» — госкорпорации, созданной для производства высокотехнологической продукции гражданского и военного назначения. Руководил ей Сергей Чемезов, близкий знакомый Владимира Путина.
Вяря предполагал, что от него хотят помощи по его профилю, то есть выбрать новую систему защиты от DDoS. Но удивился, что позвали в Болгарию — известные производители соответствующего программного обеспечения находятся в Израиле и Штатах.
5 февраля 2015 года он прилетел в Софию, где прошла встреча с Бровко и еще двумя людьми, которые представились сотрудниками местной компании Packets Teсhnologies.
В переговорной один из сотрудников Packets Technologies включил презентацию, а заодно рассказал о себе: работал в израильской армии, консультировал по сетевой безопасности крупнейшую интернет-компанию, участвовал в Black Hat (главная мировая конференция по информационной безопасности, на которую приезжают и представителиIT-корпораций, и хакеры).
После этого сотрудник болгарской компании, как утверждает Вяря, заявил: «Сейчас я вам представлю продукт для организации DDoS-атак». Названия у программного обеспечения не было. Сотрудник добавил, что «продукт» умеет организовывать DDoS-атаки на сетевом уровне. Такие атаки «забивают» ресурсы сервера паразитными пакетами, из-за чего система перестает принимать полезные пакеты трафика.
Система представляла собой «коробку» с ПО для DDoS-атак, установленную на одном из трафикообменников. Для нее была выделена специальная полоса с максимальной мощностью в 10 Гбит/секунду. Специалисты Packets Technologies добавили: можно легко увеличить трафик, установив еще одну «коробку» с ПО (в 2010 году атака именно такой силы, 10 Гбит/секунду, была совершена на серверы Wikileaks; в 2013-м мощность крупнейшей DDoS-атаки в истории интернета — голландский хостер Cyberbunker против компании Spamhaus — достигала 300 Гбит/секунду: по формулировке The New York Times, она «замедлила интернет»).
Сотрудники болгарской компании рассказали Вяре, что их система позволяет совершать «коктейльные», то есть смешанные по видам атаки — такие намного сложнее отражать.
Закончив с теоретической частью, сотрудник компании запустил VPN-соединение Tor-браузер, обеспечив себе анонимность (начало такой атаки отследить практически невозможно). Набрал в браузере IP-адрес — открылась страница с крайне простым интерфейсом. Наверху размещалась адресная строка, ниже — около десятка названий подвидов DDoS-атак, рядом с каждой — пустая ячейка, которую можно отметить галочкой. Внизу — кнопка для выбора полосы атаки (например, мощность можно уменьшить с 10 Гбит/cекунду до 100 мбит/секунду). «Можно не на всю катушку, если жертве достаточно поменьше», — поясняет Вяря.
Сотрудники компании ввели в строке интерфейса mil.gov.ua — адрес сайта министерства обороны Украины. В соседнем окне открыли страницу сервиса, по которому можно определять работоспособность сайтов. Затем включили программу на полную мощность. В интерфейсе появился текстовой лог, в котором mil.gov.ua преобразовался в IP-адрес. Возник график о том, что атака достигла 10 Гбит/секунду. Сервис работоспособности показал, что сайт недоступен. Его попробовали открыть в браузере, но он не загрузился. Через пару минут атаку остановили; сайт снова стал открываться.
Потом они попробовали атаковать сайт украинского министерства обороны на мощности в 100 Мбит/секунду — он снова перестал работать.
«Давайте проверим на Slon.ru», — якобы сказал Бровко, до этого молчавший. «Слон» атаковали на мощности 10 Гбит/секунду. Он перестал открываться и «лежал» несколько минут (главный редактор «Слона» Максим Кашулинский подтвердил «Медузе», что 5 февраля 2015 года они зафиксировали атаку, которая на две минуты обрушила сайт).
«А что если сайты пользуются защитой — не пробьете?» — спросил Вяря. Ему ответили, что в этом случае придется узнавать реальный адрес сервера (все сервисы защиты пропускают атаку через себя, а реальный адрес сервера маскируют), и у них есть соответствующая методика. Вяря уточнил, сколько стоит система, на что Бровко, по его словам, сказал: около миллиона долларов.
После встречи Вяря и Бровко отправились в Grand Hotel Sofia. Сели в лобби, взяли кофе. Вяря вспоминает, что Бровко больше всего интересовало, как найти реальный адрес сайта и на каких обменниках трафика лучше всего ставить такую систему. Через некоторое время он якобы сказал: «Ну что, нам нужен кто-то, кто будет этим управлять».
На отказ Вяри Бровко, по его словам, спросил: «Ты знаешь, какая организация тебя сюда пригласила?».
После возвращения в Москву Бровко снова вышел на него с просьбой о встрече «без вовлечения руководства», на что Вяря снова ответил отказом.
На протяжении нескольких месяцев после встречи в Софии Александру Вяре казалось, что его все равно привлекут к работе над системой, а если и нет, то «ударят по башке».
21 августа 2015 года друзья Вяри, у которых есть знакомые в ФСБ, сообщили, что им якобы продолжают интересоваться спецслужбы и сотрудники «Ростеха» — и его могут все-таки привлечь к работе над проектом, раз он уже про него знает. Ему посоветовали уехать из России, поскольку система может быть использована в сентябре — во время выборов — для атаки на сайты СМИ.
22 августа Вяря уехал в Финляндию просить статус беженца.
