Спецпроекты

Арестован человек, который чуть не уничтожил «70% интернета»

Безопасность Стратегия безопасности Интернет Техника

Житель Техаса, участвовавший в штурме Капитолия в начале 2021 г., планировал взорвать гигантский дата-центр Amazon в штате Вирджиния, через который ежедневно проходит до 70% глобального интернет-трафика. О своих целях он обмолвился на одном из популярных форумов, чем привлек внимание ФБР. Агенты «продали» ему муляж взрывчатки и арестовали его во время сделки. В дата-центрах Amazon хостилась соцсеть Parler, через которую участники штурма координировали свои действия.

Преступление против интернета

Правоохранительные органы США арестовали 28-летнего жителя Техаса Сифа Аарона Пендли (Seth Aaron Pendley) за стремление «уничтожить 70% интернета». По информации Министерства юстиции США, он подозревается в попытке взорвать гигантский дата-центр компании Amazon, который действительно является важной составляющей Всемирной паутины.

ЦОД Amazon расположен в городе Эшберн (Вирджиния, США) и носит «народное» название The Cloud («облако» - англ.). Как пишет CBS со ссылкой на властей города, этот центр каждый день пропускает через себя до 70% мирового интернет-трафика. В начале 2015 г. он пережил сильный пожар из-за несоблюдения техники безопасности во время сварочных работ.

CBS сообщает, что Amazon не раскрывает списки клиентов, базирующихся в этом дата-центре, но известно, что подобные крупномасштабные ЦОД не обходят стороной многие интернет-гиганты, включая Twitter и Facebook. Онлайн-кинотеатры, например, Netflix, тоже нередко предпочитают базироваться именно в крупных дата-центрах.

ЦОД Amazon в Эшберне

Кроме того, даже если не учитывать масштабы конкретного ЦОД в Эшберне, от стабильности работы облака Amazon Web Services (AWS) действительно зависят многие сервисы. AWS – это мировой «облачный» лидер, в IV квартале 2020 г. он занял 32% мирового рынка (по данным Statista), оставив далеко позади Microsoft с ее Azure (20%) и еще сильнее оторвавшись от облака Google (9%). Другие конкуренты получили еще меньшую долю – 6% у Alibaba Cloud, 5% у IBM Cloud, 3% у Salesforce и т. д.

Болтун – находка для ФБР

Сиф Аарон Пендли был арестован 8 апреля 2021 г. при покупке взрывчатки С-4 – продавцом в этой сделке выступил агент ФБР, который продал Пендли муляж взрывчатки. Расследование против него велось с января 2021 г. – он сам привлек к себе внимание ФБР, опубликовав ряд постов на форуме MyMilitia.com, авторы которого называют его «патриотической социальной сетью США» (An American patriot network).

Пожар в дата-центре в 2015 году удалось быстро ликвидировать

Участники MyMilitia выступают за возможность хранения и ношения огнестрельного оружия обычными гражданами США. Один из пользователей форума под псевдонимом Dionysus в начале 2021 г. писал, что планирует провести некий «небольшой эксперимент» (conduct a little experiment), потенциально «опасный» (dangerous) и способный «наделать много шума» (draw a lot of heat).

Другие участники форума обратились к нему за разъяснениями, в том числе спросили, какого результата он хочет добиться. На это Dionysus ответил одним лишь словом – «смерть» (death). Это сообщение вынудило одного из пользователей MyMilitia обратиться в ФБР – он анонимно передал в Бюро адрес электронной почты, к которому был привязан профиль Dionysus на форуме, и его сотрудники выяснили, что он был зарегистрирован на Пендли.

Amazon - мировой лидер на облачном рынке

Следователи нашли страницу «экспериментатора» в Facebook и обнаружили, что он был среди участников штурма Капитолия 6 января 2021 г. Они получили доступ к его личным сообщениям, в которых он рассказывал, что контактировал с полицией и даже привез из дома винтовку, хотя все же решил оставить ее в машине, а в само здание Капитолия не проникал.

Подготовка к аресту

В последних числах января 2021 г., сказано в сообщении Министерства юстиции, Пендли начал использовать защищенный мессенджер Signal (CNews писал, что его все-таки можно взломать) для связи с «другим анонимным источником» ФБР. Этот источник поведал следователям, что Пендли рассказывал ему о своих планах по подрыву ЦОД при помощи бомбы С-4 – он якобы хотел «уничтожить около 70% Глобальной сети».

На основе этой информации ФБР разработало план по захвату потенциального террориста, согласно которому «анонимный источник» должен был свести его с «поставщиком взрывчатки» - его роль примерил на себя агент Бюро. Встреча Пендли и «продавца С-4» состоялась 31 марта 2021 г.

По данным ФБР, весь разговор Пендли и агента был записан. В Бюро утверждают, что в ходе этой беседы Пендли рассказывал о том, что услугами ЦОД Amazon в Эшберне пользуются различные федеральные ведомства, включая ЦРУ и ФБР. В публикации Министерства юстиции говорится, что Пендли, по его собственным словам, «надеется свергнуть “олигархию”, в настоящее время удерживающую власть в США».

Задержание и возможное наказание

«Продавец взрывчатки» согласился продать Пендли С-4. Встреча состоялась 8 апреля 2021 г. – агент ФБР под прикрытием передал Пендли муляж бомбы и даже объяснил, как пользоваться ею. После того, как потенциальный террорист положил покупку в свою машину, другие сотрудники ФБР произвели его арест.

Теперь Пендли обвиняется в попытке подорвать дата-центр Amazon, однако его вина на момент публикации материала доказана не была. Другими словами, согласно законам США, пока еще он считается невиновным, но если суд вынесет вердикт не в его пользу, то Пендли может получить до 20 лет лишения свободы с отбытием наказания в федеральной тюрьме. На день ареста ему было 28 лет, то есть он рискует провести в тюрьме почти столько же лет, сколько он прожил на свободе.

Расследование вели сотрудники отделения ФБР в Далласе и объединенная контр-террористической группы ФБР по Северному Техасу. Судебное преследование против Пендли ведет помощник прокурора США Роберт Будро (Robert Boudreau) из Северного округа Техаса при содействии судебного прокурора Александры Хьюз (Alexandra Hughes) из Управления национальной безопасности.

Потенциальная связь с Parler

Руководство Amazon узнало об угрозах взрыва дата-центров компании еще в начале 2021 г. Как пишет Business Insider, компания предупредила сотрудников своих ЦОД о необходимости «быть бдительным» в отношении угроз для объектов и инфраструктуры Интернета после решения о прекращении в январе 2021 г. предоставления услуг хостинга соцсети Parler, популярной среди сотрудников бывшего Президента США Дональда Трампа (Donald Trump).

Штурм Капитолия, о котором Пендли писал в личных сообщениях в Facebook, устроили сторонники Трампа. Утверждается, что свои действия они координировали именно при помощи Parler, на что моментально отреагировали компании Google, Apple и Amazon. Первые две сразу удалили приложение соцсети из своих магазинов, а Amazon оставила сеть без хостинга.

О потенциальной опасности, в которой могут находиться дата-центры Amazon, предупредил вице-президент AWS по управлению инфраструктурой Крис Вондерхар (Chris Vonderhaar). Он разослал сотрудникам центров письмо, в котором попросил их незамедлительно сообщать о любой подозрительной деятельности. «Мы все должны [быть] бдительными сейчас, чтобы обеспечить безопасность друг друга и наших объектов. Если вы заметили что-нибудь, сообщите об этом – ни одна ситуация или проблема не является слишком мелкой или незначительной», – написал Вондерхар в своем письме, добавив, что Amazon «внимательно следит за гражданскими беспорядками в США».