Моран знал о поддерживаемых из-за границы хакерах больше, чем любой другой специалист по кибербезопасности, но даже он никогда раньше не видел переписки между хакерами и журналистом-мишенью. Время от времени между сообщениями проходило несколько минут, пока он вместе с американским журналистом ждал, что же скажет русский. Сидя у себя в офисе Facebook в Вашингтоне, он знал имена и местонахождения двух переписывающихся пользователей. С тех пор как в августе этого года Моран узнал о существовании страницы DCLeaks, он одержимо читал все ее чаты. В любых других обстоятельствах он бы не отслеживал переписку журналиста в режиме реального времени. Но он следил за русскими через Facebook и видел, когда они начали общаться с журналистом в Facebook Messenger. Моран видел, какие устройства они использовали и какие поисковые запросы выполняли на платформе. Он знал, что страница в Facebook DCLeaks была российским ресурсом. Он обнаружил страницу лишь несколько недель назад, следуя «по следам из хлебных крошек», оставленных русскими, когда те пытались создать страницы, группы и аккаунты в Facebook перед выборами в США. Русские создали DCLeaks 8 июня и теперь использовали ее, чтобы завлечь американского журналиста и подтолкнуть его к публикации документов, которые та же группа российских хакеров украла у Демократической партии.
Менее чем через три месяца Соединенным Штатам предстояло голосовать на невероятно напряженных президентских выборах, выбирая между Дональдом Трампом и Хиллари Клинтон, и у Морана были неопровержимые доказательства того, что русские делали именно то, о чем подозревали некоторые сотрудники американской разведки: взламывали кампанию Клинтон, а затем публиковали критически важные имейлы, чтобы попытаться поставить в неловкое положение кандидата в президенты от Демократической партии. Это был беспрецедентный пример шпионажа, нарушающий все ранее установленные нормы кибервойны. Моран знал, что это важно, и доложил об этом своему начальству.
Всего в нескольких милях от места, где сидел Моран, сотрудники американской разведки пытались узнать как можно больше о российских хакерах, взломавших кампанию Клинтон. Какими бы опытными ни были сотрудники разведывательной службы, им не хватало возможностей Facebook. Для Морана и остальных членов группы аналитики угроз Facebook привлекательность этой работы заключалась именно в глобальной перспективе, которую предлагала платформа. Многие из них ранее работали в АНБ, ФБР и других государственных структурах, изучая тех самых хакеров, за которыми они теперь следили.
Моран начал уделять русским более пристальное внимание с начала марта, когда он и еще один аналитик по безопасности в Facebook выяснили, что русские пытаются взломать аккаунты соцсети по всей территории США. По отдельности эти американские аккаунты имели мало общего. Но когда их просмотрели вместе, обнаружилась закономерность: все они были связаны с людьми, имеющими отношение к президентским выборам 2016 года, но не принимавшими в них непосредственного участия. Среди них были члены семей кандидатов и политических лоббистов: жена крупного демократического лоббиста и дети кандидатов в президенты от Республиканской партии.
Команда безопасности Facebook предполагала, что русские усилят слежку за кандидатами в преддверии выборов 2016 года. Однако никто на самом верху, похоже, не осознавал серьезность российской деятельности. Моран еженедельно отправлял протоколы и отчеты Алексу Стэймосу и размещал их в группах Workplace. Стэймос делился ими со своим начальником Колином Стретчем, главным юрисконсультом Facebook, который, как он понимал, передавал основные моменты Эллиоту Шраге и Джоэлю Каплану, двум самым влиятельным людям в компании. Именно они решали вопрос о передаче Цукербергу и Сэндберг информации о проблемах по мере их поступления.
На протяжении многих лет команда безопасности была в значительной степени отодвинута на второй план двумя руководителями, которые не проявляли активного интереса к их работе и не требовали от них отчетов. «Их информировали о крупных проблемах, например когда хакеры из Северной Кореи или Китая пытались проникнуть на платформу, – говорит один из инженеров команды безопасности. – Но они не настаивали на регулярных встречах по вопросам угроз безопасности и даже не интересовались мнением команды. Создавалось впечатление, что они предпочли бы, чтобы вопросы безопасности решались тихо и незаметно где-нибудь в уголке, чтобы им самим не нужно было регулярно думать об этом».
Моран и другие члены группы аналитики угроз находились в Вашингтоне, в то время как остальная команда размещалась в небольшом здании на окраине разросшегося кампуса Facebook. Независимо от того, сколько путей вело к Сэндберг, компания все еще была главным образом сосредоточена на инженерах. Команды, которые разрабатывали новые продукты, стимулировали рост и отслеживали количество часов, проводимых пользователями на платформе каждый день, подчинялись непосредственно Цукербергу. Той весной они были заняты реализацией его смелой десятилетней концепции развития компании, которая включала в себя крупные шаги в области искусственного интеллекта и виртуальной реальности.
Остальной мир постепенно узнавал о масштабах деятельности России. 14 июня компания CrowdStrike, специализирующаяся на кибербезопасности, нанятая Национальным комитетом Демократической партии США, объявила, что нашла неоспоримые доказательства того, что хакеры, связанные с российским правительством, получили доступ к имейлам высокопоставленных членов Демократической партии, включая людей из кампании Клинтон89. В течение нескольких недель еще две компании, занимающиеся кибербезопасностью, ThreatConnect и Secureworks, присоединились к CrowdStrike и опубликовали независимые отчеты с техническими подробностями методов злоумышленников90. В этих отчетах описывалось, как русские обманом заставили сотрудников предвыборного штаба Демократической партии раскрыть свои пароли электронной почты. Кроме того, в Twitter и других социальных сетях внезапно появились подозрительные аккаунты с именами вроде Guccifer 2.0, предлагающие поделиться взломанными документами с заинтересованными журналистами.
Эти сообщения подтверждали то, что видел Моран. Масштабы плана российских хакеров не были похожи на что-либо ранее осуществлявшееся на территории США. Это были те же самые хакеры, за которыми он наблюдал в течение многих лет, и, хотя многие методы были уже ему знакомы, кое-что все же было в новинку. Его команда знала, что российские хакеры прощупывали аккаунты людей, близких к кампании Клинтон; теперь Моран хотел вернуться назад и выяснить, не ускользнуло ли от них что-то еще на платформе. Отчеты дали команде безопасности руководство по поиску русских в системах Facebook.
С помощью деталей из отчетов Моран определил подозрительную страницу под названием DCLeaks. С момента своего создания страница делилась историями о взломе Национального комитета Демократической партии. Команда Морана обнаружила похожие аккаунты, включая один, который создал страницу в Facebook под названием Fancy Bear Hack Team («Команда хакеров Fancy Bear»). CrowdStrike и другие компании по кибербезопасности окрестили одну из команд российских проправительственных хакеров Fancy Bear («Модный медведь»), и англоязычная пресса подхватила это броское название. Российские хакеры, использовавшие это название на своей странице в Facebook, похоже, издевались над неспособностью Facebook найти их. На странице содержались данные, украденные у Всемирного антидопингового агентства, – еще одна стрелка, указывающая на Кремль: в последние несколько лет Россия не раз была поймана на применении допинга среди своих спортсменов и использовании других уловок, чтобы завоевать медали на Олимпийских играх и других спортивных соревнованиях91.