За словами екс-співробітника компанії Qrator Олександра Вярі, він був запрошений в Софію на зустріч, під час якої виробники програмного забезпечення нібито демонстрували можливості системи: на пробу вони вивели з ладу сайти міністерства оборони України та російського видання Slon.ru.
Як пише «Медуза», Вяря вважає, що його хотіли найняти в якості спеціаліста, який буде цим керувати.
Вяря розповів, що в лютому 2015 року гендиректору Qrator Олександру Лямину подзвонив Вартан Хачатуров, заступник директора департаменту інфраструктурних проектів Мінкомзв'язку РФ і попросив кого-небудь із співробітників компанії допомогти з одним «делікатним питанням». Крім Вярі допомагати було нікому — всі роз'їхалися по конференціях.
Хачатуров зв'язався з ним і залишив номер телефону, на який потрібно було відправити смс; Вяря відразу послав повідомлення. Ближче до вечора пролунав дзвінок: дзвонив якийсь Василь Бровко, який сказав йому, що через пару днів необхідно злітати разом з ним в столицю Болгарії — Софію, а документи оформить його помічниця.
Вяря пошукав в Мережі інформацію про Бровко і виявилося, що той заснував компанію «Апостол», яку Олексій Навальний навесні 2013 року звинувачував у тому, що вона за допомогою ботів розкручувала соцмережі «Аерофлоту».
Останнім часом Бровко працював начальником департаменту комунікацій «Ростехе» — держкорпорації, створеної для виробництва високотехнологічної продукції цивільного та військового призначення. Керував корпорацією Сергій Чемезов, близький знайомий Володимира Путіна.
Вяря припускав, що від нього хочуть допомоги по його профілю, тобто вибрати нову систему захисту від DDoS. Але здивувався, що покликали в Болгарію — відомі виробники відповідного програмного забезпечення знаходяться в Ізраїлі і США.
5 лютого 2015 року він прилетів в Софію, де пройшла зустріч з Бровко і ще двома людьми, які представилися співробітниками місцевої компанії Packets Teсhnologies.
У переговорній один із співробітників Packets Technologies включив презентацію, а заодно розповів про себе: працював в ізраїльській армії, консультував з мережевої безпеки найбільшу інтернет-компанію, брав участь у Black Hat (головна світова конференція з інформаційної безпеки, на яку приїжджають і представителиІТ-корпорацій, і хакери).
Після цього співробітник болгарської компанії, як стверджує Вяря, заявив: «Зараз я вам представлю продукт для організації DDoS-атак». Назви програмного забезпечення не було. Співробітник додав, що «продукт» вміє організовувати DDoS-атаки на мережному рівні. Такі атаки «забивають» ресурси сервера паразитними пакетами, через це система перестає приймати корисні пакети трафіку.
Система являла собою «коробку» з ПО для DDoS-атак, встановлену на одному з трафікообмінників. Для неї була виділена спеціальна лінія з максимальною потужністю в 10 Гбіт/секунду. Фахівці Packets Technologies додали: можна легко збільшити трафік, встановивши ще одну «коробку» з ПО (в 2010 році атака саме такої сили, 10 Гбіт/секунду, була здійснена на сервери Wikileaks; у 2013-му потужність найбільшої DDoS-атаки в історії інтернету — голландський хостер Cyberbunker проти компанії Spamhaus — досягала 300 Гбіт/секунду: по формулюванню The New York Times, вона «сповільнила інтернет»).
Співробітники болгарської компанії розповіли Вярі, що їх система дозволяє здійснювати «коктейльні», тобто змішані за видами атаки — такі набагато складніше відбивати.
Закінчивши з теоретичною частиною, співробітник компанії запустив VPN-з'єднання Tor-браузер, забезпечивши собі анонімність (початок такої атаки відстежити практично неможливо). Набрав у браузері IP-адресу — відкрилася сторінка з вкрай простим інтерфейсом. Нагорі розміщувався адресний рядок, нижче — близько десятка назв підвидів DDoS-атак, поруч з кожною — порожня клітинка, яку можна відзначити галочкою. Внизу — кнопка для вибору потужності атаки (наприклад, потужність можна зменшити до 10 Гбіт/с до 100 мбіт/секунду). «Можна не на всю котушку, якщо жертві досить поменше», — пояснює Вяря.
Співробітники компанії ввели в рядку інтерфейсу mil.gov.ua — адреса веб-сайту міністерства оборони України. В сусідньому вікні відкрили сторінку сервісу, за яким можна визначати працездатність сайтів. Потім включили програму на повну потужність. В інтерфейсі з'явився текстовий лог, в якому mil.gov.ua перетворився в IP-адресу. Виник графік про те, що атака досягла 10 Гбіт/секунду. Сервіс працездатності показав, що сайт недоступний. Його спробували відкрити в браузері, але він не завантажився. Через пару хвилин атаку зупинили; сайт знову став відкриватися.
Потім вони спробували атакувати сайт українського міністерства оборони на потужності в 100 Мбіт/секунду — він знову перестав працювати.
«Давайте перевіримо на Slon.ru», — нібито сказав Бровко, до цього мовчав. «Слон» атакували на потужності 10 Гбіт/секунду. Він перестав відкриватися і «лежав» кілька хвилин (головний редактор «Слона» Максим Кашулинський підтвердив «Медузі», що 5 лютого 2015 року вони зафіксували атаку, яка на дві хвилини обрушила сайт).
«А що якщо сайти користуються захистом — не проб'є?» — запитав Вяря. Йому відповіли, що в цьому випадку доведеться дізнаватися реальну адресу сервера (всі сервіси захисту пропускають атаку через себе, а реальну адресу сервера маскують), і у них є відповідна методика. Вяря уточнив, скільки коштує система, на що Бровко, за його словами, сказав: близько мільйона доларів.
Після зустрічі Вяря Бровко вирушили в Grand Hotel Sofia. Сіли в лобі, взяли каву. Вяря згадує, що Бровко найбільше цікавило, як знайти реальну адресу сайту і на яких обмінниках трафіку краще всього ставити таку систему. Через деякий час він нібито сказав: «Ну що, нам потрібен хтось, хто буде цим керувати».
На відмову Вярі Бровко, за його словами, запитав: «Ти знаєш, яка організація тебе сюди запросила?».
Після повернення в Москву Бровко знову вийшов на нього з проханням про зустріч «без залучення керівництва», на що Вяря знову відповів відмовою.
Протягом декількох місяців після зустрічі в Софії Олександру Вярі здавалося, що його все одно залучать до роботи над системою, а якщо і ні, то «вдарять по голові».
21 серпня 2015 року друзі Вяри, у яких є знайомі в ФСБ, повідомили, що їм нібито продовжують цікавитися спецслужби і співробітники «Ростеха» — і його можуть все-таки залучити до роботи над проектом, він про нього знає. Йому порадили виїхати з Росії, оскільки система може бути використана у вересні — під час виборів — для атаки на сайти ЗМІ.
22 серпня Вяря виїхав до Фінляндії просити статус біженця.
