Брешь в безопасности. Как важнейшая киберпреступная группировка ускользнула от ФБР, СБУ и ФСБ

Крупнейшее дело

Эта история началась в 2008 году в офисе ФБР в Омахе, штат Небраска. Именно там агенты принялись расследовать ряд киберпреступлений, в ходе которых хакеры украли со счетов американцев не менее $79 млн. На тот момент это было крупнейшее дело о киберпреступности в истории ФБР.

Постепенно у американских следователей начал вырисовываться портрет злоумышленников. Операцию назвали Trident Breach. В фокусе ее внимания оказалась глобальная высокотехнологичная деятельность организованной преступной группировки из Восточной Европы. Постепенно в ФБР стекались улики со всего мира.

Джим Крейг вел свое первое дело с ФБР. Более года он ездил по Украине, пытаясь наладить отношения между правительствами трех стран — США, Украины и России. Это была беспрецедентная попытка сотрудничества. Американские агенты обменивались разведданными с украинскими и российскими коллегами, выпивали вместе и планировали широкомасштабную операцию.

Такой момент единства особенно стоит вспомнить сегодня. Уровень киберпреступности стал одной из главных тем июньского саммита президентов США и России Джо Байдена и Владимира Путина. Американцы призывают Москву контролировать кибератаки со своей территории. Жертвами их программ-вымогателей регулярно становятся американские госучреждения, больницы и даже крупнейший нефтепровод Colonial Pipeline. 

В ответ на давление Вашингтона и Путин, и директор ФСБ Александр Бортников заговорили о возможном сотрудничестве с США в борьбе с киберпреступностью. Однако чиновники в Белом доме настроены весьма скептически.

Чтобы понять их недоверие, нужно вернуться к расследованию Джима Крейга. Операция Trident Breach была уникальным шансом разрушить одну из самых успешных киберпреступных группировок мира. Агенты называли 29 сентября 2010 года — день скоординированных полицейских рейдов в Украине, России, Великобритании и США — Днем «Д» (по аналогии с датой высадки союзных войск в Нормандии 6 июня 1944 года во время Второй мировой войны).

Однако в День «Д» все пошло наперекосяк.

Главные киберпреступники

У операции Trident Breach были десятки целей по всему миру. Однако список возглавляли трое мужчин.

«Славик»

Первый — успешный хакер-россиянин Евгений Богачев с противоречивой тягой к анонимности и возмутительной роскоши. В сети его знали как «Славика». Богачев создал вредоносную программу Zeus. Она заражала компьютеры и незаметно открывала доступ к банковским счетам. 

Программа была настоящим хитом: простая, незаметная, эффективная, регулярно обновляемая, способная взломать любую цель и при этом достаточно гибкая. Расследование установило, что Богачев использовал Zeus для создания киберпреступной империи с амбициями многонациональной корпорации.

«Танк»

Вторым в списке Trident Breach значился один из важнейших клиентов Богачева — украинец Вячеслав Пенчуков. В сети он был известен как «Танк». Пенчуков руководил собственной хакерской бандой. Он платил Богачеву тысячи долларов за использование вредоносного ПО Zeus и благодаря ему воровал миллионы. Группировка Пенчукова использовала программу с интеграцией в нее Jabber — софта для обмена мгновенными сообщениями. Последний давал хакерам апдейты об их «работе»: когда происходило заражение, они получали сообщение и переводили деньги.

Банда «Танка» работала в Донецке. Сам он был настолько вовлечен в управление схемой, что какое-то время ФБР считало его главарем. Однако со временем выяснилось, что «Танк» — VIP-клиент «Славика». По-видимому, он был единственным, кто лично разговаривал с Богачевым.

«Танк» не был загадкой для федералов. У него была привыкшая к достатку семья и весьма публичная «подработка» — он играл на вечеринках под псевдонимом DJ Slava Rich. Агенты надеялись, что жизнь на широкую ногу в конце концов обернется для него крахом.

«Аква»

Третьей целью операции стал россиянин Максим Якубец, известный как «Аква». Он фигурировал как организатор масштабных операций по отмыванию денег. Используя тысячи сообщников и подставных компаний, он переводил деньги со взломанных банковских счетов обратно в Восточную Европу, в том числе в Украину. 

В 2000-х такое сочетание смекалки технологических стартапов и бездушия организованной преступности было в новинку. Всю эту группировку можно назвать пионерами своей отрасли.

Водочная дипломатия

Дело, которое расследовало ФБР, охватывало весь земной шар. В США и Европе — жертвы и отмывание денег. В Украине и России — атакующие хакеры. ФБР нуждалось в помощи российских и украинских коллег.

Организовать такое партнерство было непросто. Когда Крейг прибыл в Киев, ему сообщили, что агенты ФСБ не ступали на территорию страны со времен Оранжевой революции 2004 года. Крейгу же требовалось собрать коллег из разных стран за одним столом.

Начало сотрудничества

Первая встреча состоялась в бутик-отеле «Опера» в Киеве. Беседы носили гипотетический характер, минимум взаимного доверия и ожиданий. Однако, на удивление Крейга, четыре российских агента оказались настроены дружелюбно. Они заявили, что хотят обменяться информацией о хакерах. И даже предложили агентам ФБР поездку в Россию, чтобы понаблюдать за подозреваемыми.

Американцы рассказали о движущей силе их расследования — чат-сервере Jabber. Они обнаружили его и начали отслеживать в 2009 году. Jabber помог им заглянуть в переписку группировки Zeus. В ней информация об операциях и деловых сделках перемежалась с болтовней об игрушках и дорогих отпусках, на которые тратились доходы от преступлений.

Слив

Экс-подрядчик ФБР Джейсон Пассуотерс годами работал над делом Trident Breach в США и Европе. Он говорит, что слежка за журналом чата злоумышленников (архивом стенограмм из онлайн-чата) и обмен информацией с ФСБ и СБУ происходили практически постоянно.

Однажды, в апреле 2010 года, когда Пассуотерс как обычно просматривал журнал чата, ему на глаза попалось сообщение, которое он вряд ли когда-то забудет.

«Ребята, вы облажались. ФБР пасет вас. Я видел журналы», — писал один из хакеров «Танку».

Пассуотерс понял, что речь идет о журналах, которые он просматривает в данный момент. Об их существовании знала лишь горстка агентов. Каким-то образом произошла утечка. Агенты ФБР подозревали, что тут не обошлось без украинской коррупции.

«Было очевидно, что кто-то в подразделении, кто был в курсе ключевых деталей дела, передал информацию киберпреступникам… Даже терминология в их разговоре была необычной для киберпреступников и, по видимости, пришла прямо из материалов дела», — рассказывает на условиях анонимности один из бывших офицеров СБУ.

Реакция хакера

Сначала «Танк» испугался. Особенный страх ему внушала возможность оказаться перед американским правосудием. Хакер, который предупредил «Танка», своеобразно его успокаивал: «Это та жизнь, которую мы выбрали. Все взявшие меч, от меча погибнут», — писал он.

Далее «Танк» повел себя странно. ФБР ожидало, что он немедленно уничтожит сервер и перенесет операции в другое место. Вместо этого он и его команда поменяли никнеймы и продолжили еще месяц пользоваться скомпрометированной системой. В конце концов сервер отключили. К тому времени, казалось, расследование ФБР уже ничто не сможет остановить.

Подготовка ко Дню Д

В июне 2010 года около 20 офицеров из разных стран встретились в лесу под Киевом в резиденции главы СБУ Валерия Хорошковского. Этот дом часто использовали для приема самых важных посетителей. Все собрались в роскошном конференц-зале, чтобы спланировать детали Дня «Д». Офицеры подробно обсудили подозреваемых, обменялись информацией о заданиях операции и прошлись по ролям, которые должна сыграть каждая из спецслужб.

В конце дня им накрыли стол со множеством блюд, вином и водкой. Сколько бы офицеры не пили, им наливали еще и еще. Каждый участник должен был произнести тост. После торжества сотрудники СБУ вызвались устроить американским коллегами экскурсию по городу. Неудивительно, что те мало что запомнили из увиденного.

Несмотря на похмелье следующим утром, общий план операции был готов. 29 сентября полиция пяти стран — США, Великобритании, Украины, России и Нидерландов — одновременно арестует десятки подозреваемых. Эта операция затмит все предыдущие расследования киберпреступлений.

Головная боль

Агент Крейг и его команда прибыли в Донецк и остановились в престижном отеле «Донбасс Палас». В отеле у американских агентов не было времени на отдых. Они ждали, когда СБУ, управляющая операцией на своей территории, даст им зеленый свет. 

Однако украинцы снова и снова переносили дату рейдов. Американцы не понимали, что провоцирует задержки.

В СБУ утверждали, что сотрудники службы идут по следу «Танка», внимательно наблюдая за его перемещениями между ночными клубами и квартирой. Затем, в начале октября, украинская группа наблюдения сообщила, что упустила его.

Американцы были недовольны, но не особо удивлены. Они смирились с реалиями работы в Украине, стране с пресловутой коррупцией.

Хотя украинцы упустили «Танка», они продолжали выслеживать пятерых его помощников. Местная полиция, казалось, уже готова была заняться чем-то другим. Однако СБУ неожиданно дала зеленый свет, и рейды начались.

Долгожданные рейды

Украина

Во время рейда хорошо вооруженный отряд спецназа СБУ выбил дверь квартиры одного из подозреваемых. Безоружных американских коллег оставили ждать снаружи. Уже глубокой ночью команда Крейга попала в квартиру. Это было жилье Ивана Клепикова, известного как «petr0vich». Он был системным администратором банды. Клепиков отвечал за скучную, но важную работу, которая поддерживала криминальную деятельность группировки.

Злоумышленник удобно разместился в гостиной в нижнем белье и халате. Украинцы попросили Крейга представиться. Это было завуалированной угрозой: Клепикова могут отправить в США, где законы о назначении уголовных наказаний гораздо строже, чем в большинстве стран. Однако Конституция Украины запрещает экстрадицию граждан. Тем временем жена Клепикова держала их ребенка на кухне и смеялась, разговаривая с офицерами. Сисадмина задержала полиция.

Затем рейд прошел в квартире самого «Танка». Картина была та же: сотрудники СБУ первыми вошли внутрь, агенты ФБР ждали снаружи. Когда Крейгу удалось попасть в квартиру, «Танка» там, конечно же, не было. Само жилье выглядело неестественно чистым, будто после уборки. По мнению Крейга, там уже несколько дней никого не было.

Он вспомнил недавние сообщения от украинской группы наблюдения. Она утверждала, что следит за «Танком» и располагает сведениями о том, что он недавно был дома. Сейчас это казалось неправдоподобным.

Той ночью в Украине задержали пятерых человек. Ни один из пяти арестованных не остался под стражей надолго.

Так окончилась двухлетняя международная операция по поимке крупнейших киберпреступников мира. Крейг и его команда были в ярости. Но если в Украине ситуация была печальной, то в России дела обстояли еще хуже. 

Россия

Пока в Донецке проходила операция, американцы надеялись, что им позвонят из России по поводу рейда ФСБ на резиденцию Максима Якубца («Аквы»).

«Дело дошло до Дня „Д“, и случился гостинг. СБУ пыталась связаться с [россиянами]. ФБР звонило в посольство в Москве. Полная тишина. Мы все равно провели операцию, без ФСБ. Месяцы молчания. Ничего», — рассказывает Крейг.

Операция увенчалась определенным успехом — десятки злоумышленников низшего звена были арестованы в Украине, США и Великобритании. Среди них были и друзья «Танка», которые помогали вывести украденные деньги из Англии. Однако смесь коррупции и соперничества лишила операцию Trident Breach главных целей.

Преступники с хорошими связями

Не все в СБУ водят BMW. После операции некоторые украинские чиновники были недовольны коррупцией и утечками информации в спецслужбах страны. Они пришли к выводу, что донецкий рейд против «Танка» и группировки Zeus провалился из-за наводки коррумпированного офицера СБУ Александра Ходаковского.

В то время Ходаковский был главой отряда спецназа «Альфа» донецкой СБУ. Тот же отряд руководил рейдами в рамках Trident Breach. Ходаковский также помогал координировать работу правоохранительных органов в регионе. Это позволяло ему заранее сообщать подозреваемым об обысках, рассказывает на условиях анонимности экс-офицер СБУ.

Когда в 2014 году началась война между Украиной и Россией, Ходаковский дезертировал. Он стал одним из политических деятелей самопровозглашенной «ДНР».

Однако проблема была не только в этом коррупционере. Украинское расследование и судебное разбирательство в отношении «Танка» и его группировки продолжилось и после рейдов. Но он оставался на свободе.

«Благодаря своим коррумпированным связям среди руководства СБУ, „Танк“ добился, чтобы делами против него занимался донецкий филиал, а не Центральное управление СБУ в Киеве. В итоге ему удалось прекратить там рассмотрение дела», — рассказывает бывший офицер СБУ.

Неудивительно, ведь «Танк» тесно связан с бывшим президентом Украины Виктором Януковичем, который сбежал из Украины в Россию в 2014 году. В то же время «Танк», наоборот, перебрался на запад, в Киев. В столице он представлял некоторые интересы экс-президента и собственные коммерческие предприятия.

После свержения Януковича новое руководство Украины решительно повернулось в сторону Запада. В последнее время Украина сотрудничает с американцами в расследованиях киберпреступлений на уровне, немыслимом для 2010 года. Однако коррупция по-прежнему широко распространена.

Пассуотерс более 10 лет работал с украинцами над противодействием киберпреступности. Он считает, что в стране есть множество «действительно хороших людей», которые «молча работают на правильной стороне». 

Надвигающаяся угроза

Хотя рейды 2010 года разрушили значительную часть бизнеса Богачева, он остался известным предпринимателем-киберпреступником. Богачев создал новую преступную группировку «Бизнес-клуб». Вскоре она превратилась в монстра, который украл более $100 млн. К 2013 году группировка перешла от взлома банковских счетов к запуску первых современных программ-вымогателей с помощью инструмента CryptoLocker. Богачев снова оказался в центре эволюции киберпреступности.

Примерно в то же время исследователи голландской компании по кибербезопасности Fox-IT внимательно изучили вредоносное ПО Богачева. Они обнаружили, что программа не просто атакует случайные цели. Она незаметно ищет информацию о полиции, военных и разведывательных службах в Грузии, Турции, Сирии и Украине. Стало ясно, что Богачев не просто работает в России. Его вредоносное ПО на самом деле добывало разведданные для Москвы.

Сегодня ФБР предлагает $3 млн за информацию, способствующую аресту Богачева. Выше гонорар только за информацию по Максиму Якубцу — $5 млн. Это две самых крупных награды за аресты хакеров.

Через несколько недель после молчания во время донецких рейдов в Москве таки оформили ордер на обыск у Якубца. Тем не менее, он остался на свободе. «Аква» даже расширил свою деятельность — сейчас он управляет собственной киберпреступной империей Evil Corp. 

Согласно обвинительному акту от 2019 года, Evil Corp ответственен за кражи в размере не менее $100 млн. За два последних года сумма выросла. Сегодня этот синдикат — одна из крупнейших банд вымогателей в мире. Как и в случае с Богачевым, Якубец, похоже, заинтересован не только в прибыли. По данным Минфина США, к 2017 году он начал работать на ФСБ.

«За эти годы были некоторые тактические победы, но по сей день я вижу, как одни и те же ребята всплывают то тут, то там. Мы называем их „старыми волками“ киберпреступности. Я лично считаю, что если бы „Танка“, „Акву“ и „Славика“ схватили в 2010 году, сегодня ситуация была бы совсем другой», — резюмирует Пассуотерс.

Реклама у Vector

Нашли ошибку? Выделите ее и нажмите Ctrl+Enter