Прогалина в безпеці. Як найважливіше кіберзлочинне угруповання вислизнуло від ФБР, СБУ та ФСБ
Будь-яку статтю можна зберегти в закладки на сайті, щоб прочитати її пізніше.
Режим читання збільшує текст, прибирає все зайве зі сторінки та дає можливість зосередитися на матеріалі. Тут ви можете вимкнути його в будь-який момент.
Видання MIT Technology Review опублікувало історію операції Trident Breach (2008–2010). У її межах американське ФБР, українська СБУ і російська ФСБ повинні були об’єднатися, щоб упіймати головних кіберзлочинців того часу, які вкрали як мінімум $79 млн. Ця операція могла завдати нищівного удару кіберзлочинності. Про те, що ж пішло не так і як провал операції вплинув на те, що відбувається сьогодні, читайте в переказі Vector.
Найбільша справа
Ця історія почалася 2008 року в офісі ФБР в Омасі, штат Небраска. Саме там агенти почали розслідувати низку кіберзлочинів, під час яких хакери вкрали з рахунків американців не менше $79 млн. На той момент це була найбільша справа про кіберзлочинність в історії ФБР.
Поступово в американських слідчих почав вимальовуватися портрет зловмисників. Операцію назвали Trident Breach. У фокусі її уваги опинилася глобальна високотехнологічна діяльність організованого злочинного угруповання зі Східної Європи. Поступово у ФБР стікалися докази з усього світу.
Джим Крейг вів свою першу справу з ФБР. Понад рік він їздив Україною, намагаючись налагодити відносини між урядами трьох країн — США, України та росії. Це була безпрецедентна спроба співпраці. Американські агенти обмінювалися розвідданими з українськими й російськими колегами, випивали разом і планували широкомасштабну операцію.
Такий момент єдності особливо варто згадати сьогодні. Рівень кіберзлочинності став однією з головних тем червневого саміту президентів США й росії Джо Байдена та Володимира Путіна. Американці закликають Москву контролювати кібератаки зі своєї території. Жертвами їхніх програм-вимагачів регулярно стають американські держустанови, лікарні й навіть найбільший нафтопровід Colonial Pipeline.
У відповідь на тиск Вашингтона і Путін, і директор ФСБ Олександр Бортніков заговорили про можливу співпрацю із США в боротьбі з кіберзлочинністю. Однак чиновники в Білому домі налаштовані дуже скептично.
Щоб зрозуміти їхню недовіру, потрібно повернутися до розслідування Джима Крейга. Операція Trident Breach була унікальним шансом зруйнувати одне з найуспішніших кіберзлочинних угруповань світу. Агенти називали 29 вересня 2010 року — день скоординованих поліцейських рейдів в Україні, росії, Великобританії та США — Днем «Д» (за аналогією з датою висадження союзних військ у Нормандії 6 червня 1944 року під час Другої світової війни).
Проте в День «Д» усе пішло шкереберть.
Головні кіберзлочинці
В операції Trident Breach були десятки цілей у всьому світі. Однак список очолювали троє чоловіків.
«Славік»
Перший — успішний хакер-росіянин Євген Богачов із суперечливою тягою до анонімності й обурливої розкоші. У мережі його знали як «Славіка». Богачов створив шкідливу програму Zeus. Вона заражала комп’ютери й непомітно відкривала доступ до банківських рахунків.
Програма була справжнім хітом: проста, непомітна, ефективна, регулярно оновлювана, здатна зламати будь-яку ціль і водночас досить гнучка. Розслідування встановило, що Богачов використовував Zeus для створення кіберзлочинної імперії з амбіціями багатонаціональної корпорації.
«Танк»
Другим у списку Trident Breach став один із найважливіших клієнтів Богачова — українець В’ячеслав Пенчуков. У мережі він був відомий як «Танк». Пенчуков керував власною хакерською бандою. Він платив Богачову тисячі доларів за використання шкідливого ПО Zeus і завдяки йому крав мільйони. Угруповання Пенчукова використовувало програму з інтеграцією в неї Jabber — софту для обміну миттєвими повідомленнями. Останній давав хакерам апдейти про їхню «роботу»: коли відбувалося зараження, вони отримували повідомлення і переказували гроші.
Банда «Танка» працювала в Донецьку. Сам він був настільки залучений в керування схемою, що якийсь час ФБР вважало його ватажком. Однак згодом з’ясувалося, що «Танк» — VIP-клієнт «Славіка». Мабуть, він був єдиним, хто особисто розмовляв із Богачовим.
«Танк» не був загадкою для федералів. У нього була звикла до достатку сім’я та дуже публічний «підробіток» — він грав на вечірках під псевдонімом DJ Slava Rich. Агенти сподівалися, що життя на широку ногу зрештою обернеться для нього крахом.
«Аква»
Третьою ціллю операції став росіянин Максим Якубець, відомий як «Аква». Він фігурував як організатор масштабних операцій із відмивання грошей. Використовуючи тисячі спільників і підставних компаній, він переказував гроші зі зламаних банківських рахунків назад до Східної Європи, зокрема в Україну.
У 2000-х таке поєднання кмітливості технологічних стартапів і бездушності організованої злочинності було новим. Усе це угруповання можна назвати піонерами у своїй галузі.
Горілчана дипломатія
Справа, яку розслідувало ФБР, охоплювала всю земну кулю. У США і Європі — жертви й відмивання грошей. В Україні й росії — нападні хакери. ФБР потребувало допомоги російських і українських колег.
Організувати таке партнерство було непросто. Коли Крейг прибув до Києва, йому повідомили, що агенти ФСБ не ступали на територію країни з часів Помаранчевої революції 2004 року. Крейгу ж було потрібно зібрати колег із різних країн за одним столом.
Початок співпраці
Перша зустріч відбулася в бутик-готелі «Опера» в Києві. Бесіди мали гіпотетичний характер, мінімум взаємної довіри й очікувань. Та, на подив Крейга, чотири російські агенти були налаштовані дружньо. Вони заявили, що хочуть обмінятися інформацією про хакерів. І навіть запропонували агентам ФБР поїздку в росію, щоб поспостерігати за підозрюваними.
Американці розповіли про рушійну силу їхнього розслідування — чат-сервер Jabber. Вони виявили його та почали відстежувати у 2009 році. Jabber допоміг їм зазирнути в листування угруповання Zeus. У ній інформація про операції та ділові угоди перемежовувалася з балаканиною про іграшки й дорогі відпустки, на які витрачалося одержане злочинним шляхом.
Злив
Експідрядник ФБР Джейсон Пассуотерс роками працював над справою Trident Breach у США і Європі. Він каже, що стеження за журналом чату зловмисників (архівом стенограм з онлайн-чату) й обмін інформацією з ФСБ і СБУ відбувалися практично постійно.
Одного разу, у квітні 2010 року, коли Пассуотерс як зазвичай переглядав журнал чату, йому на очі потрапило повідомлення, яке він навряд чи колись забуде.
«Хлопці, вам гаплик. ФБР пасе вас. Я бачив журнали», — писав один із хакерів «Танку».
Пассуотерс зрозумів, що йдеться про журнали, які він переглядає в цю хвилину. Про їхнє існування знала лише жменька агентів. Чомусь стався витік. Агенти ФБР підозрювали, що тут не обійшлося без української корупції.
«Було очевидно, що хтось у підрозділі, хто був у курсі ключових деталей справи, передав інформацію кіберзлочинцям… Навіть термінологія в їхній розмові була незвичайною для кіберзлочинців і, вочевидь, прийшла прямо з матеріалів справи», — розповідає на умовах анонімності один із колишніх офіцерів СБУ.
Реакція хакера
Спочатку «Танк» злякався. Особливий страх йому вселяла можливість опинитися перед американським правосуддям. Хакер, який попередив «Танка», своєрідно його заспокоював: «Це те життя, яке ми вибрали. Усі, хто візьмуть меч, від меча загинуть», — писав він.
Далі «Танк» повівся дивно. ФБР очікувало, що він негайно знищить сервер і перенесе операції в інше місце. Замість цього він і його команда поміняли нікнейми та продовжили ще місяць користуватися скомпрометованою системою. Зрештою сервер відключили. На той час здавалося, що розслідування ФБР уже ніщо не зможе зупинити.
Підготовка до Дня «Д»
У червні 2010 року майже 20 офіцерів із різних країн зустрілися в лісі під Києвом у резиденції голови СБУ Валерія Хорошковського. Цей будинок часто використовували для прийому найважливіших відвідувачів. Усі зібралися в розкішній конференц-залі, щоб спланувати деталі Дня «Д». Офіцери детально обговорили підозрюваних, обмінялися інформацією про завдання операції й обговорили ролі, які мала зіграти кожна зі спецслужб.
Наприкінці дня їм накрили стіл із безліччю страв, вином і горілкою. Скільки б офіцери не пили, їм наливали ще і ще. Кожен учасник мав виголосити тост. Після урочистості співробітники СБУ виявили бажання влаштувати американським колегам екскурсію містом. Не дивно, що ті мало що запам’ятали з побаченого.
Попри похмілля наступного ранку, загальний план операції був готовий. 29 вересня поліція п’яти країн — США, Великобританії, України, росії та Нідерландів — одночасно заарештує десятки підозрюваних. Ця операція затьмарить усі попередні розслідування кіберзлочинів.
Головний біль
Агент Крейг і його команда прибули до Донецька й зупинилися в престижному готелі «Донбас Палас». У готелі в американських агентів не було часу на відпочинок. Вони чекали, коли СБУ, що керує операцією на своїй території, дасть їм зелене світло.
Однак українці знову і знову переносили дату рейдів. Американці не розуміли, що провокує затримки.
У СБУ стверджували, що співробітники служби йдуть слідом «Танка», уважно спостерігаючи за його переміщеннями між нічними клубами та квартирою. Потім, на початку жовтня, українська група спостереження повідомила, що загубила його.
Американці були незадоволені, але не особливо здивовані. Вони змирилися з реаліями роботи в Україні, країни з горезвісною корупцією.
Хоча українці втратили «Танка», вони продовжували відстежувати п’ятьох його помічників. Місцева поліція, здавалося, вже готова була зайнятися чимось іншим. Однак СБУ несподівано дала зелене світло, і рейди почалися.
Довгоочікувані рейди
Україна
Під час рейду добре озброєний загін спецпідрозділу СБУ вибив двері квартири одного з підозрюваних. Беззбройних американських колег залишили чекати зовні. Уже пізно вночі команда Крейга потрапила у квартиру. Це було житло Івана Клепікова, відомого як «petr0vich». Він був системним адміністратором банди. Клепіков відповідав за нудну, але важливу роботу, яка підтримувала кримінальну діяльність угруповання.
Зловмисник зручно розмістився у вітальні в спідній білизні й халаті. Українці попросили Крейга представитися. Це було завуальованою загрозою: Клепікова можуть відправити в США, де закони про призначення кримінальних покарань набагато суворіші, ніж у більшості країн. Проте Конституція України забороняє екстрадицію громадян. Тим часом дружина Клепікова тримала їхню дитину на кухні та сміялася, розмовляючи з офіцерами. Сисадміна затримала поліція.
Потім рейд пройшов у квартирі самого «Танка». Картина була та сама: співробітники СБУ першими ввійшли всередину, агенти ФБР чекали зовні. Коли Крейгу вдалося потрапити у квартиру, «Танка» там, звичайно ж, не було. Саме житло виглядало неприродно чистим, ніби після прибирання. На думку Крейга, там уже кілька днів нікого не було.
Він згадав недавні повідомлення від української групи спостереження. Вона стверджувала, що стежить за «Танком» і має у своєму розпорядженні відомості про те, що він недавно був удома. Зараз це здавалося неймовірним.
Тієї ночі в Україні затримали п’ятьох осіб. Жоден із п’яти заарештованих не залишився під вартою надовго.
Так закінчилася дворічна міжнародна операція з упіймання найбільших кіберзлочинців світу. Крейг і його команда були розлючені. Але якщо в Україні ситуація була сумною, то в росії справи були ще гірші.
росія
Поки в Донецьку проходила операція, американці сподівалися, що їм подзвонять із з-за росії з приводу рейду ФСБ на резиденцію Максима Якубця («Акви»).
«Справа дійшла до Дня „Д“, і трапився гостинг. СБУ намагалася зв’язатися з [росіянами]. ФБР дзвонило в посольство в Москві. Повна тиша. Ми все одно провели операцію, без ФСБ. Місяці мовчання. Нічого», — розповідає Крейг.
Операція увінчалася певним успіхом — десятки зловмисників нижчої ланки були арештовані в Україні, США і Великобританії. Серед них були й друзі «Танка», які допомагали вивести вкрадені гроші з Англії. Однак суміш корупції й суперництва позбавила операцію Trident Breach головних цілей.
Злочинці з хорошими зв’язками
Не всі в СБУ водять BMW. Після операції деякі українські чиновники були незадоволені корупцією і витоком інформації в спецслужбах країни. Вони дійшли висновку, що донецький рейд проти «Танка» й угруповання Zeus провалився через наведення корумпованого офіцера СБУ Олександра Ходаковського.
У той час Ходаковський був головою загону спецпідрозділу «Альфа» донецької СБУ. Той самий загін керував рейдами в межах Trident Breach. Ходаковський також допомагав координувати роботу правоохоронних органів у регіоні. Це дозволяло йому заздалегідь повідомляти підозрюваним про обшуки, розповідає на умовах анонімності ексофіцер СБУ.
Коли 2014 року почалася війна між Україною і Росією, Ходаковський дезертував. Він став одним із політичних діячів самопроголошеної «ДНР».
Однак проблема була не тільки в цьому корупціонері. Українське розслідування і судовий розгляд щодо «Танка» та його угруповання продовжилися і після рейдів. Але він залишався на свободі.
«Завдяки своїм корумпованим зв’язкам серед керівництва СБУ, „Танк“ домігся, щоб справами проти нього займалася донецька філія, а не Центральне управління СБУ в Києві. У підсумку йому вдалося припинити там розгляд справи», — розповідає колишній офіцер СБУ.
Не дивно, адже «Танк» тісно пов’язаний із колишнім президентом України Віктором Януковичем, який втік з України в росію 2014 року. Водночас «Танк», навпаки, перебрався на Захід, до Києва. У столиці він представляв деякі інтереси експрезидента і власні комерційні підприємства.
Після повалення Януковича нове керівництво України рішуче повернулося в бік Заходу. Останнім часом Україна співпрацює з американцями в розслідуваннях кіберзлочинів на рівні, немислимому для 2010 року. Проте корупція, як і раніше, широко поширена.
Пассуотерс понад 10 років працював з українцями над протидією кіберзлочинності. Він вважає, що в країні є безліч «дійсно хороших людей», які «мовчки працюють на правильному боці».
Насувається загроза
Хоча рейди 2010 року зруйнували значну частину бізнесу Богачова, він залишився відомим підприємцем-кіберзлочинцем. Богачов створив нове злочинне угруповання «Бізнес-клуб». Незабаром воно перетворилося в монстра, який вкрав понад $100 млн. До 2013 року угруповання перейшло від злому банківських рахунків до запуску перших сучасних програм-вимагачів з допомогою інструменту CryptoLocker. Богачов знову опинився в центрі еволюції кіберзлочинності.
Приблизно в той самий час дослідники голландської компанії з кібербезпеки Fox-IT уважно вивчили шкідливе ПО Богачова. Вони виявили, що програма не просто атакує випадкові цілі. Вона непомітно шукає інформацію про поліцію, військових і розвідувальні служби в Грузії, Туреччини, Сирії й Україні. Стало зрозуміло, що Богачов не просто працює в росії. Його шкідливе ПО насправді видобувало розвіддані для Москви.
Сьогодні ФБР пропонує $3 млн за інформацію, яка сприятиме арешту Богачова. Вище гонорар тільки за інформацію щодо Максима Якубця — $5 млн. Це дві найбільші нагороди за арешт хакерів.
Через кілька тижнів після мовчання, під час донецьких рейдів у Москві таки оформили ордер на обшук в Якубця. Проте він залишився на волі. «Аква» навіть розширив свою діяльність — зараз він керує власною кіберзлочинною імперією Evil Corp.
Згідно з обвинувачувальним актом від 2019 року, Evil Corp відповідальний за крадіжки в розмірі не менше $100 млн. За два останні роки сума зросла. Сьогодні цей синдикат — одна з найбільших банд вимагачів у світі. Як і у випадку з Богачовим, Якубець, схоже, зацікавлений не тільки в прибутку. За даними Мінфіну США, до 2017 року він почав працювати на ФСБ.
«За ці роки були деякі тактичні перемоги, але до цього дня я бачу, як одні й ті самі хлопці спливають то тут, то там. Ми називаємо їх „старими вовками“ кіберзлочинності. Я особисто вважаю, що якби „Танка“, „Акву“ та „Славіка“ схопили 2010 року, сьогодні ситуація була би зовсім іншою», — резюмує Пассуотерс.