Дикое киберполе: зачем хакеры перебираются в Одессу
В Одессе возле памятника Дюку на Приморском бульваре стоит двухэтажный автобус, но он никуда не едет. Внутри - бар. Коньяк здесь подают в пробирке, супчик - в мензурке. Ранний посетитель - мужчина в отглаженных брюках и остроносых ботинках, - махнув водки, подсаживается к журналисту из России и вызывается показать местные достопримечательности. Через полчаса разговора выясняется, что навязывающий себя гид - бывший офицер спецслужб, а его расспросы становятся открыто подозрительными.
Эта история вполне характерна для приморского города. “Одесса - удивительный город, там агент на агенте, и плетутся интриги спецслужб всего мира”, - со знанием дела говорит основатель одного из российских подпольных форумов для web-мастеров. Спецслужбам есть на кого там охотиться. Одесса считается неформальной столицей украинских хакеров, и именно сюда последние годы приводят электронные следы громких международных хакерских атак, мошенничества в онлайн-банкинге, DDoS-атак на сайты российских госучреждений и компаний.
Несколько российских киберпреступников после облав в России нашли здесь убежище.
"Киберпреступность с самого начала своего существования тяготела к Одессе, - говорит Forbes Константин Корсун, 43-летний полковник, экс-офицер подразделения по борьбе с хакерами Службы безопасности Украины (СБУ). - Могу лишь предположить, что это как-то связано с высокой степенью коррумпированности местных правоохранительных органов и их тесными связями с "традиционным" криминалитетом. А может, им [хакерам] там просто климат нравится, море, достаточно большой город, в котором легко затеряться". Forbes выяснил, кто и почему скрывается в Одессе.
Осколки Carberp
“Мы услышали грохот. Сильный грохот. Дверь квартиры открылась, и мы забежали внутрь. В темноте рыскали красные точки лазерных прицелов, слышался звон падающих на пол осколков разбитых окон, и раздавались крики: «На пол!», «Включите свет!» Подозреваемый ползал по полу коридора в трусах и визжал. Я осмотрелся: на рабочем столе в комнате стояли ноутбук и моноблок, раскиданы флешки и телефоны”, - вспоминает криминалист Group-IB Артем Артемов операцию по задержанию в Москве одного из лидеров хакерской группы Carberp. От ее действий пострадали клиенты 100 банков по всему миру, только за три первых месяца 2012-го киберпреступники похитили минимум 130 млн рублей.
Чуть позже появилось и видео захвата: спустившись с крыши на веревках, бойцы спецназа МВД “Рысь” выломали раму и ввалились в окно 15-го этажа. Это произошло 4 марта 2012 года, а в мае того же года участник форума Antichat под ником GizmoSB написал встревоженный пост: “Какими средствами возможно вызвать бан ролика на ютуб? Может, жестко накрутить просмотры или DDoS определенного ролика даст результат?”
Под ником GizmoSB скрывался член той самой хакерской группы Carberp - 25-летний Роман, который, как считает следствие, отвечал за создание и функционирование бот-сети - цепи компьютеров, зараженных вредоносной программой. Всю техническую работу за Gizmo выполняли другие люди - вирусописатели, программисты, но именно Gizmo давал заливщикам реквизиты компаний - они проверяли баланс клиентов банков, выжидая момент, когда лучше увести деньги. Руководителями группы заливщиков и группы обнала в Carberp были братья Александр и Николай Покорские.
Их отец, по словам источника Forbes, имел отношение к ГРУ Генштаба РФ.
Про самого GizmoSB известно немного. Он родился в Абхазии. Пока учился в одном из московских университетов, искал способы заработать, например, открыть ферму по разведению осетров. Но деньги принесла не рыба, а хакерские форумы. Роман начинал с DDoS-атак, которые приносили небольшой доход, в среднем около $100 в день. “С моими познаниями даже на мороженное не заработаешь)) мне просто нужен хороший поток траффика… очень большое количество траффика … 50-100 к в день”, - писал Gizmo в сентябре 2008 года.
В тот год, считает следствие, и была создана группа Carberp, состоявшая минимум из 8 человек, которые за четыре года совершили тысячи хищений у компаний по всей России. Для комфортной работы «заливщиков» руководители группы открыли офис, замаскированный под сервис по восстановлению данных.
В марте 2012 года начались аресты - были задержаны восемь членов Carberp, в том числе и Gizmo, но позже его отпустили под подписку о невыезде. Хакер не стал дожидаться суда и уехал на родину в Абхазию. Через 5 месяцев он сделал поддельные документы на имя гражданина Литвы и вылетел в Кипр на встречу с беременной женой. В то время он уже был объявлен в федеральный, а затем и в международный розыск. Сейчас Gizmo находится на территории Украины и занимается поисковой оптимизацией. Не так прибыльно, но зато спокойно.
В чеченском плену
Деревянная бита, билет на поезд Москва — Киев, два российских паспорта на имя чеченцев из Урус-Мартановского и Шалинского районов, мобильный телефон, сим-карты, пара наушников, принтер HP, ноутбук и коммуникатор HTC. Все это вещественные доказательства по уголовному делу №1522/18915/12. В тексте приговора, который корреспонденты Forbes отыскали в реестре решений Приморского районного суда Одессы, нет ни фамилий, ни адресов. Только короткая фабула - неназванный компьютерщик из Москвы провел четверо суток в “чеченском плену”. Из Одессы его под охраной перевезли в Херсон, потом - в Симферополь и вернули назад в Одессу.
От пленника требовалось развернуть бот-сеть для кибератак и хищения денег в онлайн-банкинге, иначе похитители - суровые мужчины с Северного Кавказа - грозили переломать ему ноги битой.
Чеченцы знали, кто поможет им заработать в онлайне. В России Алексей "Pioneer" руководил заливщиками одного из подразделений хакерской группировки Carber. После того как в марте 2012 года ФСБ, МВД и детективы киберагентства Group-IB разгромили Carberp, Pioneer через Белоруссию сбежал на Украину и обосновался в Одессе.
"В Москве Gizmo и Pioneer вряд ли были знакомы, но их знали братья Покорские", - говорит источник, близкий к следствию. По его словам, Pioneer руководил заливщиками во второй ветке группировки Carberp. Алексею повезло: в день, когда происходили массовые задержания, его не оказалось дома. В Одессе, куда он бежал, хакера вычислили чеченцы. Пленнику удалось сделать звонок - и местные милиционеры его быстро нашли и освободили. Дело завершилось полюбовно: на суд Pioneer не ходил, претензий не выдвигал, чеченцам дали два года с отсрочкой исполнения приговора на три года и выпустили в зале суда. Pioneer по-прежнему находится на Украине, на вопросы Forbes через соцсети он не ответил.
"Всегда удобно прятаться за трансграничностью - воровать в одном месте, а прятаться в другом. У местных правоохранительных органов нет к тебе претензий, и они дают тебе дышать, - считает Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. - Атаки с Украины продолжаются. Последний тренд - взлом банковских систем. Ломают уже не клиентов банков, а уже из самих банков пытаются вывести крупные суммы".
С Дерибасовской выдачи нет
"Хакерской столицей Одессу принято считать лишь потому, что здесь живу и работаю я”, - заявил Forbes глава интернет-партии Украины Дмитрий Голубов. В начале нулевых Голубова обвиняли во взломе американских банковских систем и хищении $11 млн, а зарубежная пресса наделила его титулом "крестного отца” восточноевропейской хакерской мафии. "Я оправдан всеми судами, которые не нашли в моих деяниях состава преступления", - комментирует Голубов.
Кроме Голубова в Одессе есть еще несколько известных персонажей, замечает Дмитрий Волков, глава службы расследований детективного кибер-агентства Group-IB. Например, Legal-D - владелец одного из наиболее популярных сервисов по проведению DDOS-атак. На его сайте (который сейчас заблокирован) были указаны расценки: сутки от $50, месяц - от $1000. “Legal-D причастен ко многим политическим атакам, - говорит Волков. - Еще во время майдана он атаковал местные правительственные и новостные сайты. В последнее время Legal-D атаковал сайты politikym.net,ura-inform.com, progorod.info, crime.in.ua.
Среди других местных интересных персонажей - Абдулла, владелец одного из самых дорогих и надежных хостингов, которыми пользуются хакеры, кардеры, спамеры, создатели порно-ресурсов.
Когда-то он был участником нашумевшей киберпреступной группы RBN (Russian Business Network), но сейчас у него свой дата-центр, востребованный многими опасными киберпреступниками. Благодарные клиенты даже сочинили про Абдуллу песню: “Хостятся те, кто не любит класть бабки в банки. Те, кто знает, на что способен пластик с магнитной лентой.... Сервак не встанет и клиентам не о чем жалеть, ведь он пуленепробиваемый, как бронежилет”.
“Абдулла давно пропал из Одессы, его видели в Иловайске, воющего в рядах одного из дагестанских ОПГ", - уверяет корреспондентов Forbes Голубов, и по тону его письма не понятно, говорит он серьезно или шутит. Но в оценках он категоричен: “Хакерское подполье в Одессе представлено тремя несовершеннолетними поцами, которых регулярно арестовывают за попытку взлома сайтов школ”.
"Проделки американцев"
Во время одного из последних визитов в одесскую квартиру родителей Михаил Рытиков забрал все свои фотографии во взрослом возрасте. Вычистил и страницы в соцсети. А спустя несколько месяцев исчез. Рытикова объявил в розыск Интерпол. Его и несколько российских хакеров власти США обвиняли в краже данных 160 млн кредитных карт клиентов американских банков, магазинов, финансовых учреждений и даже биржы Nasdaq. "Мама, если случится что-то плохое, то я в этом не виноват - это все проделки американцев", - вспоминала в одном из интервью слова сына Людмила Рытикова.
В марте 2014 года американские сенаторы Марк Кирк и Марк Ворнер опубликовали заявление относительно киберпреступности на Украине. "Эксперты в области кибербезопасности говорят, что ... украинский город Одесса имеет репутацию крупнейшего в мире интернет-рынка украденных кредитных карт", - говорится в заявлении. Сенаторы считают, что американские власти должны усилить совместную работу с украинской стороной, отправить на Украину агентов ФБР для помощи местным силовикам в поимке хакеров, а также усовершенствовать процедуру выдачи подозреваемых в США.
“Времена меняются, и Украина сейчас не самое спокойное место для хакеров, которые работают по США или Европе, - считает экс-сотрудник Центра информационной безопасности ФСБ. - Украина дружит с США, и им будет за счастье выдать гражданина России, попавшегося на киберпреступлении. Другое дело, если эти хакеры работают исключительно против России”.
В Одессе борьбу с хакерами ведет Управление борьбы с киберпреступностью ГУМВД Украины в Одесской области, которое возглавляет Юрий Выходец. «Одесса — большой город, поэтому не удивительно, что у нас есть хакеры. Правда, говорить, что наш город — это столица, будет все же преувеличением. Это справедливо только в масштабах Украины, но никак не мира», — говорил в интервью украинскому ресурсу "Вести" Выходец. Попытки Forbes связаться с Выходцом не увенчались успехом, он постоянно был на совещаниях. Сейчас при попытке зайти на сайт Управления по борьбе с киберпреступностью Google выдает предупреждение о том, что сайт небезопасен - на нем происходит загрузка вредоносного ПО.
После присоединения Крыма и войны на юго-востоке Украины сотрудничество российских и украинских силовиков оказалось заморожено. На фоне этого украинские хакеры стали еще активнее атаковать российские госсайты и взламывать банковские счета, а специалисты по IT-безопасности - записываться в ополчение для защиты своего киберпространства.
В России весьма популярны истории о нелегальных кибергруппах, которые находятся на службе у ФСБ, СВР и АП: за работу на государство они получают индульгенцию за прошлые грехи.
Именно им приписывают массированные DDoS-атаки на cайты правительственных учреждений, банков, медиахолдингов Эстонии в апреле 2007 года и Грузии в августе 2008. "У нас в этом плане все намного хуже, потому что всех полухакеров сегодня приговоривают к реальным срокам, не предлагая им поработать на государство, - замечает Голубов. - Правил индульгенции до сих пор нет, хотя я неоднократно это предлагал”. Глава интернет-партии сам баллотируется в Верховную раду и уже знает, какой закон нужен Украине. “Я планирую внести законопроект о немедленном создании подобного органа [киберподразделения] на базе СБУ".