Охота на русских хакеров

Около 8 утра 14 марта полицейские бесшумно подошли к дверям роскошного дома Карима Баратова в Анкастере, провинция Онтарио. Офицеры миновали гараж, где стояли черный Mercedes Benz и Aston Martin DBS Баратова — наглядные свидетельства того, что у 22-летнего молодого человека есть деньги. Спустя несколько минут они задержали этого уроженца Казахстана. Это стало несколько скомканным окончанием международной "кибердрамы», в которую были вовлечены высшие эшелоны американского правительства, российские шпионы, глобальный киберкриминальный синдикат и сотни миллионов ни о чем не подозревающих американцев.

В настоящее время Баратов ожидает суда в США по обвинению в пособничестве взлому полумиллиарда аккаунтов Yahoo — это стало самой масштабной хакерской атакой в истории. Его сообщниками стали 29-летний Алексей Белан, довольно известный российский хакер, который до сих пор находится на свободе, и двое офицеров российской разведки: 33-летний Дмитрий Александрович Докучаев и 43-летний Игорь Анатольевич Сущин. Их дело является наиболее ярким примером того, как российское правительство сотрудничает с киберпреступниками, чтобы достичь своих целей на международной арене посредством операций в киберпространстве, и почему правительствам различных стран так трудно найти организаторов и исполнителей этих атак, не говоря уже о том, чтобы их наказать.

Согласно сообщениям американских правоохранительных агентств, Баратов был наемным хакером. По всей видимости, он согласился выполнить работу, не обдумав возможные последствия.

«Хакерская атака на Yahoo стала наглядным свидетельством того, что правительство США может вмешаться и заявить: мы знаем, чем вы занимаетесь, и мы можем это доказать, — отметил Милан Пател (Milan Patel), бывший технический руководитель киберподразделения ФБР, а ныне исполнительный директор компании K2 Intelligence, специализирующейся на обеспечении кибербезопасности. — В прошлом США и Россия постоянно проводили тайные операции друг против друга. Но, что касается России, сейчас многое всплывает на поверхность, и информация об их операциях в киберпространстве становится общеизвестной».

Так было не всегда. В середине 2000-х годов агенты ФБР пытались сотрудничать со своими коллегами из ФСБ в рамках расследований деятельности хакеров: тогда проводились регулярные встречи американских и российских агентов в надежде на то, что этим двум странам удастся остановить набирающую мощь волну киберпреступности. По крайней мере, так ситуацию видели американцы.

 
«Мы сообщали им о том или ином человеке, которого мы искали, после чего этот человек мистическим образом исчезал. Но спустя некоторое время он снова появлялся, и мы узнавали, что он работает на российское правительство, — рассказал Пател. — Фактически мы помогали ФСБ находить талантливых людей и вербовать их, сообщая агентам этой службы о тех, кого мы искали».

Арест Баратова и его сообщников стал сигналом начала масштабного наступления американских властей на российских киберпреступников. Эксперты в области кибербезопасности и правительство США в течение многих лет изучали связи между киберпреступниками и российским государством, включая то, как вредоносные программы, разрабатывавшиеся сначала для преступных группировок, затем применялись в рамках спонсируемых российским государством кибератак против соседей России и как армии ботов, созданные хакерами, в какой-то момент начинали атаковать противников России. Теперь они, очевидно, готовы нанести удар. Ранее в апреле испанские власти, действуя по просьбе США, арестовали Петра Левашова, который уже давно считается одним из мировых королей спама. Пять месяцев назад США заявили, что несколько известных российских хакеров несут ответственность за хакерские атаки на национальный комитет Демократической партии, которые, по их мнению, должны были повлиять на исход президентских выборов 2016 года. Тем, кто следит за взаимодействиями ведущих мировых хакеров, эти имена хорошо знакомы. Но главной новостью стала готовность американских властей опубликовать имена хакеров и начать открытое преследование российских киберпреступников, помогающих правительству России осуществлять его агрессивные атаки в киберпространстве.

В прошлом месяце трое российских хакеров рассказали BuzzFeed News, что вокруг того, как далеко могут зайти аресты и как долго американские власти будут преследовать хакеров, поднялась «паника». Чиновники американских служб безопасности сообщили BuzzFeed News, что у хакеров есть веские причины для страха.

«Что касается России, мы уже достигли точки кипения. Русские являются главными соперниками США, когда речь заходит о кибершпионаже и кибератаках, — сказал Пател. — Но Россия играет по иным правилам — или совсем без правил».

Если вы попросите американцев описать типичного российского хакера, который совершает атаки на США, вероятнее всего, они станут описывать какого-нибудь взъерошенного российского подростка, сидящего в плохо освещенном подвале, или угловатого военного в помещении, напоминающем склад, где находится еще сотня таких же военных, щелкающих по клавишам в попытке ослабить США. Но правда в том, что российские кибероперации намного сложнее и запутаннее этих двух сценариев: российское правительство действует посредством сети хакеров, которых оно набирает внутри вооруженных сил и разведки, а также посредством киберкриминальных сетей и наемных хакеров, которых оно при необходимости может завербовать.

«Это многоуровневая и очень гибкая система. Именно поэтому ее так трудно проследить и распутать, — отметил один агент ФБР, который работает в киберподразделении этого агентства и который попросил сохранить его имя в тайне. — К примеру, российская разведка решает, что ей нужно взломать eBay, чтобы найти информацию о конкретном человеке. Они могут сделать это посредством собственной команды хакеров, или найти хакера, который уже взломал нужный им компьютер, и заставить его обеспечить им доступ к нему, или они могут заплатить человеку, который уже взламывал eBay, чтобы он сделал это снова».

По словам этого агента, такая гибкость всерьез затрудняет работу ФБР и других агентств, которые пытаются проследить, какие системы подвергаются взлому и почему.

«Они воспользуются любыми методами, чтобы проникнуть в систему, и они не видят границ между преступниками, которые взламывают системы ради заработка, и теми, кто взламывает системы по поручению правительства, — сказал он. — Они могут взламывать eBay, чтобы красть номера кредитных карт или чтобы проводить секретные кибероперации против, скажем, членов Конгресса. Они могут делать и то и другое. Поэтому довольно трудно определить, когда хакерская атака угрожает национальной безопасности, а когда — нет».

Хакерская атака на Yahoo, в результате которой были украдены данные 500 миллионов человек, является отражением сложных отношений между хакерами и их жертвами. Аккаунты Yahoo были взломаны в 2014 году, однако компания обнаружила это только в сентябре 2016 года. Спустя несколько месяцев Yahoo заявила о том, что она обнаружила следы другой, более ранней атаки, которая произошла в 2013 году и жертвами которой стали еще 500 миллионов человек. Эти две атаки стоили компании примерно 350 миллионов долларов, поскольку многие пользователи покинули эту платформу из соображений безопасности. По словам экспертов в области кибербезопасности, это стало мощным ударом по Yahoo.

Представитель Yahoo не ответил на просьбу дать интервью BuzzFeed News. В своем публичном заявлении, опубликованном вскоре после выдвижения обвинения руководство Yahoo отметило: «Это обвинение недвусмысленно показывает, что атаки на Yahoo были проведены по заказу правительства. Мы очень благодарны ФБР за то, что оно расследует эти преступления, и Министерству юстиций за то, что оно выдвигает обвинения против тех, кто несет за них ответственность».

В течение нескольких недель эксперты по кибербезопасности, занимавшиеся расследованием полагали, что они имеют дело со случаем корпоративного шпионажа. Однако когда стали известны масштабы атаки, эксперты начали опасаться, что некий враг США собирает огромную базу данных обо всех гражданах США, в которую вошли личные данные и аккаунты электронной почты, которые можно взламывать ради получения нужной информации. В обвинительных актах, выдвинутых в марте против Баратова, Белана и офицеров ФСБ, говорится, что эта группа хакеров взламывала Yahoo в первую очередь ради получения данных представителей политической и финансовой сфер. Сотни миллионов взломанных аккаунтов людей, которые тоже стали жертвами тех атак — это просто сопутствующий ущерб.

«Люди, которые взломали Yahoo, — это преступники. Они вполне могли кинуть клич и продать всю базу данных тому, кто предложить больше, — сказал упомянутый выше агент ФБР. — Нам повезло, что они этого не сделали.

Об этих четырех хакерах известно достаточно, чтобы примерно обрисовать картину того, как они встретились и провели атаку. Некоторое время назад, как пишет российское издание РБК, в хакерских кругах Докучаев был известен как Forb, и он открыто предлагал свои услуги, но позже он начал работать на правительство. В ФСБ Докучаев познакомился с Сущиным, и они вместе вышли на Белана, уроженца Латвии, которого ФБР разыскивало с 2012 года.

«Вот как все происходит: они ловят одного хакера, а затем заставляют его расставлять ловушки для его друзей», — рассказал один российский хакер, согласившийся дать интервью BuzzFeed News на условиях анонимности. Этот хакер, который недавно вышел из тюрьмы и сразу же после освобождения уехал из России, сказал, что, чтобы заставить хакеров работать на российскую разведку, на них оказывается мощное давление. «Они давят на вас. Это вовсе не вежливое предложение. Они могут постучать к вам в дверь или настучать по голове. И, если они не могут угрожать вам, они начинают угрожать вашей семье».

Пока неясно, как эти люди связались с Баратовым, который иммигрировал в Канаду вместе с семьей из Казахстана в 2007 году. По словам следователей, Баратов был наемным хакером. В своем посте в Facebook, опубликованном 14 июля 2016 года, Баратов написал, что впервые он узнал, насколько прибыльным делом может быть хакерство, когда его выгнали из школы за шуточные угрозы убить его бывшего друга. Поскольку ему больше не нужно было ходить в школу, Баратов посвятил все свое время работе над онлайн-проектами и «сумел перевести свой бизнес на следующий уровень».

В этом посте, где он разместил фотографии BMW, Audi и Lamborghini, говорится, что он смог зарабатывать в три или даже в четыре раза больше обычного.

Как только этой группе хакеров удалось получить доступ к Yahoo, они взломали аккаунт министра экономического развития страны, расположенной по соседству с Россией, журналиста, проводящего расследования для российской газеты «Коммерсантъ», и исполнительного директора американской частной инвестиционной компании, о чем говорится в материалах дела. Эксперты ФБР считают, что помимо взломов систем представителей политического класса, на которых настаивала ФСБ, Белан также пользовался базой данных Yahoo, чтобы заработать посредством краж номеров кредитных карт и различных схем, направленных против пользователей Yahoo. В ноябре 2014 года он внес такие изменения в базу данных Yahoo, что любой человек, интересовавшийся методами лечения эректильной дисфункции, перенаправлялся в его собственную онлайн-аптеку, в результате чего он получал комиссию.

«Если вы посмотрите на это дело, вы увидите, что в нем присутствуют элемент угрозы национальной безопасности и криминальный элемент. Это дело нельзя однозначно причислить к какой-то одной категории», — отметил агент ФБР.

По словам Патела, ФБР часто с трудом удается отделить случаи хакерских атак, которые носят преступный характер, от политически мотивированных атак или атак, каким-то образом связанных с российским государством. «Правительство пытается установить возможные связи между расследованиями атак, имеющих отношение к национальной безопасности, и атак, которые носят преступный характер, потому что теперь эти два мира связаны между собой», — сказал он, добавив, что департаменты стараются объединять свои усилия и делиться секретной информацией там, где это возможно.

Пока неясно, кто внутри ФСБ отвечал за работу этой группы хакеров и не получали ли они приказы от какого-нибудь другого правительственного агентства. В декабре 2016 года Докучаева арестовали в России и обвинили в государственной измене. Его арест, по всей видимости, стал частью своеобразных чисток в рядах российской армии и в среде экспертов по кибербезопасности, хотя сейчас об этом мало что известно.

Андрей Солдатов, российский журналист, занимающийся независимыми расследованиями, и автор книги «Красная сеть», посвященной действиям Кремля в киберпространстве, говорит, что, хотя тактика российского правительства по привлечению сторонних групп к выполнению его заданий помогает ему дистанцироваться (и отрицать свою причастность), она также делает Кремль уязвимым перед хакерами, которые могут взбунтоваться.

«Хакеры не относятся к той категории людей, которых легко контролировать, — сказал Солдатов. — Иногда они могут нарушать приказы».

На вопрос о том, почему они решили стать хакерами, многие российские хакеры отвечают, что ответить на этот вопрос — это то же самое, что ответить на вопрос о том, что было раньше, яйцо или курица.

«Я взламывал, потому что хотел быть в сети, и я выходил в сеть, потому что взламывал», — сказал один российский хакер, который считает себя ветераном в своей области, потому что он принимал участие в схемах взлома кредитных карт в 1990-х годах. Он согласился дать интервью BuzzFeed News на условиях анонимности, потому что опасается за свою безопасность и безопасность своей семьи. «В 1990-х годах интернет могли себе позволить только богачи и хакеры».

Интернет пришел в Россию после распада Советского Союза. Разрушенная экономика и политическая неопределенность означали, что только избранные могли позволить себе выход в интернет, где за несколько часов можно было потратить несколько сотен долларов. Этот российский хакер сказал, что он с друзьями проворачивал первые схемы с кредитными картами, чтобы оплачивать интернет, который они затем использовали для того, чтобы узнать больше о процветавшем мире онлайн-преступности.

«В хакерском деле мы были младенцами. Никто не знал, что такое возможно, — сказал он. — Но когда в Россию пришел интернет, с ним пришли и хакеры».
Полиция сначала игнорировала киберпреступников, и со временем сложилось негласное правило: если хакеры не трогают людей и институты внутри России, государство не будет их преследовать.

К началу 2000-х годов те капли, которые просачивались благодаря различным онлайн-схемам, превратились в поток. Пател, который помогал ФБР расследовать киберпреступления в то время, отметил, что российские преступные группировки заинтересовались новым источником дохода.

«Традиционная организованная преступность в России переместилась в киберпространство, когда осознала потенциальную прибыльность. Когда они освоились там, вся структура изменилась, — сказал Пател. — Как только в дело вмешалась организованная преступность, возникла некая структура, что позволило правительству постепенно внедриться в нее и начать использовать ее в своих интересах».

США все еще продолжали работать с Россией, когда Кремль инициировал то, что теперь многие называют первой атакой государства на другое суверенное государство. При помощи армии ботов, созданной российской киберкриминальной сетью, российские хакеры провели массированную сетевую атаку на интернет-ресурсы Эстонии.

«Сетевая атака на Эстонию в 2007 году стала результатом государственно-частного партнерства, — сказал бывший президент Эстонии Тоомас Хендрик Ильвес (Toomas Hendrik Ilves). — Российское государство вступило в сговор с существующей в России киберпреступной сетью, чтобы достичь своей цели. Российское государство заплатило за эту услугу, как оно платит за все остальное».

Руслан Стоянов, бывший глава отдела расследований киберпреступлений в «Лаборатории Касперского», недавно заявил, что российское правительство систематически вербует хакеров из криминального подполья, предлагая им иммунитет в обмен на их услуги. Его письмо было опубликовано на сайте независимого телеканала «Дождь». Стоянов написал это письмо, находясь в изоляторе, куда его отправили в декабре по обвинению в государственной измене. Он был арестован в рамках той же чистки, что и Докучаев.

«Суть сделки — государство получает доступ к технологиям и информации "киберворов" в обмен на разрешение безнаказанно воровать за рубежом», — написал Стоянов. По его мнению, его отправили в тюрьму, потому что он угрожал деловым интересам высокопоставленных представителей российской армии и разведки, которые зарабатывали на киберпреступниках.

По словам хакеров, Кремль — не единственное правительство, которое пытается завербовать их для выполнения различных задач. 27-летний гражданин Украины Михаил Рытиков в настоящее время разыскивается американскими властями, которые обвиняют его в оказании услуг некой киберкриминальной группировке, укравшей 160 миллионов номеров кредитных карт. Рытиков, который сейчас находится на Украине, рассказал BuzzFeed News, что он хочет предъявить обвинение агентам американского правительства за то, чтобы они оказывали на него давление, пытаясь заставить его работать на правительство в обмен на иммунитет. Другие хакеры, арестованные в США, рассказывают очень похожие истории о ФБР, которое предлагаем им свободу в обмен на помощь агентствам США.

«Россия — не единственная, кто это делает, — сказал Аркадий Бух, нью-йоркский адвокат, защищавший многих российских хакеров. — Но Россия сумела извлечь больше пользы и этой системы».

Аркадий Бух уже около 10 лет защищает хакеров, в основном из России и Восточной Европе, в американских судах. Но за последний год кое-что изменилось.

«Ко мне стали намного чаще обращаться хакеры с вопросом о том, какое наказанием им может грозить, еще до совершения преступления. Они все чаще хотят с самого начала знать о возможных последствиях, — сказал Бух, который очень много времени проводит на русскоязычных форумах, предоставляя хакерам юридические консультации. — Они хотят знать, как далеко они могут зайти. Где линия, которую нельзя пересекать».

Один российский хакер, который согласился пообщаться с BuzzFeed News посредством мессенджера, находясь в одной из стран Юго-Восточной Азии в «долгосрочном отпуске», сказал, что российские хакеры сейчас переживают переломный момент — это касается их отношений с США и их будущей роли в киберпреступном мире.

«До настоящего момента все спокойно занимались этим бизнесом. Это были легкие деньги, и, если ты знал меру, ты мог жить очень хорошо», — рассказал этот хакер.

Но, по его словам, все может измениться, если давление со стороны США не ослабнет. Как только хакера начинают разыскивать, как только США или Евросоюз предъявляют ему обвинение, он вынужден искать безопасное убежище внутри России, где власти стали гораздо жестче принуждать хакеров выполнять их приказы.

«Те, кто прячется в России от властей США — сколько они смогут прожить в России спокойно? Они в ловушке. Это не самая лучшая жизнь», — сказал он.

Однако все эти загнанные в ловушку хакеры являются частью той индустрии, которая ежегодно приносит сотни миллионов долларов. По мнению экспертов в области кибербезопасности, Россия является одним из лидеров в области вредоносных программ. Программы-вымогатели, которые устанавливаются на устройство и держат его в заложниках, пока его хозяин не заплатит выкуп, в основном разрабатываются в России. По оценкам «Лаборатории Касперского», около 75% подобных программ было разработано в России. Никто точно не знает, сколько денег это приносит, но, по мнению экспертов, часть этих денег тратится на разработку еще более опасных, сложных и прибыльных схем.

Большинство людей не застраховано от того, чтобы стать жертвами подобных схем.

«Чем больше компьютеров они взломают, тем более широкий доступ будет иметь российское правительство, когда ему это понадобится, — сказал этот хакер. — Хакеров все настойчивее принуждают взламывать все новые и новые компьютеры».