Хакер, не создавший красную кнопку
В июне 2016 года ФСБ и МВД сообщили о задержании крупнейшей в истории России группировки хакеров, в которую входили свыше 50 человек из 15 регионов России и стран ближнего зарубежья. С помощью вирусной программы хакеры похитили из банков более 1,7 млрд рублей. Кроме того, силовикам удалось заблокировать вывод средств по фальшивым платёжным поручениям на сумму 2,273 млрд рублей.
По версии следствия, хакерами руководил екатеринбуржец Константин Козловский. Дожидаться суда его отправили в СИЗО «Матросская тишина».
Вскоре история хакеров затерялась в новостной повестке. Однако 14 августа в соцсети Facebook появилась страница человека с именем Константин Козловский и фотографией самого хакера, сделанной в зале суда. Неизвестный пользователь поставил на страницу «хакерскую» обложку с лэптопами, земным шаром и двоичным кодом, а также статус «В поисках справедливости. Пусть все знают правду».
Вслед за этим на странице были опубликованы письма Козловского с признаниями, что он «был завербован сотрудниками ФСБ и по их поручению выполнял кибератаки в отношении США и ЕС». «В частности, речь идёт о взломах национального комитета Демократической партии США и переписки Хиллари Клинтон», — пишет Козловский.
Также Козловский сообщает, что якобы «работал по целям в Европе» (WADA и Олимпийский комитет), а также проводил атаки на СМИ (вброс в РИА Новости о смерти Горбачёва) и против бизнесменов (например, депутата Госдумы Андрея Лугового).
Согласно откровениям хакера в Facebook, его деятельность курировал сотрудник ФСБ Дмитрий Докучаев, который в настоящее время обвиняется в госизмене.
Закончилось сотрудничество Козловского с ФСБ тогда, когда спецслужбы якобы потребовали от хакера создать так называемую красную кнопку — «техническое решение, позволяющее ФСБ осуществить массированное разрушение инфраструктуры США и ЕС». Теперь хакер просит внимания общественности и согласен получить политическое убежище «в любой западной стране».
Впрочем, все эти заявления в Facebook так и остались бы незамеченными, если бы «неожиданно» на эту страницу не наткнулись журналисты. После этого в СМИ появились публикации о сенсационных признаниях хакера. Однако, как выяснил RT, все эти заявления не имеют отношения к действительности.
«Заявления Козловского — бред»
Cейчас в столичных СИЗО дожидаются суда ещё семь хакеров, входивших в группировку Козловского. Их адвокаты в беседе с RT заявили, что не стоит относиться к заявлениям Козловского всерьёз. Так, Михаил Совкунов — адвокат Александра Ерёмина, входившего в хакерскую группировку, — заявил корреспонденту RT, что его подзащитный не имеет никого отношения к той деятельности, о которой сообщил в своём заявлении Козловский.
«Я слышал это заявление Козловского в суде на продлении меры пресечения. Но это пустые слова, — считает Совкунов. — Видимо, он просто избрал такой способ защиты для привлечения внимания общественности к делу. Но мой подзащитный и к Козловскому-то отношения особого не имеет. Он даже его и не видел ни разу, хотя они земляки. Они познакомились только в суде».
При этом, по мнению защитника, страницу в соцсети ведёт не Козловский, поскольку выкладывать в сеть подобные документы из СИЗО невозможно.
Николай Колоцей, адвокат другого обвиняемого — Игоря Попова, заявил RT, что считает само заявление Козловского бредом.
«Я считаю, что это бред, — заявил Колоцей. — Если кто-то это и делает, то не Козловский, а кто-то иной. Он (Козловский. — RT) в полной изоляции. Возможно, это кто-то из защитников. Но тут ведь что интересно: у Козловского нет адвоката по соглашению. У него адвокат по назначению».
Колоцей также подчеркнул, что его подзащитный (по версии следствия, Игорь Попов отвечал в группировке за обналичивание денег) не знает Козловского и невиновен.
«Все адвокаты так говорят, но я действительно считаю, что мой подзащитный невиновен, — сказал Колоцей. — У него нулевой уровень владения компьютером — как он мог участвовать в группировке хакеров?»
Адвокат Татьяна Алексеева, представляющая интересы обвиняемого Кобыльского, заявила, что впервые слышит от журналистов о заявлениях предполагаемого лидера группировки Козловского, что хакеры взламывали сервера Демократической партии США. «Я ни о чём таком не слышала», — сказала Алексеева, отказавшись от дальнейших комментариев.
Адвокаты других обвиняемых в беседе с RT также заявили, что заявления Козловского не имеют отношения к материалам дела.
«Заявления Козловского — давление на следствие»
Причастность Козловского к взлому сайтов американских политиков отрицает и член ОНК, вице-президент российского подразделения международного Комитета по защите прав человека при ООН Александр Ионов. По его словам, в июле этого года он навещал хакера в следственном изоляторе и общался с ним.
«На тот момент он сидел в четырёхместной камере с известными людьми, — рассказал RT Ионов. — Он и мне сказал, что имеет отношение к взлому Демократической партии и всего остального. Но я ознакомился с материалами дела и понимаю, что сопоставить их с его утверждениями про США просто нереально. Поэтому Козловский, на мой взгляд, делает это просто ради пиара. Он даёт возможность американцам сейчас заявить, что появились хакеры, которые якобы участвовали в нападении на сервера Демократической партии по заказу ФСБ».
Кроме того, по мнению Ионова, этими заявлениями Козловский пытается оказать давление на следствие. «Изучая материалы дела, я понял, что этими заявлениями он, возможно, пытается оказывать давление на следствие. Потому что то оборудование, которое было изъято у него и его подельников, содержало информацию только о работе в банковских системах, — рассказал RT эксперт. — Речь идёт о так называемом кардинге, когда воруют деньги с карт, и привязке к электронным счетам. Если бы Козловский взломал какие-нибудь интерактивные сети в США, то это было бы видно из материалов дела. Информация об этом сохранилась бы на электронных носителях, в том числе и на тех, которые приобщены к материалам дела. Но их нет».
По словам Ионова, у группировки была троянская программа, которая помогала взламывать банковские системы. Также хакеры делали копии электронных карт, чтобы снимать деньги с счетов жертв.
Эксперт отмечает, что, несмотря на то что делу проходит более 20 человек, больше никто из задержанных хакеров не заявлял о взломе серверов Демпартии США.
ФСИН грешит на адвоката
Собеседники RT во ФСИН подчёркивают, что сам Козловский физически не мог выкладывать протоколы судебных заседаний в интернет, поскольку у хакера нет контактов с внешним миром и он находится в изоляторе ФСБ со строгим соблюдением норм безопасности.
«Он находится в полной изоляции, у него нет доступа к интернету», — рассказал собеседник RT в центральном аппарате ФСИН, хорошо знакомый с режимом содержания Козловского.
По словам источника RT, ответы на обращения Козловского из МВД, направленные на имя начальника СИЗО №1 (имеющиеся в числе опубликованных на странице документов), подлинные.
«Это ответы на обращения, которые направлял в МВД из тюрьмы Козловский, — поясняет сотрудник ФСИН. — Подобные ответы приходят на имя начальника учреждения с пометкой «Для обвиняемого такого-то». После ознакомления с документом заключённый ставит роспись и бумага подшивается в уголовное дело. Козловский просил, чтобы копии этих ответов были переданы его адвокату, что не запрещено».
RT попыталась связаться с адвокатом Козловского Галиной Тоштаевой, однако во вторник она была недоступна для комментариев.
Справочный вопрос
Надо отметить, что ранее ряд СМИ успел сообщить, что на странице хакера выложены секретные документы из материалов дела. Однако при внимательном изучении публикаций выясняется, что из всех документов, опубликованных на странице Козловского, непосредственное отношение к материалам уголовного дела имеют только две справки, в которых говорится о том, каким образом хакеры похищали деньги.
В них нет ни слова о взломах американских серверов.
Все упоминания о кибератаках есть только в обращениях самого Козловского, а также в протоколе судебного заседания, в котором цитируется речь всё того же Козловского.
При этом, как правило, сам протокол чаще всего остаётся в суде, а в материалы дела вшивается только постановление судьи. Выписку протокола могут получить на руки как следователь, так и адвокат.
Код на миллиарды
Из опубликованных на странице Козловского документов выясняется масса любопытных подробностей дела о группировке хакеров, которые остались за скобками официальных заявлений силовиков.
Так, впервые оперативная информация о деятельности группировки хакеров появилась у сыщиков в 2014 году. На тот момент было известно лишь о том, что некие хакеры имеют отношение к разработке и использованию вирусов семейства Lurk. Этот вирус, давший впоследствии название всей группировке кибервзломщиков, используется для хищения данных банковских систем и систем электронных денег.
Алгортим взлома выглядит так: вирус загружается с помощью найденных уязвимостей в компьютер, после чего атакует механизм контроля прав учётных записей с целью его отключения и повышения своих привилегий. При этом антивирусы на вредоносный код не реагируют, принимая его за легальный софт. После этого на заражённый компьютер устанавливается троянский модуль Lurk, который похищает банковские данные.
По данным силовиков, группировку хакеров, вскоре разросшуюся до 50 человек в 15 российских регионах и зарубежных странах, возглавили двое граждан России, известные под псевдонимами Cashout и Lum. Cashout занимался общим руководством, координацией и стратегическим планированием, а Lum руководил разработкой вирусного ПО и администрировал сетевую инфраструктуру. За одним из этих псевдонимов, очевидно, скрывается Константин Козловский.
Вычислив первых членов банды, следователи получили разрешение Мосгорсуда и провели оперативно-разыскное мероприятие СИТКС (снятие информации с технических каналов связи). Фактически силовики получили доступ к переписке хакеров по почте и интернет-пейджеру Jabber, в которой подельники обсуждали свою работу.
Вслед за этим сыщики получили чеки из платёжной системы Webmoney, которые главари банды ежемесячно высылали всем членам группировки в качестве зарплаты. Суммы варьировались от $1 тыс. до $5 тыс. в месяц. В чеках содержались все персональные данные, поэтому вскоре на руках у силовиков была полная информация о хакерах.
Так, согласно справке по материалам уголовного дела, опубликованной на странице Козловского, в ближайшее окружение главарей входили два десятка подельников, отвечавших за конкретные функции в команде.
Житель Ульяновска под псевдонимом Alan работал над вирусом и организовывал связь заражённых компьютеров с центром управления, получая $2,5 тыс. в месяц.
Житель Бийска по кличке Sea администрировал сетевые системы. Получал $1 тыс. в месяц.
Житель Краснодарского края под псевдонимом Tester руководил звеном тестировщиков, работал в группировке более двух лет.
Девушка из Санкт-Петербурга с позывным Angel занималась тестированием вирусного ПО. Её «зарплата» составляла $1 тыс.
Житель Бобруйска из Белоруссии с псевдонимом Fobos специализировался на взломе сайтов для перенаправления посетителей по заражённым адресам.
Кроме того, в группировку входили несколько жителей Украины: Zed из Одессы, MisterX из Киева, Sweet из Львова, b52 из Киевской области, Brando и Outsider из Днепропетровска.
Наконец, за снятие похищенных денег отвечала жительница Екатеринбурга — одна из старейших членов банды, работавшая с ней более трёх лет. Она обналичивала деньги в банкоматах города и была генеральным директором нескольких фирм, в частности ООО «Рестил» и ООО «МОРРА».
Согласно базе данных юрлиц «Контур.Фокус», генеральным директором и учредителем в этих компаниях числится некая Валентина Рякина 1982 года рождения из города Бисерть Свердловской области. Также выяснилось, что фирмы имели отношения к госзакупкам и даже получали государственные контракты.
В картотеке Арбитражного суда есть упоминания о том, что заказчики судились с фирмами. RT позвонил по номеру, указанному в документах, однако нынешний владелец телефона заявил, что не знаком с Валентиной Рякиной.
История земляков: при чём тут Дмитрий Докучаев
Об уголовном деле в отношении руководителя одного из подразделений Центра информационной безопасности ФСБ Сергея Михайлова, его подчиненного Дмитрия Докучаева и сотрудника «Лаборатории Касперского» Руслана Стоянова, обвинённых в госизмене, стало известно в конце января 2017 года. По версии следствия, офицеры ФСБ сотрудничали с западными спецслужбами — в 2012 году они передавали информацию, касающуюся российских IT-компаний.
Между тем, как выяснили СМИ, Дмитрий Докучаев был довольно известной личностью в хакерской среде. В 2012 году на форумах в сети обсуждалось, что сотрудник журнала «Хакер», ведущий рубрику «Взлом» под ником Forb, одновременно работает оперативником в ЦИБ ФСБ. По мнению пользователей, работа в журнале и общение на специализированных форумах позволяли оперативнику вычислять и вербовать талантливых хакеров.
Надо отметить, что Докучаев, как и Константин Козловский, родом из Екатеринбурга. При этом, по словам источника в силовых структурах, Докучаев действительно занимался разработкой хакерской группировки Lurk.
«ЦИБ ФСБ участвовал в разработке этих хакеров, кроме того, сотрудникам МВД и ФСБ вычислять хакеров помогали специалисты «Лаборатории Касперского» и, в частности, сам Руслан Стоянов, проходящий по делу вместе с Докучаевым», — пояснил источник.
В свою очередь, Иван Павлов, адвокат одного из сотрудников ЦИБ ФСБ России, обвиняемого в госизмене, сообщил RT, что расследование о госизмене и в отношении хакеров — это совершенно разные дела. «Эта два разных уголовных дела. Больше я сказать ничего не могу», — заявил он.