Программа рассылала жертвам зараженные pdf-документы. После заражения Gozi подгружал на компьютер вирус, который собирал всю секретную банковскую информацию, в том числе пароли и логины для входа в аккаунт. Эта информация передавалась владельцам Gozi клиенты Кузьмина могли получить к ней доступ через удобный интерфейс. Позже следователи обнаружат сервер, на котором хранилось около 10 тысяч паролей к банковским аккаунтам; они принадлежали приблизительно 300 компаниям, включая NASA; всего атакам хакеров в США подверглись 40 тысяч компьютеров.
Ущерб, нанесенный хакерами, американские власти оценивают примерно в 50 миллионов долларов.
В 2010 году агенты ФБР занялись поисками авторов Gozi. К тому моменту они уже изучили сам троян, знали IP-адреса, с которых проводились атаки. Спецслужбы получили разрешение на перехват переписок неизвестного российского хакера. Часть из них есть в материалах уголовного дела.
«Зачем тебе Zeus (вирус самого разыскиваемого в мире хакера Евгения Богачева. Прим. Авт.)? Используй мой троян. Мой намного круче», писал хакер.
«Сколько твой будет стоить мне?»ответил неизвестный.
«2к в месяц, все включено. И у меня есть ботсеть и удобная админка».
В других сообщениях автор Gozi рассказывал, что недавно подарил своей девушке фотосессию для российского Playboy, а по Европе ездит на кабриолете BMW б-й серии.
Из перехваченной переписки видно, что хакер предлагал клиенту оплатить программу, переслав деньги на его счет в «Альфа-банке»на имя Никиты Кузьмина. Помог спецслужбам и засвеченный хакером в переписках почтовый адрес nikita@youdo.ru. Американцы также изучили аккаунт Кузьмина в «Одноклассниках» и нашли там фотографии, на которых хакер стоит рядом с BMW 6-й сериивидимо, тем же автомобилем, на котором он ездил по Европе.
19 ноября 2010 года Кузьмин написал в одном из чатов: «Поеду из Таиланда и затеряюсь где-то там». Через три дня сообщил, что находится в Бангкоке. А 27 ноября он оказался в Сан-Франциско, куда поехал по делам, не думая о возможном аресте. В аэропорту Кузьмина сразу же задержали, после чего арестовали и перевезли в нью-йоркскую тюрьму.
Когда об этом стало известно другим хакерам, работавшим с Gozi, они запаниковали. Один из пользователей программы, разработанной Кузьминым, писал: «Всем, кто имел дело с 76-й командой, нужно принять меры, менять контакты, на форумах вести себя аккуратно, без особой нужды не покидать родину, а то пиздец». Другой пользователь писал: «Никита много болтал про себя, все время на одной жабе [то есть аккаунте в Jabber. Прим. Авт.] сидел, сдал партнеров»
Первое время Кузьмину грозило до 97 лет заключения. Сторону обвинения в деле Кузьмина представлял прокурор Южного округа Нью-Йорка Прит Бхарара. Он указывал , что, сдавая вирус в прокат, «Кузьмин сделал его доступным для тех, у кого нет серьезных познаний в компьютерных науках». «В отличие от большинства [кибер] преступлений, преступление Кузьминараспространение и использование вирусаневозможно остановить только поимкой создателя. Он продал код Gozi другим, и он может использоваться дальше», объяснял прокурор.
В мае 2011 года Кузьмин подписал со следствием соглашение о сотрудничестве и начал давать показания на сообщниковпосле этого их арестовали в Риге и Бухаресте.
Кузьмина защищалАлан Футерфас; он жеадвокат сына президента США, Дональда Трампа-младшего. Ранее Футерфас защищал клиентов, связанных с мафией, а с сыном Трампа начал сотрудничать после того, как стало известно о его встрече с российским адвокатом Натальей Весельницкой: та якобы предлагаласотрудникам президентского штаба Трампа компромат на Хиллари Клинтон. Дело Кузьмина рассматривалось долго, заседания суда то и дело переносились.
В тюрьме у хакера, видимо, был доступ к интернету. В 2011 году он смог продать свою долю в YouDo, в 2015 году обновлял фото в фейсбуке; за два месяца до приговора оставлял комментарии на сайте Roem. Например, 7 марта 2016 года он участвовал в обсужденииинициативы администрации президента о предоставлении налоговой службе информации обо всех покупках россиян за рубежом. «Сенсация прямо!»заметил Кузьмин.
Приговор хакеру огласили2 мая 2016 года. Ему назначили три года заключения и штраф в 7 миллионов долларовк тому моменту он уже провел в тюрьме пять лет. В тот же день Кузьмин вернулся в Россию. Обвинение запрашивало срок в два раза больше, однако суд учел сотрудничество Кузьмина со следствием.
Судя по фейсбукуКузьмина, теперь он занимается площадкой для трейдинга в интернете и много путешествует: после освобождения он уже побывал в Вене, Амстердаме, Киеве, Абу-Даби, Сочи и на плато Путорана в Якутии. Помимо этого он решил создать религию, которая объединит всех людей на земле. Разговаривать о ней со мной он отказался.
Глава 13Спортсмен
22 марта 2012 года руководитель самой успешной российской киберспортивной организации тех лет Moscow Five Дмитрий «Смелый» Смилянец объявил , что у команды появляется «куратор»бизнесмен и долларовый миллиардерСергей Матвиенко (сын Валентины Матвиенко, спикера Совета Федерации). Он рассказал, что переговоры с Матвиенко проходили параллельно с победами команды Moscow Five по League of Legends в финале чемпионата мира. На сайте Moscow Five появилось совместное фото Смилянца и Матвиенко: Смилянец на ней одет в синюю толстовку Adidas, сын Матвиенко сидит рядом с чучелом буйвола.
Судя по социальным сетям, Смилянец вообще увлекался политикой и много общался с российскими общественными деятелями. В марте 2012 года, когда проходили выборы президента России, он выложил фотографиюизбирательного бюллетеня с галочкой за Владимира Путина. Фотографию он подписал: «В нем уверен! За сильного лидера!» Через некоторое время он выложилфото с круглого стола с представителями администрации президента, на котором «обсуждались вопросы проблематики киберспорта в России». На другой фотографии был российский флаг, поверх которого была выведена цитата из гимна: «Нам силу дает наша верность отчизне».
Перед каждым соревнованием Смилянец публично обращался к Богу. «Господи, помоги нам одержать победу на Intel Extreme Masters в Ганновере. Бьемся за честь Москвы, за Матушку Россию!»написал он в марте 2012 года. Тогда же он выкладывалкартину «Благословенное утро в Москве», которую, по его словам, Moscow Five передал художник Никас Сафронов, обычно пишущий российских политиков и знаменитостей.
В 2003 году, по даннымBloomberg, Смилянец познакомился с Владимиром Дринкманом, когда они играли в Counter-Strike в интернете. Смилянец в этих играх часто жульничал, используя чит-коды. Вскоре они встретились. Дринкман рассказывал, что они стали приятелямиСмилянец был для него одним из людей, с которым можно выпить водки или поехать на рыбалку.
Дринкман вырос в Сыктывкаре, со школы увлекался компьютерами, самостоятельно выучил язык программирования C++ и работал системным администратором в университете. Смилянец родился в Москве, где окончил кафедру информационной безопасности Университета имени Баумана. В самоописании своего твиттера он сообщал, что его интересуют геополитика, киберспорт и информационная безопасность. Он много общался с реальными бандитами: его знакомый хакер вспоминал, что при личном знакомстве Дринкман оказался фанатом Михаила Круга, а в 2003 года его ранили выстрелом, когда он находился в автомобиле с вором в законетот погиб.
По даннымамериканского уголовного дела, с 2005 года приятели начали проникать в компьютерные сети финансовых компаний, платежных систем и магазинов, получая доступ к данным о кредитных картах. Смилянец отвечал в том числе за их перепродажукарты уходили за 1050 долларов за штуку в зависимости от страны происхождения. Они внедрились в биржу Nasdaq, супермаркеты 7-Eleven, французскую сеть Carrefour и другие крупные компании. За следующие десять лет они, по данным обвинения, украли около 160 миллионов кредитных карт и нанесли ущерб на 300 миллионов долларов. Американским спецслужбам на Дринкмана указал хакер Альберт Гонсалес (с ним же связывали белорусского хакера Сергея Павловича); уже через Дринкмана те вышли на Смилянца. Сам Гонсалес уже отбывает двадцатилетний тюремный срокза воровство 130 миллионов кредиток.
В июле 2013 года спецслужбы обнаружили в аккаунте Смилянца в инстаграме фотографию, на которой он в толстовке с гербом России позирует на фоне надписи «/ <3 Amsterdam» в центре голландской столицы. После этого американцы обзвонили все отели неподалеку; в одном из них им сказали, что Смилянец действительно проживает в гостинице, но сейчас спит. Следующим утром детективы приехали в отель. Оказалось, что Смилянец снял два номера. В соседнем оказался Владимир Дринкман, о местоположении которого спецслужбы даже не догадывались.
В последнем посте во «ВКонтакте» перед задержанием Смилянец выложил фотографию киберспортсменов с подписью: «Достояние киберспорта России. Плохо про них могут говорить только агенты ЦРУ и МИ-6». После ареста Смилянца начали называть «крестным отцом» киберспорта, а на sports.ru вышлаколонка, в которой говорилось, что «теперь всем понятно, откуда у Смелого были деньги на содержание команд». Позже следователи сообщили, что в группировке были еще трое хакеровдвое россиян и один украинец; их поймать не удалось.
Отец Смилянца, московский адвокат Виктор Смилянец, считает , что вина его сына не подтверждается никакими доказательствами. По его словам, при задержании у Смилянца не было компьютераглавной потенциальной улики. «Большее недоумение вызывают суммы причиненного банкам и другим финансовым учреждениям материального вреда, фигурируют невероятные цифры, написал Смилянец-старший. Американцы любят рисовать астрономические цифры и тем самым списывать миллиарды долларов долгов».
Смилянец почти сразу же согласился на экстрадицию в США. Там его поместили в тюрьму в Нью-Джерси, где он начал коротать время, изучая испанский и китайский. Дринкман боролся против экстрадиции два с половиной года. Он заявилBloomberg, что прочитал в голландской тюрьме «Песнь льда и пламени» Джорджа P. Р. Мартина. Интервью он дал из психиатрического отделения тюрьмы: туда, по словам адвоката, хакер попал после того, как Голландия согласилась на его переезд в Америку.
В сентябре 2015 года и Смилянец, и Дринкман признали свою вину. Приговор им несколько раз переносили. В феврале 2018 года Дринкмана приговорили к 12 годам заключения, Смилянцак 4 годам, которые он уже отсидел, пока шло следствие; его отпустили из зала суда.
Глава 14 Адвокат
Как-то вечером в 2009 году в пражской квартире, где жил с женой выходец из России Дмитрий Насковец, погас свет. Через несколько минут в дверь позвонили. Посмотрев в глазок, жена увидела мужчину в оранжевой жилетке с надписью «Электрик». «Ой, Дима, открой дверь, я в халатике!»крикнула ему жена. Когда он открыл дверь, кроме электрика на лестничной площадке стояли агенты ФБР и чешские полицейские. Насковцу показали ордер на арест из США, заломали руки и увезли в участок.
Насковец был одним из самых успешных русскоязычных карде-ровкак он вспоминалпозже, в этом занятии его привлекали даже не деньги, а «принадлежность к странному закрытому клубу» (зато его девушка, когда он начал богатеть, «превратилась в Пэрис Хилтон»). После задержания белорус испытал облегчение. «Наконец-то этот странный период [ожидания ареста] подошел к концу, вспоминал он. Когда видишь ордер, где черным по белому написано, что следующие 40 лет ты проведешь в тюрьме, это не страшно. Больно уж нереальная цифра: это же бред и сюрреализм какой-то!»
Защищал Насковца адвокат Аркадий Бухвыходец из Баку, эмигрировавший в США в начале 1990-х. Приехав в Нью-Йорк, он сразу же начал работать юристом в сообществе эмигрантов по делам о визах, нападениях, домогательствах; в 2013 году защищал Азамата Тажаякова, одного из фигурантов дела братьев Царнаевых, которые устроили теракт на Бостонском марафоне. В последние годы Бух специализируется на защите киберпреступниковнапример, именно он был адвокатом Владислава Хорохорина и некоторых других российских хакеров, которых судили в США.
«Остап Бендерв бабочке, в шляпе, в белых штанах, описывал Буха один из его подзащитных. Имя ему сделало ФБР потому что подсовывало клиентов с большим пафосом. ФБР ведь каждый раз хочет создать впечатление, что арестовало серьезного преступникак радости налогоплательщиков и ради повышения по службе. Каждый раз и каждый денькрупнейший арест в истории».
Бух говорил, что российских хакеров можно называть «российскими солдатами». «Они атакуют США и не испытывают никаких моральных проблем. В России хакеры договариваются с агентами из ФСБ, они спокойны, точно знают, что их не посадят, объяснял он. Они много времени тратят на исследования, атаки и прочую деятельность. Они уверены в своей безнаказанности. И в крайнем случае они либо дадут денег, либо получат условный срок».
С недавних пор Бух занимается не только юридическими услугамион создал компанию Cybersec, которая занимается кибербезопасностью. Его партнер в этом бизнесеДмитрий Насковец: хоть ему и грозило 40 лет тюрьмы, по совету адвоката хакер пошел на сделку со следствием и вышел на свободу уже в 2015 году. Сейчас с компанией работают десятки известных хакеров, многие из них до сих пор в розыске. Сам Насковец объясняет это так: «Как бороться против русских бандитов, никто не знает, кроме самих русских бандитов».
Хакеры, за которыми охотились американцы, в основном соблюдали основное правило российских киберпреступников«Не работать по ги», не воровать в своей стране. Некоторых, желающих рискнуть, ловит уже собственное государство.
Глава 15 Затаившиеся
Летом 2015 года российский Центральный банк создал Fincertцентр мониторинга и реагирования на компьютерные инциденты в кредитно-финансовой сфере. Через него банки обмениваются информацией о компьютерных атаках, анализируют их и получают рекомендации по защите от спецслужб. Таких атак много: Сбербанк в июне 2016-го оценилпотери экономики России от киберпреступности в 600 миллиардов рублейтогда же у банка появилась дочерняя компания «Бизон», занимающаяся информационной безопасностью предприятия.
В первом докладео результатах работы Fincert (с октября 2015-го по март 2016 года) рассказывается о 21 целевой атаке на инфраструктуру банков; по итогам этих событий было возбуждено 12 уголовных дел. Большая часть этих атак была делом рук одной группировки, которая получила название Lurk в честь одноименного вируса, разработанного хакерами: с его помощью у коммерческих предприятий и банков похищали деньги.
Участников группировки полиция и специалисты по кибербезопасности искали с 2011 года. Долгое время поиски были безуспешнымик 2016-му группировка похитила у российских банков около трех миллиардов рублей, больше, чем любые другие хакеры.
Вирус Lurk отличался от тех, которые следователи встречали раньше. Когда программу запускали в лаборатории для теста, она ничего не делала (потому ее и назвали Lurk от английского «затаиться»), Позже оказалось , что Lurk устроен как модульная система: программа постепенно загружает дополнительные блоки с различным функционаломот перехвата вводимых на клавиатуре символов, логинов и паролей до возможности записывать видеопоток с экрана зараженного компьютера.
Чтобы распространить вирус, группировка взламывала сайты, которые посещали сотрудники банков: от интернет-СМИ (например, РИА «Новости» и «Газета. ру») до бухгалтерских форумов. Хакеры использовали уязвимость в системе обмена рекламными баннерами и через них распространяли вредоносную программу. На некоторых площадках хакеры ставили ссылку на вирус ненадолго: на форуме одного из журналов для бухгалтеров она появлялась в будние дни в обеденное время на два часа, но и за это время Lurk находил несколько подходящих жертв.
Щелкнув на баннер, пользователь попадал на страницу с эксплойтами, после чего на атакованном компьютере начинался сбор информацииглавным образом хакеров интересовала программа для дистанционного банковского обслуживания. Реквизиты в платежных поручениях банков подменялись на нужные, и несанкционированные переводы отправляли на счета компаний, связанных с группировкой. По словам Сергея Голованова из «Лаборатории Касперского», обычно в таких случаях группировки пользуются компаниями-однодневками, «которым все равно, что переводить и обналичивать»: полученные деньги там обналичивают, раскладывают по сумкам и оставляют закладки в городских парках, где их забирают хакеры.