Члены группировки старательно скрывали свои действия: шифровали всю повседневную переписку, регистрировали домены на фальшивых пользователей. «Злоумышленники пользуются тройным VPN, Тором", секретными чатами, но проблема в том, что даже отлаженный механизм дает сбой, объясняет Голованов. То VPN отвалится, то секретный чат оказывается не таким секретным, то один вместо того, чтобы позвонить через Telegram, позвонил просто с телефона. Это человеческий фактор. И когда у тебя копится годами база данных, нужно искать такие случайности. После этого правоохранители могут обращаться к провайдерам, чтобы узнать, кто ходил на такой-то IP-адрес и в какое время. И тогда выстраивается дело».
Задержание хакеров из Lurk выгляделокак боевик. Сотрудники МЧС срезали замки в загородных домах и квартирах хакеров в разных частях Екатеринбурга, после чего сотрудники ФСБ с криками врывались внутрь, хватали хакеров и бросали на пол, обыскивали помещения. После этого подозреваемых посадили в автобус, привезли в аэропорт, провели по взлетно-посадочной полосе и завели в грузовой самолет, который вылетел в Москву.
В гаражах, принадлежащих хакерам, нашли автомобилидорогие модели Audi, «кадиллаков», «мерседесов». Также обнаружили часы, инкрустированные 272 бриллиантами. Изъялиукрашения на 12 миллионов рублей и оружие. Всего полицейские провели около 80 обысков в 15 регионах и задержали около 50 человек.
Арестованы были, в частности, все технические специалисты группировки. Руслан Стоянов, сотрудник «Лаборатории Касперского», занимавшийся расследованием преступлений Lurk вместе со спецслужбами, рассказывал, что многих из них руководство искало на обычных сайтах по подбору персонала для удаленной работы. О том, что работа будет нелегальной, в объявлениях ничего не говорилось, а зарплату в Lurk предлагали выше рыночной, причем работать можно было из дома. «Каждое утро, кроме выходных, в разных частях России и Украины отдельные личности садились за компьютеры и начинали работать, описывал Стоянов. Программисты докручивали функции очередной версии [вируса], тестировщики ее проверяли, потом ответственный за ботнет загружал все на командный сервер, после чего происходило автоматическое обновление на компьютерах-ботах».
Рассмотрение дела группировки в суде началось еще осенью 2017 года и продолжалось в начале 2019 годаиз-за объема дела, в котором около шестисот томов. Адвокат хакеров, скрывающий свое имя, заявлял , что никто из подозреваемых не пойдет на сделку со следствием, но некоторые признали часть обвинений. «Наши клиенты действительно выполняли работы по разработке различных частей вируса Lurk, но многие просто не были осведомлены о том, что это троянская программа, объяснялон. Кто-то делал часть алгоритмов, которые могли с успехом работать и в поисковых системах». Дело одного из хакеров группировки вывели в отдельное производство, и он получил 5 лет, в том числе за взлом сети аэропорта Екатеринбурга.
В последние десятилетия в России спецслужбам удалось разгромить большинство крупных хакерских группировок, которые нарушили главное правило«Не работать по ru»: Carberp (похитили около полутора миллиардов рублей со счетов российских банков), Апипак (похитили более миллиарда рублей со счетов российских банков), Paunch (создавали платформы для атак, через которые проходили до половины заражений по всему миру) и так далее. Доходы таких группировок сопоставимы с заработками торговцев оружием, а состоят в них десятки людей помимо самих хакеровохранники, водители, обнальщики, владельцы сайтов, на которых появляются новые эксплойты, и так далее.
Глава 16 Сыщики
Расследованием киберпреступлений занимаются, в частности, в специальном подразделении МВДоно называется управление «К» {16}. Для группировок вроде Lurk там написали собственную аналитическую программу, выявляющую связи, которые могли упустить следователи, если загрузить в нее собранную информацию: засвеченные IP-адреса, данные серверов, сведения о хакерах, которые ранее проходили по похожим делам.
Полицейские из управления «К» работают в неприметной усадьбе Кирьякова на Петровке, напротив Высоко-Петровского монастыря и в двух минутах от клуба, где часто проходят гей-вечеринки. Заехали они в здание (которое ранее принадлежало поочередно коллекционеру антиквариата, князю Михаилу Оболенскому, ученому-терапевту и зубоврачебной школе) в конце 1990-х, когда было принято решение создать при МВД специальное подразделение по борьбе с киберпреступлениями. «Тогда пошли кардеры, и уже тогда было понятно, что одним из наших основных направлений станет противодействие распространению детской порнографии», рассказывает мне заместитель начальника управления Александр Вураско.
Эти люди редко ходят на работу в полицейской формечаще в джинсах и незаправленных рубашках; у некоторых на руках Apple Watch. Посетителям на входе выписывают ручкой бумажный пропуск; в коридоре на втором этаже стоит застекленный шкаф с подарками, среди них фарфоровая ваза, расписанная под гжель, дар от Службы внешней разведки. Рядом лежит связка баранок.
Работающие в усадьбе занимаются самыми сложными киберпреступлениями, то есть расследуют дела хакеров, объединившихся в группы и хорошо скрывающихся. В управлении несколько десятков сотрудников, для поступления в отдел от них требуют навыков «оперативника, юриста и айтишника одновременно». Находить таких людей сложно, некоторые приходят из Московского университета МВД или Университета имени Баумана, но неизбежно переучиваются.
Каждое утро полицейские собираются в своих отделах на быстрые совещания, каждую пятницу руководство собирает все управление. У многих сотрудников работа часто начинается около пяти утра: в это время принято ездить на задержания. Там, впрочем, бывают не все: технические сотрудники в специальной «чистой» комнате без интернета исследуют изъятые носители информации и другую технику.
«Это в 1999 году можно было именоваться программистом по всему, рассказывает Вураско. Сейчас все крайне узкоспециализированно. Бывают ситуации, когда мы не можем самостоятельно разобраться, и не имеет смысл держать штат специалистов, которые декомпилируют вредоносные программы, когда можно обратиться к тем, для кого это хлеб, вроде Group-IB, Лаборатории Касперского", Positive Technologies. Они могут активно пиариться [на расследованиях], но только мы или ФСБ можем поставить окончательную точкупривлечь к ответственности».
«Наша доблестная милиция не разбиралась тогда в компьютерах, вспоминал один из хакеров начала 2000-х. Отдел «Р» (Будущий отдел «К». Прим. Авт.] через полгода скатился к банальной прослушке за деньги. Крупную рыбу никогда не ловили и не поймают, так как крупной рыбе в России делать тогда было нечего. Банковская система в США и Европе на 50 лет старше нашей, и вариантов для телодвижений там, конечно, больше. Чаще всего люди попадались на случайностях, вещах, не имеющих ничего общего с кар-дин гом».
По словам Вураско, многие российские полицейские до сих пор не разбираются в основах компьютерной безопасности: не знают, что такое IR не понимают, куда отправлять запросы для получения информации по оперативно-разыскной деятельности. Управление «К» часто проводит для следователей и судей курсы, чтобы они понимали, о чем идет речь в делах, связанных с киберпреступлениями.
Управление «К» в последние годы расследовало несколько дел, похожих на Lurk. Работа по ним идет долго: полицейские всегда стараются выявлять всех членов группировки и заводить на них дело как на организованную преступную группировкуиначе, как показывает практика, хакеры получают условные сроки.
Для общения между собой члены группировок обычно используют jabber-серверы и все основные мессенджеры. Организаторы все ключевые моменты обсуждали по защищенным каналам, рассказывает Вураско о деталях дела Lurk.
То есть к ним у вас в итоге не было доступа?
В ответ майор смеется и говорит: «Позвольте мне не отвечать на этот вопрос».
Полицейские из отдела «К» занимаются расследованием только избранных киберпреступлений. Они никогда не расследовали хакерские атаки на российских оппозиционеров и негосударственные СМИ, даже когда им представляли доказательства; к ним крайне сложно обратиться с заявлением о взломе почты или DDoS-атаке на бизнестакое заявление, скорее всего, не примут.
«В виртуальном пространстве собирать улики и правда гораздо сложнее, чем в физическом, объяснялАлексей Лукацкий, работающий консультантом по информационной безопасности в Cisco Systems. Информация собирается по крупицам и требует очень серьезных ресурсов, поэтому атрибуцией злоумышленников занимается мало кто. Если мы говорим о компьютерных преступлениях, которые происходят внутри страны, например, когда хакерская группировка осуществляет проникновение в банк, то эти преступления очень плохо расследуются. Ни законодательство, ни квалификация большинства следователей не позволяют эффективно проводить расследование. Все процедуры очень бюрократизированы, поэтому к моменту, когда выдаются ордера на сбор доказательств с видеокамер, логов провайдеров связи и так далее, следы оказываются уже затерты». По словам Лукацкого, действительно хорошо дела такого рода расследуются, «если на стороне жертвы есть компания, которая может собрать и представить доказательства вместо правоохранительных органов», но и в таком случае суд часто дает преступникам условные сроки, и они продолжают заниматься тем же, чем занимались. Дела чаще всего заводятся по статье 272 УК РФ «Неправомерный доступ к компьютерной информации».
При этом большими группировками вроде Lurk современная российская интернет-преступность, конечно, не ограничивается. Есть у нее и другой огромный сегментон находится в даркнете, части интернета, скрытой от лишних глаз. У этого сегмента тоже есть свои главные герои: как и когда-то в случае Carderplanet, ими тоже зачастую оказываются создатели и администраторы форумов.
Глава 17 Черный рынок
Автомобиль остановился на обочине рядом с лесом недалеко от МКАД. Из него вышел мужчина со свертком. Он оглянулся, подошел к нужному дорожному знаку, положил сверток с пистолетом и патронами на землю и набросал сверху листьев. Через несколько часов покупатель, знавший про ориентир, забрал «закладку».
Для «закладчика» это уже был обычный ритуал: последние годы он вел двойную жизнь. Семья, друзья, коллеги по работе знали его как любителя дачного отдыха. Он никогда не рассказывал им о том, что уже несколько лет арендует в центре Москвы звукоизолированную мастерскую, где собирает огнестрельное оружие для продажи через подпольные форумы.
Он попал в русскоязычный даркнет около пяти лет назад. Его интересовало все, что нельзя найти в обычном интернете: изготовление печатей, паспортов, наркотиков, оружия. Он зарегистрировался на Runion, одном из крупнейших форумов даркнета в России, под ником Korabas. Зайти на форум можно было через Тог шифровальную программу, которая, как гарри-поттеровская мантия-невидимка, скрывает пользователя и позволяет заходить на сайты, не индексирующиеся обычными поисковиками. Технологию, на которой работает Тог, создали в лаборатории американского флота в середине 1990-х для защиты американских госучреждений в сети; впоследствии она была рассекречена и передана независимым разработчикам. Сейчас программаодин из самых эффективных способов обходить цензуру в интернете и сохранять анонимность. В 2013-м именно с помощью Тог Эдвард Сноуден передавал часть документов американского Агентства национальной безопасности журналистам.
Изучив форумы, Korabas собрал себе по найденным инструкциям пистолет. На производство ушло больше денег, чем он рассчитывал, но, когда он выставил оружие на продажу, его внезапно купили очень быстро, и Korabas решил не останавливаться и попробовать подзаработать.
Пользователь анонимно арендовал мастерскую, купил несколько станков и дрели. Помещение не отапливается, поэтому комфортно работать получается только весной и летом, но если есть заказы, приходится сидеть и в холоде. Рассказывая свою историю, Korabas часто использует аббревиатуру «емнип» («если мне не изменяет память»); наше общение проходит в зашифрованном чате: показывать лицо или называть свое настоящее имя чужакам люди вроде Korabas совсем не хотят. Разговор наш продолжается несколько дней подряд, иногда в чат добавляются новые участники, которые рассказывают подробности о некоторых операциях в даркнете.
Бизнес быстро развивалсявскоре Korabas нашел продавцов патронов и начал делать глушители. Со временем он стал одним из основных торговцев оружием на Runion. Пока другие занимались перепродажей, Korabas покупал сигнальные пистолеты и переделывал их под патроны 9x18 миллиметроводни из самых распространенных в СНГ После переделки очередного пистолета Korabas обычно надевает на него глушитель и отстреливает прямо в мастерской в центре города: «Лень возить каждый пистолет в лесополосу на испытания». «В кино пистолеты с глушителем стреляют беззвучно, в реальности же в лучшем случае глушится 50 % [шума]», рассказывает он.
Продажа оружия в Тог для негохобби: цены в «магазине» начинаются от 60 тысяч рублей, выходит по одной-две сделки в месяц, так что годовая прибыль получается в районе 500 тысяч. «На квартиру точно не заработаешь», пишет Korabas и ставит три закрывающие скобки: смеется. Хобби, впрочем, любимое: продавец и сам периодически выезжает пострелять за город. «На стрельбу не беру деньги из семейного бюджета, трачу только то, что заработал в Тог».
Korabas понимает, что его в любой момент могут задержать, а потом посадить на много лет, и ведет себя крайне осторожно. Его компьютер работает на Linux, жесткие диски зашифрованы, в сеть он выходит через Тог, заработанные деньги снимает с пластиковых карт за границейэти карты выпущены на людей, которых сам Korabas не знает.
Похожей жизнью в русскоязычном даркнете живут тысячи людей. Только на Runion ежедневно заходят две-три тысячи человек. Администраторы и продавцы в Тог, которые часто занимаются деятельностью, попадающей под уголовное законодательство, крайне редко общаются с журналистами: они считают, что любой неосторожный контакт может привести к аресту.
***
Через форумы вроде Runion можно не только купить оружие, но и заказать взлом или сделать себе поддельную личность. Максим ищет себе заказы именно на таких форумах и чаще всего работает через «гаранта»специального посредника, который замораживает оплату до выполнения заказа и решает спорные вопросы, если они возникают. В основном Максим занимается фишингом {17}: иногда на взлом требуются месяцы: большая часть времени уходит на то, чтобы собрать как можно больше личных данных о жертве. Максим взламывал российских оппозиционеров и уверен, что не раз работал на спецслужбы, хотя они никогда и не говорят о том, что они оттуда.
Максим решил работать в даркнете, после того как его знакомого чуть не посадили за взлом. Таким же путем пришел к своему нынешнему занятию другой хакерон называет себя Sleepwalker.
Когда его приятель чуть не погорел, не позаботившись об анонимности, Sleepwalker начал создавать цифровые «личности» (или «идентичности»), со временемпродавать их. Кроме того, в русскоязычном Тог он известен как хакер, который за биткоины тестирует сайты на возможность взлома и проводит консультации по анонимности.
Sleepwalker с детства смотрел фильмы о хакерах. «Сидит некий человек, взламывает что-нибудь, на мониторе черный фон, зеленые буквы мелькают, это казалось таинственным», вспоминает он. На Runion он написал статью «Быть хакером?!», в которой вывел правило: «Хакеры испытывают удовольствие от решения проблем, от нахождения обходного пути, от понимания сути процесса». Там же Sleepwalker учил желающих «собирать доказательства с компьютера подозреваемого» и взламывать страницы во «ВКонтакте»при этом мне он сказал, что не занимается взломами сайтов и аккаунтов в социальных сетях за деньги. В 2014 году Sleepwalker даже демонстративно украл почту и аккаунт «ВКонтакте» у школьника, который спросил, сколько будут стоить услуги по взлому.
Несколько лет назад Sleepwalker получил доступ к базе сканов паспортов и других документов. Он добыл ее случайно, когда перебирал пароли на сервере одного из магазинов. После этого хакер начал «специально извлекать» сканы документов у различных компаний и создавать под них «личности» в интернете.