Одесса стала неформальной столицей украинских хакеров, и именно сюда приводят электронные следы громких хакерских атак
Эта история вполне характерна для приморского города. «Одесса — удивительный город, там агент на агенте, и плетутся интриги спецслужб всего мира», — со знанием дела говорит основатель одного из российских подпольных форумов для web-мастеров. Спецслужбам есть на кого там охотиться. Одесса считается неформальной столицей украинских хакеров, и именно сюда последние годы приводят электронные следы громких международных хакерских атак, мошенничества в онлайн-банкинге, DDoS-атак на сайты российских госучреждений и компаний.
Несколько российских киберпреступников после облав в России нашли здесь убежище.
«Киберпреступность с самого начала своего существования тяготела к Одессе, — говорит Forbes Константин Корсун, 43-летний полковник, экс-офицер подразделения по борьбе с хакерами Службы безопасности Украины (СБУ). – Могу лишь предположить, что это как-то связано с высокой степенью коррумпированности местных правоохранительных органов и их тесными связями с «традиционным» криминалитетом. А может, им [хакерам] там просто климат нравится, море, достаточно большой город, в котором легко затеряться». Forbes выяснил, кто и почему скрывается в Одессе.
Осколки Carberp
«Мы услышали грохот. Сильный грохот. Дверь квартиры открылась, и мы забежали внутрь. В темноте рыскали красные точки лазерных прицелов, слышался звон падающих на пол осколков разбитых окон, и раздавались крики: «На пол!», «Включите свет!» Подозреваемый ползал по полу коридора в трусах и визжал. Я осмотрелся: на рабочем столе в комнате стояли ноутбук и моноблок, раскиданы флешки и телефоны»
Такой отчет положил на стол руководителя Group-IB криминалист Артем Артемов по итогам операции по задержанию в Москве одного из лидеров хакерской группы Carberp. От ее действий пострадали клиенты 100 банков по всему миру, только за три первых месяца 2012-го киберпреступники похитили минимум 130 млн рублей.
Чуть позже появилось и видео захвата: спустившись с крыши на веревках, бойцы спецназа МВД «Рысь» выломали раму и ввалились в окно 15-го этажа. Это произошло 4 марта 2012 года, а в мае того же года участник форума Antichat под ником GizmoSB написал встревоженный пост: «Какими средствами возможно вызвать бан ролика на ютуб? Может, жестко накрутить просмотры или DDoS определенного ролика даст результат?»
Под ником GizmoSB скрывался член той самой хакерской группы Carberp — 25-летний Роман, который, как считает следствие, отвечал за создание и функционирование бот-сети — цепи компьютеров, зараженных вредоносной программой. Всю техническую работу за Gizmo выполняли другие люди — вирусописатели, программисты, но именно Gizmo давал заливщикам реквизиты компаний — они проверяли баланс клиентов банков, выжидая момент, когда лучше увести деньги.
Руководителями группы заливщиков и группы обнала в Carberp были братья Александр и Николай Покорские. Их отец, по словам источника Forbes, имел отношение к ГРУ Генштаба РФ.
Про самого GizmoSB известно немного. Он родился в Абхазии. Пока учился в одном из московских университетов, искал способы заработать, например, открыть ферму по разведению осетров. Но деньги принесла не рыба, а хакерские форумы. Роман начинал с DDoS-атак, которые приносили небольшой доход, в среднем около $100 в день. «С моими познаниями даже на мороженное не заработаешь)) мне просто нужен хороший поток траффика… очень большое количество траффика … 50-100 к в день», — писал Gizmo в сентябре 2008 года.В тот год, считает следствие, и была создана группа Carberp, состоявшая минимум из 8 человек, которые за четыре года совершили тысячи хищений у компаний по всей России. Для комфортной работы «заливщиков» руководители группы открыли офис, замаскированный под сервис по восстановлению данных.
В марте 2012 года начались аресты — были задержаны восемь членов Carberp, в том числе и Gizmo, но позже его отпустили под подписку о невыезде. Хакер не стал дожидаться суда и уехал на родину в Абхазию. Через 5 месяцев он сделал поддельные документы на имя гражданина Литвы и вылетел в Кипр на встречу с беременной женой. В то время он уже был объявлен в федеральный, а затем и в международный розыск. Сейчас Gizmo находится на территории Украины и занимается поисковой оптимизацией. Не так прибыльно, но зато спокойно.
В чеченском плену
От пленника требовалось развернуть бот-сеть для кибератак и хищения денег в онлайн-банкинге, иначе похитители — суровые мужчины с Северного Кавказа — грозили переломать ему ноги битой.
Чеченцы знали, кто поможет им заработать в онлайне. В России Алексей «Pioneer» руководил заливщиками одного из подразделений хакерской группировки Carber. После того как в марте 2012 года ФСБ, МВД и детективы киберагентства Group-IB разгромили Carberp, Pioneer через Белоруссию сбежал на Украину и обосновался в Одессе.
«В Москве Gizmo и Pioneer вряд ли были знакомы, но их знали братья Покорские», — говорит источник, близкий к следствию. По его словам, Pioneer руководил заливщиками во второй ветке группировки Carberp. Алексею повезло: в день, когда происходили массовые задержания, его не оказалось дома. В Одессе, куда он бежал, хакера вычислили чеченцы. Пленнику удалось сделать звонок — и местные милиционеры его быстро нашли и освободили. Дело завершилось полюбовно: на суд Pioneer не ходил, претензий не выдвигал, чеченцам дали два года с отсрочкой исполнения приговора на три года и выпустили в зале суда. Pioneer по-прежнему находится на Украине, на вопросы Forbes через соцсети он не ответил.
«Всегда удобно прятаться за трансграничностью — воровать в одном месте, а прятаться в другом. У местных правоохранительных органов нет к тебе претензий, и они дают тебе дышать, — считает Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. — Атаки с Украины продолжаются. Последний тренд — взлом банковских систем. Ломают уже не клиентов банков, а уже из самих банков пытаются вывести крупные суммы».
С Дерибасовской выдачи нет
«Хакерской столицей Одессу принято считать лишь потому, что здесь живу и работаю я», — заявил Forbes глава интернет-партии Украины Дмитрий Голубов. В начале нулевых Голубова обвиняли во взломе американских банковских систем и хищении $11 млн, а зарубежная пресса наделила его титулом «крестного отца» восточноевропейской хакерской мафии. «Я оправдан всеми судами, которые не нашли в моих деяниях состава преступления», — комментирует Голубов.
Кроме Голубова в Одессе есть еще несколько известных персонажей, замечает Дмитрий Волков, глава службы расследований детективного кибер-агентства Group-IB. Например, Legal-D — владелец одного из наиболее популярных сервисов по проведению DDOS-атак. На его сайте (который сейчас заблокирован) были указаны расценки: сутки от $50, месяц — от $1000. «Legal-D причастен ко многим политическим атакам, — говорит Волков. — Еще во время майдана он атаковал местные правительственные и новостные сайты. В последнее время Legal-D атаковал сайтыpolitikym.net,ura-inform.com,progorod.info,crime.in.ua.
Среди других местных интересных персонажей — Абдулла, владелец одного из самых дорогих и надежных хостингов, которыми пользуются хакеры, кардеры, спамеры, создатели порно-ресурсов.
Когда-то он был участником нашумевшей киберпреступной группы RBN (Russian Business Network), но сейчас у него свой дата-центр, востребованный многими опасными киберпреступниками. Благодарные клиенты даже сочинили про Абдуллу песню: «Хостятся те, кто не любит класть бабки в банки. Те, кто знает, на что способен пластик с магнитной лентой…. Сервак не встанет и клиентам не о чем жалеть, ведь он пуленепробиваемый, как бронежилет».
«Абдулла давно пропал из Одессы, его видели в Иловайске, воющего в рядах одного из дагестанских ОПГ», — уверяет корреспондентов Forbes Голубов, и по тону его письма не понятно, говорит он серьезно или шутит. Но в оценках он категоричен: «Хакерское подполье в Одессе представлено тремя несовершеннолетними поцами, которых регулярно арестовывают за попытку взлома сайтов школ».
«Проделки американцев»
Во время одного из последних визитов в одесскую квартиру родителей Михаил Рытиков забрал все свои фотографии во взрослом возрасте. Вычистил и страницы в соцсети. А спустя несколько месяцев исчез. Рытикова объявил в розыск Интерпол. Его и несколько российских хакеров власти США обвиняли в краже данных 160 млн кредитных карт клиентов американских банков, магазинов, финансовых учреждений и даже биржы Nasdaq. «Мама, если случится что-то плохое, то я в этом не виноват — это все проделки американцев», — вспоминала в одном из интервью слова сына Людмила Рытикова.
В марте 2014 года американские сенаторы Марк Кирк и Марк Ворнер опубликовали заявление относительно киберпреступности на Украине. «Эксперты в области кибербезопасности говорят, что … украинский город Одесса имеет репутацию крупнейшего в мире интернет-рынка украденных кредитных карт», — говорится в заявлении. Сенаторы считают, что американские власти должны усилить совместную работу с украинской стороной, отправить на Украину агентов ФБР для помощи местным силовикам в поимке хакеров, а также усовершенствовать процедуру выдачи подозреваемых в США.
«Времена меняются, и Украина сейчас не самое спокойное место для хакеров, которые работают по США или Европе, — считает экс-сотрудник Центра информационной безопасности ФСБ. — Украина дружит с США, и им будет за счастье выдать гражданина России, попавшегося на киберпреступлении. Другое дело, если эти хакеры работают исключительно против России».
В Одессе борьбу с хакерами ведет Управление борьбы с киберпреступностью ГУМВД Украины в Одесской области, которое возглавляет Юрий Выходец. «Одесса — большой город, поэтому не удивительно, что у нас есть хакеры. Правда, говорить, что наш город — это столица, будет все же преувеличением. Это справедливо только в масштабах Украины, но никак не мира», — говорил в интервью украинскому ресурсу «Вести» Выходец. Попытки Forbes связаться с Выходцом не увенчались успехом, он постоянно был на совещаниях. Сейчас при попытке зайти на сайт Управления по борьбе с киберпреступностью Google выдает предупреждение о том, что сайт небезопасен — на нем происходит загрузка вредоносного ПО.
После присоединения Крыма и войны на юго-востоке Украины сотрудничество российских и украинских силовиков оказалось заморожено. На фоне этого украинские хакеры стали еще активнее атаковать российские госсайты и взламывать банковские счета, а специалисты по IT-безопасности — записываться в ополчение для защиты своего киберпространства.
В России весьма популярны истории о нелегальных кибергруппах, которые находятся на службе у ФСБ, СВР и АП: за работу на государство они получают индульгенцию за прошлые грехи.
Именно им приписывают массированные DDoS-атаки на cайты правительственных учреждений, банков, медиахолдингов Эстонии в апреле 2007 года и Грузии в августе 2008. «У нас в этом плане все намного хуже, потому что всех полухакеров сегодня приговоривают к реальным срокам, не предлагая им поработать на государство, — замечает Голубов. — Правил индульгенции до сих пор нет, хотя я неоднократно это предлагал». Глава интернет-партии сам баллотируется в Верховную раду и уже знает, какой закон нужен Украине. «Я планирую внести законопроект о немедленном создании подобного органа [киберподразделения] на базе СБУ».
Alphabet of Pavel Sedakov 