Sex, drugs and Rock ’n Roll

Sex, drugs and Rock ’n Roll

Как игры со спецслужбами погубили бизнес-империю Павла Врублевского

В мае 2014 года года из ворот  рязанской колонии-поселения выехал белый Сadillac Escalade – владелец процессинговой компании Chronopay Павел Врублевский возвращался в Москву. Разуваться и выкидывать из окна ботинки согласно тюремной традиции Врублевский не стал: этот ритуал не сработал в декабре 2011 года, когда бизнесмена ненадолго выпустили из СИЗО, а потом суд все же отправил его в колонию. За решеткой Врублевский оказался за организацию DDoS-атаки на конкурента – питерскую компанию Assist. Ее крупнейший клиент «Аэрофлот» больше недели не мог принимать платежи через интернет. В лагере Врублевский освоил специальность пожарного, но ничего не горело. Вспоминает, как поил коров из брандспойта. «Натворили. Пострадали. Наказаны. Ну, бывает», – философски замечает Врублевский, давая Форбс первое после своего освобождения интервью.

Как и до ареста, Врублевский по-прежнему много говорит и много курит. Его пафосный офис в «Москва-Сити» с брюнетками-близняшками на ресепшен, громкие вечеринки в стиле «Волка с Уолл-стрит», личная охрана и бронированный Merсedes – все это уже в прошлом. Chronopay переехал в скромный офис возле станции метро «Спортивная». Врублевский раз в две недели ходит отмечаться к участковому и возмущается, что из «Яндекс.Видео» сыплются порноролики: «Меня как отца троих детей эта ситуация сильно беспокоит!» О прошлой жизни в его кабинете напоминает лишь позолоченный телефон Vertu на столе.

51f8wwxdw3lТрудно поверить, что именно этот человек стал героем книги Spam Nation, подноготную организованной киберпреступности бывшего журналиста Washington Post Брайна Кребса, который начал вести расследование о Врублевском еще в 2 009 году. «Раньше про Врублевского вспоминали на каждой международной конференции по IT-безопасности, теперь почти забыли, – говорит Илья Сачков, руководитель карте компании Group-IB, специализирующейся на раскрытии киберпреступлений. – Он гениальный человек, но оказался на темной стороне ».

Пытаясь сохранить бизнес, Врублевский много лет лавировал между МВД и ФСБ, завязывая знакомства с высокопоставленными лицами из спецслужб и во власти, но рискованная игра в конечном счете привела его за решетку. Как Врублевский строил свою империю и что от нее осталось?

ПРЕДПРОДАЖНАЯ ПОДГОТОВКА

Следственный изолятор ФСБ Лефортово – одна из самых строгих тюрем России. Тем удивительнее было видеть в один из осенних дней 2011 года арестанта, который, демонстративно закинув ноги на стол в адвокатской комнате СИЗО, перелистывал пухлую стопку бумаг. Дожидаясь суда, Врублевский, владелец контрольного пакета Chronopay, получил от Сбербанка предложение о покупке сервиса. Банк хотел провернуть сделку за два месяца, предложив за компанию $ 25-30 млн (сам бизнесмен оценивал ее в $ 100 млн). Врублевский прямо в Лефортово подписал предварительное соглашение о проведении должной осмотрительности, но сделка не состоялась – когда Врублевский в декабре +2011 года на несколько месяцев вышел на свободу, Сбербанк от покупки отказался. Источник Forbes в Сбербанке подтвердил факт переговоров, уточнив, что с уголовным делом Врублевского ни идея сделки, ни отказ от нее никак не связаны: «Chronopay – хороший инструмент, но« Яндекс.Деньги »предложили лучшие условия». (Сервис был куплен банком в декабре 2012 года.)

По словам Врублевского, купить Chronopay Хотели и инвестфонд сооснователя группы ПИК Юрия Жукова, и госбанк (по данным Forbes, речь идет о Газпромбанке). «Это некорректная информация. Может быть, и знакомились, но ничего конкретного не обсуждали », – сообщили Forbes в фонде Клевер Интернет инвестиций. Представитель Газпромбанка заявил Форбс, что «вопрос о приобретении Chronopay не стоит». Сам Врублевский отмечает, что сейчас процесс продажи компании заморожен и полным ходом идет ее реструктуризация. «Я человек нежадный, но жутко уставший», – говорит он.

Арест Врублевского сильно сказался на развитии его бизнеса. Как гласит сайт Chronopay, компания обеспечивает 45% платежей по банковским картам в российском интернете. По словам Врублевского, сейчас доля гораздо меньше, около 15%. От десятка иностранных представительств Chronopay остались лишь офисы в Голландии и Литве, число сотрудников сократилось с 200 до 70 человек. Выручка в России, правда, растет: в 2012 году, по данным СПАРК, она составляла $ 3 млн, в 2013 году – $ 4,2 млн, но чистую Прибыль компания показала в 2005 только году. «Наше развитие задержали. Те иностранные компании, которые стартовали одновременно с нами, стоят теперь $ 1,5-2 млрд », – признается Врублевский.

ПЕРВЫЕ ШАГИ

ChronoPay Врублевский создал в 2003 году вместе с Игорем Гусевым, чьи программисты написали софт. Компанию зарегистрировали в Нидерландах. Но партнерство продлилось всего несколько месяцев. Бизнесмены поссорились, Гусев ушел. Часть акций досталась Леониду Терехову, у которого Врублевский работал в юности. Сам Врублевский называет Терехова финансистом, но два собеседника Forbes утверждают, что он выходец из ГРУ.

В начале 2000 х в России доля платежей банковскими картами была минимальна, большинство расчетов шло наличными. Этим отчасти и объясняется открытие Chronopay в Нидерландах и дальнейшая экспансия на европейский рынок, а затем и в Латинскую Америку – Перу и Мексику.

Первыми клиентами Chronopay были компании из сегмента высокого риска – те, у кого большой процент отзывов платежей. К этой категории относятся сайты для взрослых, сервисы знакомств, продажа фармакологии (в частности, «Виагры). К 2009-2010 годам доля рискованных клиентов сократилась до 10%, у Chronopay Появились крупные «белые» Партнеры – Государственный «Ростелеком», «Мосэнерго», оператор связи МТС, авиаперевозчик «Трансаэро» и др. Выход на новый уровень бизнеса сопровождался сменой имиджа. Врублевский стал активным общественным деятелем – возглавил комитет по Электронной Коммерции при ассоциации Национальной Электронной Торговли участников (НАУЭТ), участвовал в рабочей группе Министерства связи по борьбе со спамом. Одно время офис Chronopay располагался в здании Центрального телеграфа, где находится и Минкомсвязи. «У нас в конце коридора была дверь, которая вела прямо в министерство», – вспоминает бывший топ-менеджер Chronopay. Человек из окружения Врублевского полагает, что Chronopay и общественная деятельность нужны были Врублевскому для прикрытия его «серого» бизнеса. Сам предприниматель причастность к проектам, которые ему приписывают собеседники Forbes, отрицает. О каком бизнесе речь?

РАСЦВЕТ ИМПЕРИИ

Бармен, жонглирующий бутылками. Обнаженные девушки с надписями Fethard и RX-Promotion на спине. Столы для покера. На вечеринке интернет-форума Крутопе в столичных «Лужниках» в июле 2 009 года посторонних почти не было: приглашение получили только полторы сотни из нескольких тысяч пользователей ресурса. «Общак замечательного Фета сегодня будет поделен все-таки?» – Эту фразу ведущего, шоумена Павла Воли гости встретили бурными овациями. «А тут претендентов много на 18 млн», – отреагировал Воля.

И анонимный интернет-банк Fethard, и форум веб-мастеров Крутопе, и партнерскую сеть RX-Promotion по продаже фармпрепаратов дешевле официальных аналогов, собеседники Forbes связывают с человеком, использующим псевдоним красных глаз. «То, что красных глаз и Павел Врублевский одно лицо – секрет Полишинеля», – утверждает собеседник Forbes из окружения бизнесмена. Сам Врублевский связь с активами красных глаз отрицает: «Но если бы это даже было так, то ничего плохого в этом я не вижу. Никакой запрещенной деятельности там не было ».

Красный глаз в анонимном интервью Forbes в 2006 году рассказывал, что сделал первые деньги на сайтах с порнографией, а для привлечения трафика на порноресурсы нужны были сайты-партнеры. Красный глаз создал форум Крутопе, на котором в лучшие годы было до 100 000 активных пользователей. В 2 008 году открылась «партнерка» RX-Promotion. Официальная биография Врублевского более скромная: его карьера началась в фирме по сертификации медицинского оборудования.

Врублевский говорит, что RX-Promotion была клиентом Chronopay, а владел ресурсом его знакомый Юрий Кабаенков: «У него был офис на нашем этаже, мы ему пытались помочь». В показаниях по делу Врублевского о DDoS-атаке Кабаенков рассказывал, что создавал техническую часть для RX-Promotion. Продвижение сайтов «партнерки» шло за счет спама. Врублевский перечислял ему за приток клиентов 5-7% от продажи одного лекарственного препарата. «В месяц за свои услуги я получал от $ 10 000 до $ 15 000», – говорится в показаниях Кабаенкова, что позволяет оценить годовой оборот RX-Promotion примерно в $ 2,4 млн. Связаться с Кабаенковым Форбс не удалось.

«Фарма – один из самых прибыльных бизнесов», – утверждает Илья Сачков из Group-IB. Он оценивает российский оборот нелегальных продаж медикаментов и контрафактной продукции в 2011 году в $ 142 млн, в 2012 году – в $ 173 млн.

Человек из окружения Врублевского говорит, что на долю RX-Promotion приходилось только 25-30% денег группы, а около 40% приносил процессинг проектов, связанных с программным обеспечением. Брайан Кребс считал причастным к Chronopay распространению фальшивых антивирусов, например, MacDefender. Как рассказывает знакомый Врублевского, большая часть платежей за софт шла через Мастер-банк, у которого Банк России год назад отозвал лицензию за отмывание денег. Затем средства со счетов выводились через фирмы однодневки-. При этом Chronopay работал не только с российскими, но и, например, с азербайджанскими банками. Наладить работу в Азербайджане помог экс-владелец Черкизовского рынка Тельман Исмаилов и люди из его окружения. «Я несколько раз встречался с Тельманом Мардановичем и его сыновьями, они на меня произвели очень хорошее впечатление, – аккуратно подбирая слова, говорит Врублевский. – Для меня Тельман был стратегическим партнером по развитию бизнеса Chronopay в Азербайджане ».

Что стало с «серым» бизнесом после ареста Врублевского? «Как-то существует, может, под другими названиями», – считает Илья Сачков. В 2011 году, после ареста Врублевского, на форумах веб-мастеров появилось сообщение от Хеллмана (считается, что этот псевдоним использовал Кабаенков) о том, что продвижением RX-Promotion теперь займется он. «После тех сообщений об RX-Promotion ничего не слышно», – говорит Сачков. Человек из окружения Врублевского утверждает, что «партнерка» работает, но уже в закрытом режиме, только с проверенными веб-мастерами.

ОБЩАК ФЕТА

Юг Приморского края. Маленький городок Хасан. До Москвы – тысячи километров. В 1968 году в Хасанском районе был организован оленник, любой желающий мог посмотреть на оленей в естественной среде обитания. Сейчас оленником владеет компания «Рось-С», до 2 008 года 50% в этой компании через дочернюю структуру «Хроно Фет Инвестментс» принадлежало Chronopay. Совладельцами были три партнера – Константин Пазычев, Максим Вологдин и Алексей Боков. «Мы хотели вместе развивать Chronopay в Уссурийске», – говорит Врублевский. В августе 2003 года была открыта компания «Хронопэй-Уссурийск», единственным владельцем КОТОРОЙ БЫЛ Константин Пазычев. Но сотрудничества не сложилось. Как говорит Врублевский, «из-за Пазычева». В ответ на дальнейшие вопросы отшучивается и вспоминает про сложность разведения оленей.

Оленник – единственная явная связь между Врублевским и предполагаемыми основателями банка Fethard. «В начале 2000 х я встречался с двумя молодыми людьми, которые позиционировали себя как владельцы Fethard. Одного из них звали Константин, второго, кажется, Максим », – вспоминает бывший партнер Врублевского Игорь Гусев. Директор Связаться с Пазычевым и Вологдиным Форбс не удалось.

О самом Врублевском Гусев, устроивший войну компроматов с экс-партнером в 2 010 году, говорить отказывается, не хочет «разжигать огонь». Против Гусева в России тоже было возбуждено дело – о незаконном предпринимательстве. Его считают владельцем «фармпартнерки» ГлавМеда и называют одним из крупнейших спамеров. Сейчас, как утверждает Гусев, его фармбизнес «поставлен на паузу», а сам он занялся офлайновым проектом.

По словам Гусева, владельцы Fethard предлагали долю в проекте в обмен на продвижение среди веб-мастеров. После той встречи Гусев с ними больше не пересекался. Возможность продвинуть Fethard была у Врублевского – через форум Крутопе, где он пользовался почти безграничным авторитетом. «Парни из Уссурийска продали« Фет », Паша пообещал клиентов», – рассказывает знакомый Врублевского. О связи Врублевского с Fethard на допросах по делу «Аэрофлота» заявляли еще один обвиняемый Игорь Артимович и свидетель – бывший сотрудник ФСБ Александр Алмакаев.

Чем интересен Fethard? Этот зарегистрированный в Уругвае интернет-банк был полностью анонимным. Достаточно было указать адрес электронной почты, общение шло через нее или ICQ. Соответственно, при расчетах виден был только номер клиента. Реальное имя не требовалось и при выводе средств из Fethard – можно конвертировать их в другие электронные деньги (например, в системе WebMoney).

Данные о счетах клиентов за 2006 год, с которыми ознакомился Форбс, свидетельствуют о том, что годовой оборот превышал $ 700 млн. Согласно показаниям Игоря Артимовича, Врублевский рассказывал ему о доходе от Fethard в размере $ 100 000-150 000 в месяц.

В конце 2007 года все клиентские счета были заморожены: кто-то вывел из банка средства. Человек из окружения Врублевского говорит, что тот подозревал «людей из Приморья». Примерно в это время и происходит ликвидация фирм в Уссурийске. Игорь Артимович в показаниях вспоминает, что Врублевский подозревал и своего партнера Михаила Жиленкова (мужа внучки первого президента РФ Бориса Ельцина). «Пусть говорят», – комментирует Врублевский заявление о том, что его с Жиленковым называют владельцами Fethard. При этом знакомства с Жиленковым он не отрицает. Жиленков запрос Forbes об интервью проигнорировал.

МЕЖДУ МВД И ФСБ

«Русские были чемпионами мира по выпивке», – вспоминает о своей командировке в Россию Энди Крокер, британский сыщик из отдела по борьбе с преступлениями в сфере высоких технологий. Крокер прилетел в Москву в 2 004 году, расследуя дело о DDoS-атаке на британскую букмейкерскую контору Canbet Спорт Букмекеры. За прекращение атак киберпреступники требовали денег. Сыщики узнали, что вымогатели находились в России, вскоре аресты прошли в городе Балаково Саратовской области, Астрахани и Санкт-Петербурге.

Об этой киберохоте в России американский журналист Джозеф Менн написал книгу Фатальная системная ошибка. Но в ней опущен один момент. Выйти на след членов «балаковской группы» полицейским помогал Врублевский, рассказал Forbes бывший сотрудник Бюро специальных технических мероприятий (БСТМ) МВД. По его словам, Врублевский имел отношение к банку, которым пользовались киберпреступники, и знал операторов, которые переводили деньги. Скорее всего, речь идет именно о Fethard. Врублевский подтвердил Forbes, что в разгар расследования к нему обратились за помощью несколько сотрудников БСТМ и два английских сыщика. «Приехали к нам в офис, поговорили, потом я поехал с англичанами в« Царскую охоту »- напоить их по-русски», – вспоминает Врублевский, уходя от дальнейших расспросов.

В России расследованием компьютерных преступлений занимаются две структуры – Центр информационной безопасности (ЦИБ) ФСБ и БСТМ МВД. Ключевым сотрудником обоих структур был выходец из КГБ генерал-полковник Борис Мирошников: он сначала работал в ФСБ, потом перешел в МВД. В окружении Врублевского было несколько человек, которые дружили с Мирошниковым или служили под его руководством. Врублевский пытался выйти на него лично, но тот на контакт упорно не шел.

«Борис Михайлович принял решение никогда и ни при каких обстоятельствах не пересекаться со мной», – говорит основатель Chronopay и признается, что его такое отношение «несколько нервировало». Борис Мирошников, в 2011 году вышедший в отставку, не захотел отвечать на вопросы Forbes, а один из его сотрудников назвал Врублевского «мастером блефа». Зато контакт с Врублевским удалось наладить в сентябре 2007 года сотрудникам полковника Сергея Михайлова, руководителя одного из подразделений ЦИБ ФСБ. Чекистов интересовал все тот же Fethard.

Дружба с силовиками со стороны казалась крепкой – МВД вручало Врублевскому благодарственные письма, Врублевский заказывал блокноты и флешки с логотипами ЦИБ ФСБ и Chronopay (они были изъяты при обысках в 2011 году). Но завершилась эта дружба так же внезапно, как и началась. В декабре +2007 года МВД возбудило уголовное дело о незаконной банковской деятельности Fethard, по которому Врублевский проходил свидетелем. Милиционеры бодро взяли старт – несколько обысков, изъятие серверов, сейфов. «Нам это порядком надоело. Однажды менты вынесли сейф, открыли, а внутри оказались кирпичи », – вспоминает бывший сотрудник Chronopay. Весной 2008 года дело было прекращено. Несколько месяцев спустя следователь по делу Тому Станислав Мальцев перешел работать в службу безопасности Chronopay.

КАДРЫ РЕШАЮТ

«У нас не было и нет никаких« крыш ». Вопросы безопасности мы решаем своими силами – у нас свои полковники найдутся », – объясняет Врублевский кадровую политику компании. Следователь Мальцев был не единственным ценным кадровым приобретением Врублевского. Еще в апреле 2 008 года службу безопасности компании, как говорится в материалах дела, возглавил Владимир Степков – бывший Оперативник РУБОПа, специализировавшийся на освобождении заложников. В том же году Врублевский взял на работу Дмитрия Кожанова, экс-помощника главы ФАПСИ. В 2010 году в компанию пришли люди, связанные со службой безопасности «Аэрофлота».

vrublevsky_pic03

Врублевский активно рекрутировал на работу не только отставников, но и действующих сотрудников ФСБ. Выглядело это так. На вечеринке Крутопе в «Лужниках» он познакомился с майором Максимом Пермяковым из ЦИБ ФСБ, который занимался исследованиями компьютерных вирусов, заодно администрировал а официальный сайт
и почтовый сервер ФСБ. Пермяков был на хорошем счету, но его, как замечали сослуживцы, не устраивало жалование – он говорил, что на гражданке специалисты его уровня зарабатывают в 5-6 раз больше. Врублевский решил эту проблему.

Полгода спустя Пермяков свел Врублевского с Алексеем Ковыршиным – об этом он сообщил в своих показаниях. Они вместе учились на факультете информационной безопасности Института криптографии и связи Академии ФСБ России. Врублевский уверяет, что Ковыршин, ставший техническим директором Chronopay, тоже служил в ЦИБ, но в официальной биографии упоминаний об этом нет. Когда Врублевского посадили, именно Ковыршин возглавил компанию.

В итоге под крышей Chronopay, как в Иностранном легионе, собрались самые неординарные личности: бывшие офицеры ФСБ, МВД, СВР. Секретарем, как рассказывают бывшие коллеги, работала блондинка Аня – дочь высланного из СССР американского шпиона, предпродажной подготовкой Chronopay занимался крестник английской королевы Кристофер Смит.

В кабинете Врублевского в шкафах темнеют корешки собраний сочинений Ленина, Маркса и Энгельса. Расположившись за массивным столом, над которым нависает двуглавый орел, он со знанием дела рассуждает о спецслужбах, вербовках и угрозах национальной безопасности. «Все, что связано со спецслужбами, часто является некой интеллектуальной игрой. Понять, какую роль выбрали для тебя и почему, очень сложно », – Врублевский поднимает глаза к потолку. По его мнению, итогом оперативной игры должна была стать вербовка – его и Гусева, но силовики просчитались. «Они переоценили мою роль, хотя я никогда не являлся каким-то« боссом мафии », и недооценили роль Гусева, чья вовлеченность была на порядок больше», – рассуждает Врублевский.

CHRONOPAY ПОД УДАРОМ

Январские каникулы 2010 года Врублевский провёл в горах Швейцарии. В это время из внутренней сети Chronopay были украдены документы, записи телефонных разговоров и переписка сотрудников. Все это выложили в сеть. Для Chronopay утечка опасна тем, что Visa и MasterCard могли разорвать отношения с компанией из-за разглашения информации.

В марте депутат Госдумы Илья Пономарев отправил депутатский запрос начальнику Следственного комитета при МВД Алексею Аничину. В нем депутат пишет про связи Врублевского с Крутопе, спамом и утверждает, что группа Врублевского была интегрирована в могущественную киберпреступную группировку – Русская Бизнес Сеть (RBN), созданную, как считается, белорусским хакером и торговцем детской порнографией Александром Рубацким.

Письмо Пономарева достигло цели: дело реанимировали Fethard. Депутат уверяет, что его целью было не уголовное преследование Врублевского, а реакция министра связи Щеголева: почему он назначает столь противоречивую фигуру главой рабочей группы по спаму? «Ничего личного, Паша очень яркий и интересный человек, просто так судьба сложилась», – объясняет Пономарев в интервью Forbes. Врублевский считает, что инициатором расследования стал Гусев, который не пожалел $ 1,5 млн за его посадку.

Оперативное сопровождение уголовного дела вели давние знакомые Врублевского – сотрудники ЦИБ. В ответ, по словам предпринимателя, его служба безопасности принимала меры, чтобы снять давление со стороны чекистов – отправляла на сотрудников ЦИБ жалобы в Генпрокуратуру и Службу безопасности ФСБ. «Это не было войной, просто мы вели себя очень активно», – замечает Врублевский. В разгар расследования он пытался выйти на Мирошникова из МВД, а когда не получилось, через Тельмана Исмаилова познакомился с замдиректора ФСО Виктором Золотовым.

На этом фоне Врублевский проиграл битву за «Аэрофлот», крупнейшего клиента для процессинговых компаний в России. Его основной конкурент Assist зарабатывал на процессинге авиаперевозчика 1,8 млн рублей в месяц. «Chronopay постоянно пытался забрать« Аэрофлот », – говорил позже следователю гендиректор Assist Игорь Войтенко (давать комментарий для статьи он отказался).

Врублевский мечтал собрать процессинг всех крупных российских авиаперевозчиков на базе дочерней структуры Chronopay, компании «Е-Авиа». Это позволило бы создать единую систему бронирования авиабилетов – сейчас приходится пользоваться зарубежными. «Я предлагал« Аэрофлоту »даже контроль в этой компании», – рассказывает Врублевский.

В начале лета +2010 года «Аэрофлот» провел тендер на создание единого платежного решения, обслуживавшего онлайновые и офлайновые платежи. Технико-коммерческое предложение от Chronopay подготовил недавно принятый на работу топ-менеджер Антон Бутивщенко, сын бывшего члена Совета директоров «Аэрофлота» Дмитрия Бутивщенко. «Тендер был отменен, но по заключению экспертов« Аэрофлота »компания Chronopay представила наиболее полное и детальное предложение, максимально учитывающее пожелания заказчика», – пишет Бутивщенко-младший в графе «достижения» на своей странице в LinkedIn.

В конечном счете победа досталась Банковскому производственному центру (БПЦ), действовавшему в интересах Альфа-банка. В БПЦ и Альфа-банке итоги не комментируют. «Видимо, предложение« Альфы »устроило« Аэрофлот »больше, чем наше», – разводит руками Врублевский.

АТАКА НА ASSIST

Около 11 часов утра 15 июля 2010 года, сидя за ноутбуком в съемной московской квартире, питерский хакер Игорь Артимович ввел на странице управления бот-сетью адрес компании Assist. Так началась девятидневная DDoS-атака на оператора электронных платежей «Аэрофлота», которая обошлась авиаперевозчику, по его оценкам, в 194 млн рублей, для Assist – в 1 млн рублей, а для Врублевского закончилась тюрьмой и потерей части бизнеса. Следствие построило цепочку: с помощью Игоря Артимовича и его брата Дмитрия Врублевский отдал распоряжение бывшему чекисту Максиму Пермякову атаковать Assist. За атаку несколькими электронными платежами перевели более $ 20 000. Зачем это нужно было Врублевскому?

Есть несколько версий. Следствие считало, что мотивом была корысть – Врублевский пытался добиться контракта. На первых допросах сам Врублевский признавался следователю, что атака была сделана из мести Assist. Третью версию предложили сотрудники Chronopay: после атаки на свою компанию Врублевский пытался показать, что сбои бывают не только у них, но не рассчитал последствия. DDоS обычно занимается полиция,
а тут подключилось ФСБ.

«ФСБ играла в расследовании первую скрипку, это было понятно: угроза национальному перевозчику плюс одиозный фигурант, – говорит бывший участник расследования, сотрудник ЦИБ. – Факт атаки, безусловно, был, фигуранты свою вину признали, материалы не сфабрикованы, а если в доказательствах были разные коллизии и нестыковки – такое бывает, это человеческий фактор ».

Уголовное дело было возбуждено только через год после DDoS– 26 мая 2011 года. Источник, близкий
к спецслужбам, не исключает, что, если бы Врублевский не воевал с сотрудниками ФСБ из-за Fethard, уголовное дело вряд ли появилось бы и уж точно не дошло бы до суда. «У Паши тогда было ощущение непогрешимости, он себя убеждал, что всесилен и может решить все проблемы», – говорит бывший менеджер Chronopay. Вышло наоборот.

Девятого июня в Санкт-Петербурге был задержан Игорь Артимович, 22 июня в Москве – Пермяков. Вечером 23 июня пограничники задержали в Шереметьево загорелого Павла Врублевского, прилетевшего с семьей с Мальдив. Врублевский говорит, что был готов к аресту – в интернете накануне выложили «арестантское дело» Игоря Артимовича, включая его признательные показания. «Это был ясный намек мне. В аэропорту меня ждали адвокаты, – вспоминает Врублевский. – Но я надеялся все быстро решить на месте. Судя по материалам, у дела были нулевые судебные перспективы ».

Пока следователи ФСБ ехали в аэропорт, Врублевский мог говорить по телефону. «Он из аэропорта звонил всем подряд, пытался даже выйти на контакт с [вице-премьером правительства] Сергеем Ивановым», – говорит источник, близкий к спецслужбам.

ФОТО НА ПАМЯТЬ

фото Владимира Васильчикова для Forbes

В кабинете Врублевского на стене висит фотография. На трибуне стадиона, облокотившись о перила, стоят двое довольных мужчин – руководитель администрации президента Сергей Иванов и Павел Врублевский. Свел столь непохожих людей баскетбол. Иванов – президент Единой лиги ВТБ, созданной в 2008 году году ВТБ и Российской федерацией баскетбола, а компания Chronopay выступала одним из ее спонсоров. Врублевский сумм спонсорского контракта не называет, но источник в Chronopay уверяет, что траты были солидные – примерно $ 1,5 млн. Сейчас бюджет Лиги составляет около $ 10 млн.

Врублевский говорит, что с Сергеем Ивановым у него не было личных отношений. «Один раз мы просили Сергея Борисовича помочь нам по одному белейшему и чистейшему проекту – Создание аудиогида На базе ГЛОНАСС для экскурсий по музеям. Он в определенный момент помог, что дальше стало с проектом, я не знаю ». Тем не менее, когда Врублевского арестовали, фотография, которая просочилась в прессу, вызвала вопросы у спецслужб. В Лефортово Врублевского несколько раз допрашивали, общается ли он с Ивановым. «Считали, что я все подстроил. Меня проверяли, подкидывали провокации », – говорит Врублевский.

Звонок Иванову из аэропорта Врублевский отрицает. «Я не уверен, что у Сергея Борисовича вообще есть мобильный телефон. Я не мог обратиться к Иванову. Его фото и так засветилось в чудовищной истории, к которой он не имел никакого отношения ». К моменту сдачи номера в печать Иванов на запрос Forbes не ответил. Врублевский говорит, что после ареста список его контактов сильно поредел. «После Лефортово я со многими прекратил общаться, чтобы они не залетали в мои проблемы лишний раз». Бизнесмен уверяет, что пришлось прекратить общение с совладельцем Chronopay Леонидом Тереховым и даже со своим лучшим другом.

НА СЛУЖБЕ У ГОСУДАРСТВА

«Фактически на Врублевского, кроме Assist, ничего нет – проверки и уголовные дела были прекращены, – говорит бывший сотрудник ФСБ. – У каждого есть какие-то тайные вещи – ошибки молодости, первый заработанный миллион, и мы не хотим, чтобы они были явными ».

Сейчас Врублевский занимает в Chronopay скромную должность консультанта по финансовым вопросам. «Я остаюсь владельцем контрольного пакета, но все оперативное управление в руках у гендиректора Ковыршина», – объясняет Врублевский. Устраивает ли его такое положение? Бывший сотрудник Chronopay вспоминает, что раньше Врублевский все контролировал сам и у него даже не было «правой руки»: «Он держал всех на удалении, это была федерация самоуправляемых менеджеров. В бизнесе Павел – одиночка, он любит независимость и не любит делиться ».

Сейчас он занят реорганизацией компании, но о деталях предпочитает не распространяться. Есть версия, что Врублевского выпустили не просто так и могут использовать теперь в государственных интересах.

В начале мая президент Владимир Путин подписал закон «О национальной платежной системе», ее созданием займется Банк России. О необходимости ее создания Врублевский говорил в своих интервью еще в 2010 году. В конце июня 2014 года на сайте Chronopay появилось заявление, в котором компания поддержала ограничения для платежных систем. Компания уже перенесла в Россию процессинговые центры, штаб-квартира переехала из Амстердама в Москву.

Идея Врублевского собрать под крышей «Е-Авиа» процессинг авиаперевозчиков не реализована. Но над созданием национальной системы бронирования авиабилетов работает теперь «Ростех».

Врублевский уверяет, что ему неинтересно работать на государство: «! После поения коров ничем уже не хочется заниматься – ни борьбой со спамом, ни национальной платежной системой – такой демотиватор»

В середине разговора с Forbes Врублевскому звонит Дмитрий Артимович, который сидел в той же колонии: тот прошел в суде процедуру УДО и скоро окажется на свободе. «Прошел? Ну отлично! – Радуется Врублевский. – Ладно, потом поговорим ». Эта страница в жизни Врублевского и его знакомых, похоже, скоро будет перевернута.

ПАВЕЛ СЕДАКОВ, ДМИТРИЙ ФИЛОНОВ

ФОТО: ВЛАДИМИР ВАСИЛЬЧИКОВ

ИСТОЧНИК: FORBES

Криминалисты из интернета

Криминалисты из интернета

Илья Сачков и его партнеры создали крупнейшего частного игрока на рынке расследований киберпреступлений. Услугами Group-IB пользуются известные компании и спецслужбы

В апреле 2009 года основатель Group-IB Илья Сачков оказался в подмосковном пансионате «Лесные дали», где проходила ежегодная IT-конференция «РИФ+КИБ». Прогуливаясь по холлу, он высматривал новых клиентов. Неожиданно ему позвонили и попросили вернуться в Москву: со счета столичной строительной компании украли 9 млн рублей, и Сачкову предстояло выяснить, кто это сделал. Обычная работа.

Вскоре он уже отдавал распоряжения в офисе этой фирмы на Ленинском проспекте: вызвать полицию, отключить компьютеры от сети, собрать все ноутбуки. На столе выросла горка «железа», которое предстояло отвезти в лабораторию для поиска следов вирусного заражения. Взгляд Сачкова привлек один из ноутбуков — он был приоткрыт. Детектив пробежал глазами письмо в Outlook: владелец ноутбука, местный сисадмин, недавно обналичил похищенные в компании деньги. «Это было самое быстрое расследование в моей жизни, — улыбаясь, рассказывает Forbes Сачков. — Просто нам тогда сильно повезло».

Созданная 10 лет назад компания Group-IB специализируется на расследовании и предотвращении преступлений в компьютерной сфере. Если не считать отделы расследований больших интернет-компаний вроде «Лаборатории Касперского», работающих на внутренние потребности компаний, Group-IB является крупнейшим в России частным кибердетективным агентством. Компьютерных криминалистов здесь больше, чем в соответствующем подразделении Экспертно-криминалистического центра МВД России. За три года, по данным компании, выручка Group-IB выросла более чем в 10 раз, прогноз Сачкова на 2013 год — $36 млн.

«ШТУЧНЫЙ ТОВАР»

Офис Group-IB расположен на территории бывшего завода в районе метро «Электрозаводская», без провожатого здесь легко заблудиться. На каждой двери электронные замки, и даже если сам гендиректор пришел без электронного пропуска — стучи не стучи, внутрь не пустят. Сердце компании, компьютерная криминалистическая лаборатория, занимает совсем небольшое помещение, 4 на 10 м. Десяток столов с мониторами, стеллажи с оборудованием, проводами, компьютерами. Обычный с виду черный чемоданчик — на самом деле мобильный криминалистический комплекс стоимостью около полумиллиона рублей, изготовленный в Израиле. Он позволяет мгновенно считать информацию с цифрового устройства. Подсоединив к нему смартфон, детективы увидят всю переписку с него, даже в Skype, а по точкам подключения Wi-Fi и координатам сделанных фотоснимков смогут составить карту перемещений абонента. Выпотрошив таким образом телефон одного из участников банды, грабившей дальнобойщиков в Ленинградской области, детективы Group-IB получили информацию об остальных налетчиках и передали ее полиции.

Возраст кибердетективов — 20–30 лет, каждый, по словам Сачкова, «штучный товар», ведь ни один российский вуз не выпускает криминалистов по расследованию компьютерных преступлений.

Чтобы найти сотрудников, глава Group-IB ходит в институты, читает лекции и проводит олимпиады по компьютерной криминалистике. Костяк компании составляют выходцы из родного для Сачкова МГТУ им. Баумана. Всех кандидатов на работу проверяют на «полиграфе», а также с использованием «управляемой провокации»: время от времени подставные «клиенты» предлагают продать информацию налево или выдать нужную экспертизу. «За многие годы не было ни одного прокола», — с гордостью говорит Сачков.

А риск есть: криминалисты Group-IB однажды наблюдали за хакером, который на кражах в интернет-банкинге зарабатывал до $20 млн в месяц, соблазн для неустойчивых людей слишком велик. Особенно с учетом того, что средняя зарплата детектива — 70 000–100 000 рублей в месяц. Есть бонусы: корпоративные курсы английского, боевые искусства, йога и даже деньги на покупку делового костюма для встреч. Но костюмы чаще висят в шкафах, детективы предпочитают им джинсы и футболки.

ДЕТЕКТИВНЫЙ СТАРТАП

Зимой 2003 года первокурсник факультета защиты информации МГТУ им. Баумана Илья Сачков перед самой сессией попал в Боткинскую больницу. Вместо учебников друзья принесли ему в палату книжку бывших сотрудников ФБР Криса Просиса и Кевина Мандиа Incident Response: Investigating Computer Crime. Речь в ней шла о компьютерной криминалистике — в США это был уже сложившийся и прибыльный бизнес. Сачкову идея понравилась.

Хакеры-романтики первой волны, взламывающие сайты скорее из спортивного интереса, к тому времени остались в прошлом. С начала 2000-х взломщики начали активно монетизировать свои навыки. «Заработать и оставаться как можно дольше незаметными — вот ради чего они стали работать», — вспоминает то время эксперт по информационной безопасности Cisco Systems Алексей Лукацкий.

Киберпреступники объединялись, появлялись свои партнерские программы, службы поддержки, биржи, кадровые службы и даже свой арбитраж. У крупных группировок была четкая специализация: например, «Балаковская» группа устраивала DDoS атаки на британских букмекеров, вымогая деньги за их прекращение. Другие осваивали «карточный бизнес» — кражу данных кредитных и дебетовых карт, деньги с которых воровались или тратились на заказы в интернет-магазинах. Третьи начинали громить онлайн-банкинг за рубежом — в России системы дистанционного банковского обслуживания в то время еще не были развиты.

Частных расследователей в этой области в России не было совсем, монополия на расследования киберпреступлений была у Бюро специальных технических мероприятий (БСТМ) МВД и Центра информационной безопасности (ЦИБ) ФСБ. Сачков вспоминает, что как-то на конференции познакомился с офицером из управления «К», расследующего киберпреступления, и спросил, можно ли попасть к ним на работу.

Милиционер, смерив студента взглядом, покачал головой: «У нас нет вакансий». И Сачков решил основать свою компанию.

Деньги на открытие бизнеса, $5000, дал старший брат,  «Бауманка» выделила комнату под лабораторию. Первыми сотрудниками стали однокурсники Ильи — два из них до сих пор работают в компании: Дмитрий Волков возглавляет отдел расследований, Игорь Катков — технический директор. Первый существенный контракт у Group-IB появился лишь через несколько месяцев. Топ-менеджеру крупной российской нефтяной компании на корпоративную почту пришли письма с угрозами опубликовать компрометирующие фотографии. «Расследование заняло две недели, вычислили сотрудницу компании, которая, используя прокси-сервера в Голландии, шантажировала своего босса», — вспоминает Сачков. Гонорар компенсировал вложенные $5000, и даже осталась небольшая прибыль.

Корпоративный шпионаж, утечка информации, несанкционированный вход в почту, взломы сайтов — первые кейсы были интересны, но не приносили большой прибыли. В то время расследование в среднем стоило около $10 000–40 000. «Банки нас боялись из-за нашего агрессивного маркетинга и молодости коллектива, по той же причине в МВД вначале к нам относились с большим недоверием: как студенты могут проводить расследования?» — вспоминает Сачков.

Компания пыталась продвигать свои услуги на Западе и даже достигла определенных успехов. «Мы общались с иностранными коллегами, старались помогать в их расследованиях, часто помогали нейтрализовать опасные ботнеты и таким образом попали в  зарубежную тусовку криминалистов», — рассказывает Сачков. С Microsoft, например, Group-IB сотрудничает с 2007 года. «Мы считаем наших коллег ведущими экспертами в области киберпреступности в стране», — говорит Людмила Теплова, представитель Microsoft в России. Американцы привлекают Group-IB для обнаружения и нейтрализации ботнетов, исследования вредоносных программ и т. д. Сумму контракта ни Group-IB, ни Microsoft не разглашают.

Но вплоть до конца 2000-х годов детективному стартапу отчаянно не хватало специалистов, оборудования и, главное, денег для развития. В 2010 году все это появилось — благодаря хакерам.

ИНВЕСТОРЫ И ХАКЕРЫ

В 2010 году хакеры взломали один из сайтов Leta Group, представлявшую в России словацкую антивирусную компанию ESET. «Мои айтишники локализовали угрозу, но на вопрос, кто это сделал и зачем, ответить не смогли», — вспоминает основатель и совладелец компании Leta Group Александр Чачава. За ответом он пришел в офис Group-IB, где тогда работало человек 15, и они ему сразу понравились. «Хакеры зарабатывали на темной стороне гигантские деньги, а эти ребята наступали им на горло», — поясняет Чачава, решивший стать совладельцем Group-IB.

Осенью 2010 года Чачава и его однокурсник Сергей Пильцов стали владельцами половины Group-IB — через ООО «Группа информационной безопасности». По 25% в OOO получили Чачава и Пильцов, 20% принадлежало Илье Сачкову, по 10% — еще трем сотрудникам-основателям. Выручка Group-IB в 2010 году составила $3 млн.

По сути это были инвестиции в стартап: у Group-IB не было выстроенного маркетинга и даже четких расценок за услуги, а у новых инвесторов — никакой стратегии выхода, говорит Чачава. Он вспоминает, как спорил с Сачковым по поводу оплаты одного расследования для банка, за которое Group-IB запросила 50 000 рублей. «Я спрашиваю: почему так мало? А они: да это же заняло всего полтора дня. Говорю: вы же сэкономили банку миллион долларов, возьмите хотя бы 7%, как страховая», — вспоминает Чачава.

Сколько денег они с партнером потратили на покупку доли и развитие Group-IB, он не сказал (Сачков тоже отказался говорить об этом). Топ-менеджер одной из российских IT-компаний оценивает сделку в $2 млн — примерно столько ежегодно инвестирует в стартапы Leta Capital, венчурный фонд Leta Group.

Деньги Leta Group позволили увеличить штат Group-IB впятеро, до 70 человек, открыть офисы в Нью-Йорке и Сингапуре и закупить оборудование, включая те самые «чемоданчики».

Как смотрят на это соответствующие органы? До 2010 года Group-IB чаще всего делала экспертизы для МВД и ФСБ бесплатно, говорит Сачков. Три года назад государство все же начало оплачивать экспертизы: деньги приходят по разовым договорам, в среднем около 300 000 рублей, что в общем укладывается в рыночные расценки ($10 000–15 000). «Бесплатно сейчас делаем только экспертизы по интересным для нас кейсам — не больше 5–10 бесплатных экспертиз в квартал», — уточняет Сачков.

Кроме того, в Group-IB есть бывшие сотрудники силовых ведомств. «Но у нас все же преобладают гражданские, бывших сотрудников Экспертно-криминалистического центра МВД не больше 5–6 человек», — говорит Сачков. «Бывшие» со связями необходимы в этом бизнесе. «В США частное лицо может получить значок помощника шерифа и разыскивать бандитов или киберпреступников, у нас западную модель воспроизвести невозможно», — говорит Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. «Если посмотреть наш закон о частной детективной деятельности, так в России ее вообще быть не должно», — добавляет он. Сам Стоянов в 2006 году в звании майора ушел в свободное плавание, несколько лет его компания самостоятельно занималась расследованиями, а в 2012-м вошла в состав «Лаборатории Касперского». Мелкие частные компании в этом бизнесе не выживут, уверен Стоянов, это бизнес больших корпораций. В его отделе всего шесть сотрудников, но он может пользоваться всеми ресурсами «Лаборатории», компании с выручкой $628 млн в 2012 году и штатом 2800 человек.

Свесившись с крыши на веревках, спецназовцы в черных касках и бронежилетах вместе с выломанной рамой ввалились в окно 15-го этажа. «Звон падающих стекол, крики «На пол!», подозреваемый ползал по полу в трусах и визжал», — красочно описывает в своем отчете криминалист Group-IB Артем Артемов финальную стадию операции по задержанию весной 2012 года одного из лидеров хакерской группы Carberp. От хакеров пострадали клиенты 100 банков по всему миру, только в I квартале 2012-го они похитили минимум 130 млн рублей.

Момент захвата детективы Group-IB наблюдают как зрители, их основная работа сделана раньше. Когда преступники задержаны, криминалисты Group-IB проводят экспертизу их компьютеров и серверов, чтобы найти связи с преступлением. «Наша задача — предоставить аналитическую информацию и выстроить логику расследования, если ее не видят сотрудники полиции», — объясняет глава отдела расследований компании Дмитрий Волков. После завершения расследования сотрудники Group-IB выступают свидетелями и экспертами в суде, но исход процесса может быть разный.

«Заказчики часто хотят конечный результат: вы получите деньги, как только мы увидим человека в тюрьме. Если не сел — поработали зря», — объясняет Руслан Стоянов. Почасовая плата за расследование в России не принята, чаще работу оплачивают поэтапно. Компьютерная криминалистическая экспертиза у Group-IB стоит $10 000–15 000, расследование с выездом на место происшествия, экспертизой и фиксацией цифровых следов, поиском преступников и их персональных данных — минимум $200 000–300 000. Но у частных детективов есть специфические риски. «Банк может заплатить за расследование кейса 8 млн рублей, а может и 2 млн. Говорят: бюджет такой, больше не можем», — говорит Сачков.

Расследование кибератаки занимает обычно один-два месяца. В сборе информации помогают не только социальные сети, но и агентурная сеть. «Мы есть на хакерских форумах, подпольных андеграундных площадках: смотрим, кто о чем пишет, кто чем занимается», — поясняет Сачков.

Если хакер украл базу, через несколько дней он обязательно выложит ее на продажу.

Те же методы используют спецслужбы: ФБР в свое время создало закрытый форум Market, которым хакеры активно пользовались вплоть до начала массовых арестов его участников.

Кибердетективы не имеют права проводить обыски, прослушивать телефоны и вести наружное наблюдение, но используют в своей работе те же методы сбора и анализа информации, что и спецслужбы. Кроме того, говорит Сачков, до 20% всех экспертиз Group-IB обеспечивают силовики — МВД, ФСБ, ФСКН и Следственный комитет. И иногда детективов обвиняют в том, что они дружат с «органами».

ДЕЛО ВРУБЛЕВСКОГО

В июле 2010 года на сайте «Аэрофлота» вдруг перестали проходить электронные платежи. Сервер процессинговой компании Assist, обслуживавшей авиаперевозчика, подвергся мощной DDoS-атаке и «лежал» девять дней. «Аэрофлот» считал убытки: компания потеряла не меньше 147 млн рублей.

Спустя год в аэропорту Шереметьево пограничники задержали загорелого мужчину, прилетевшего с женой и детьми с Мальдив. Это был Павел Врублевский, один из создателей процессинговой системы Chronopay, главный подозреваемый в деле об атаке на «Аэрофлот». Полгода Врублевский провел в СИЗО Лефортово, где написал признательные показания. Позже, выйдя под подписку о невыезде, заявил, что оговорил себя под давлением. Но суд в итоге приговорил Врублевского в июле 2013 года к 2,5 годам колонии, обвинив его в организации DDoS-атаки на своего конкурента, Assist.

Врублевский заявил в своем блоге, что его дело было сфабриковано, и обвинил привлеченных экспертов — «Лабораторию Касперского» и Group-IB — в необъективности.

«Обвинение стартовало именно с экспертизы Group-IB, в нашем деле она сыграла неблагоприятную роль», — говорит адвокат Врублевского Людмила Айвар. Она настаивает, что институт экспертов должен быть независим от ведомств. «Когда эксперт много лет работает с ФСБ, это называется «эксперт ведомства», у них уже устойчивые связи и они уверены в результате», — полагает Айвар. «Любой эксперт разобьет в пух и прах заказную криминалистику, и это будет конец бизнеса. Какой смысл ее делать? — возражает Сачков. — Я уверен, что Врублевский лично заказал DDoS. Это по-своему гениальный человек, но он оказался на темной стороне».

Слишком тесные отношения российских частных детективов со спецслужбами беспокоят не только Врублевского и его адвокатов. «Рынок расследования компьютерных инцидентов жестко контролируется государством, в частности ФСБ», — считает главный редактор Агентуры.ру Андрей Солдатов. По его данным, в последнее время несколько частных CERTов [компьютерных групп реагирования на чрезвычайные ситуации] должны были запуститься в России, но не запустились — все ждали, какие правила для этой деятельности напишет ФСБ. Учитывая непрозрачный характер отношений таких компаний с ФСБ, «абсолютно невозможно гарантировать, что специалисты этих компаний не будут работать по просьбе ФСБ, предоставляя свои мозги, экспертную оценку или технические мощности», — добавляет Солдатов. В ФСБ на вопросы Forbes о сотрудничестве с Group-IB не ответили.

СНОВА ОДНИ

«Мы не лезем в политику, не работаем по [Алексею] Навальному, не занимаемся шпионажем или информационными войнами между странами — все эти вещи могут помешать нашему международному бизнесу», — убеждает Сачков. Чем тогда объяснить, что бизнес компании за последние годы растет как на дрожжах? Если в 2011 году выручка, по данным компании, составила $5,3 млн, то в 2012-м — $14,2 млн, а по итогам 2013 года она составит $36 млн.

Group-IB научилась продавать свои услуги, объясняет этот взлет Сачков. Еще в 2012 году в коммерческом отделе компании работал один человек, сегодня — девять. «Мы не ждем, когда к нам обратятся, сами активно ищем клиентов». Изменилась и модель бизнеса: на расследования и экспертизы теперь приходится менее половины выручки, около 43%, а остальное приносят услуги по предотвращению преступлений, которые продают по подписке: мониторинг и защита брендов (Brand Point Protection, 26% доходов в структуре выручки), мониторинг ботнетов — зараженных компьютерных сетей (Bot-Trek, 12%), аудит по информационной безопасности (12%), консультации (7%), поясняет Сачков. «Бренд становился известнее, и мы увеличили стоимость услуг и сервисов».

Еще до того как Госдума в 2013 году приняла новый закон о борьбе с «пиратством», Group-IB стала предлагать свои услуги по защите авторских прав. Одним из первых клиентов на этом направлении в 2009 году стал Microsoft: Group-IB боролась с сайтами, нелегально распространяющими ее софт. Самый свежий контракт подписан несколько месяцев назад с компанией «Амедиа», представляющей интересы студий HBO, CBS, FOX, Sony.

«В рамках партнерства с «Амедиа» мы заблокировали 60 000 ссылок на их сериалы и фильмы. «Игра престолов» и «Во все тяжкие» — самые популярные сериалы у пиратов», — рассказывает сотрудник Group-IB Георгий Пуляевский.

Стоимость услуги по борьбе с онлайн-пиратством начинается от $10 000 в месяц в зависимости от того, идет фильм в прокате или премьера прошла и он является «библиотечным», поясняет Руслан Кривулин, руководитель направления Brand Point Protection.

C апреля 2013 года Group-IB стала партнером QIWI по поиску мошеннических сайтов, которые используют бренд компании или пытаются присвоить деньги пользователей. «Group-IB проводит оперативные действия с беспрецедентной скоростью не только в Рунете, но и по всей глобальной сети», — сказал Forbes директор по безопасности «Группы QIWI» Владимир Загрибелин. — Среднее время жизни мошеннического сайта в мировой практике составляет 5 дней, а среднее время закрытия такого сайта специалистами Group-IB — около 22 часов». Контракт по защите брендов приносит Group-IB $10 000–30 000 в месяц.

Несколько дороже ($5000–50 000 в месяц) стоят услуги мониторинга Bot-trek, поиск информации о клиентах банков и платежных систем, чьи логины, пароли, номера карт стали известны мошенникам. Детективы сообщают о «засвеченных» клиентах банкам, и те перевыпускают карты или просят сменить логины-пароли. Выстроить отношения с банками помог Артем Сычев, бывший научный руководитель Сачкова в «Бауманке», а сейчас заместитель начальника главного управления безопасности и защиты информации Банка России.

По словам Сачкова, Group-IB работает со всеми российскими банками из первой десятки, самый крупный — Сбербанк. «Со службой безопасности Сбербанка мы познакомились в 2010-м, когда обнаружили большую бот-сеть, созданную для хищения денег у клиентов. Мы бесплатно отправили в Сбербанк данные, попросили заблокировать клиентов. В итоге стали стратегическими партнерами», — вспоминает Сачков. В портфеле Group-IB — контракты с Альфа-банком, «Связным», ВТБ, «Возрождением».

Больше, чем банки, платят лишь горнодобывающие и нефтяные компании за мониторинг своей внутренней сети от заражения вредоносным программным обеспечением. Услуга Advanced Persistent Threat стоит $1,2–2 млн в год. Среди заказчиков Group-IB — «Газпром», «Роснефть», «Норильский никель», ТНК-BP.

Group-IB стала прибыльной в 2011 году, а в октябре 2013 года совладельцы Leta Group Чачава и Пильцов продали свои доли менеджерам компании во главе с Сачковым, которые получили для этого кредит в одном из российских банков. Сумму сделки стороны не называют (участники рынка оценивали пакет в $2 млн), но Чачава утверждает, что IRR составил 30%, он «получил сумму, которая соответствовала ежегодному увеличению моих первоначальных инвестиций на 30%. На 32%, если быть точным».

Развитие ситуации в стране всячески способствует бизнесу Group-IB. В октябре 2013 года Госдума приняла в первом чтении законопроект, расширяющий полномочия ФСБ в сфере информационной безопасности. Как объяснял спикер Сергей Нарышкин, проект закона направлен на пресечение преступлений с использованием IT-технологий.

«Для нас это хорошо. Чем больше расследований, тем больше будет заказов на экспертизы», — уверен Сачков.

По оценке самой Group-IB, ущерб от действий киберпреступников в России в 2012 году составил $1,9 млрд. Детективам есть куда расти.

ПАВЕЛ СЕДАКОВ

ФОТО ЮРИЯ ЧИЧКОВА ДЛЯ FORBES

ИСТОЧНИК: FORBES

Дикое киберполе

Дикое киберполе

Одесса стала неформальной столицей украинских взломщиков, и именно сюда приводят электронные следы громких хакерских атак 

В Одессе возле памятника Дюку на Приморском бульваре стоит двухэтажный автобус, но он никуда не едет. Внутри — бар. Коньяк здесь подают в пробирке, супчик — в мензурке. Ранний посетитель — мужчина в отглаженных брюках и остроносых ботинках, — махнув водки, подсаживается к журналисту из России и вызывается показать местные достопримечательности. Через полчаса разговора выясняется, что навязывающий себя гид — бывший офицер спецслужб, а его расспросы становятся открыто подозрительными.

Эта история вполне характерна для приморского города. «Одесса — удивительный город, там агент на агенте, и плетутся интриги спецслужб всего мира», — со знанием дела говорит основатель одного из российских подпольных форумов для web-мастеров. Спецслужбам есть на кого там охотиться. Одесса считается неформальной столицей украинских хакеров, и именно сюда последние годы приводят электронные следы громких международных хакерских атак, мошенничества в онлайн-банкинге, DDoS-атак на сайты российских госучреждений и компаний.

Несколько российских киберпреступников после облав в России нашли здесь убежище.

«Киберпреступность с самого начала своего существования тяготела к Одессе, — говорит Forbes Константин Корсун, 43-летний полковник, экс-офицер подразделения по борьбе с хакерами Службы безопасности Украины (СБУ).  — Могу лишь предположить, что это как-то связано с высокой степенью коррумпированности местных правоохранительных органов и их тесными связями с «традиционным» криминалитетом. А может, им [хакерам] там просто климат нравится, море, достаточно большой город, в котором легко затеряться». Forbes выяснил, кто и почему скрывается в Одессе.

Осколки Carberp

«Мы услышали грохот. Сильный грохот. Дверь квартиры открылась, и мы забежали внутрь. В темноте рыскали красные точки лазерных прицелов, слышался звон падающих на пол осколков разбитых окон, и раздавались крики: «На пол!», «Включите свет!» Подозреваемый ползал по полу коридора в трусах и визжал. Я осмотрелся: на рабочем столе в комнате стояли ноутбук и моноблок, раскиданы флешки и телефоны», — вспоминает криминалист Group-IB Артем Артемов операцию по задержанию в Москве одного из лидеров хакерской группы Carberp. От ее действий пострадали клиенты 100 банков по всему миру, только за три первых месяца 2012-го киберпреступники похитили минимум 130 млн рублей.

Чуть позже появилось и видео захвата: спустившись с крыши на веревках, бойцы спецназа МВД «Рысь» выломали раму и ввалились в окно 15-го этажа. Это произошло 4 марта 2012 года, а в мае того же года участник форума Antichat под ником GizmoSB написал встревоженный пост: «Какими средствами возможно вызвать бан ролика на ютуб? Может, жестко накрутить просмотры или DDoS определенного ролика даст результат?»

Под ником GizmoSB скрывался член той самой хакерской группы Carberp — 25-летний Роман, который, как считает следствие, отвечал за создание и функционирование бот-сети — цепи компьютеров, зараженных вредоносной программой. Всю техническую работу за Gizmo выполняли другие люди — вирусописатели,  программисты, но именно Gizmo давал заливщикам реквизиты компаний — они проверяли баланс клиентов банков, выжидая момент, когда лучше увести деньги. Руководителями группы заливщиков и группы обнала в Carberp были братья Александр и Николай Покорские.

Их отец, по словам источника Forbes, имел отношение к ГРУ Генштаба РФ.

Про самого GizmoSB известно немного. Он родился в Абхазии. Пока учился в одном из московских университетов, искал способы заработать, например, открыть ферму по разведению осетров. Но деньги принесла не рыба, а хакерские форумы. Роман начинал с DDoS-атак, которые приносили небольшой доход, в среднем около $100 в день. «С моими познаниями даже на мороженное не заработаешь)) мне просто нужен хороший поток траффика… очень большое количество траффика … 50-100 к в день», — писал Gizmo в сентябре 2008 года.

В тот год, считает следствие, и была создана группа Carberp, состоявшая минимум из 8 человек, которые за четыре года совершили тысячи хищений у компаний по всей России. Для комфортной работы «заливщиков» руководители группы открыли офис, замаскированный под сервис по восстановлению данных.

В марте 2012 года начались аресты — были задержаны восемь членов Carberp, в том числе и Gizmo, но позже его отпустили под подписку о невыезде. Хакер не стал дожидаться суда и уехал на родину в Абхазию. Через 5 месяцев он сделал поддельные документы на имя гражданина Литвы и вылетел в Кипр на встречу с беременной женой. В то время он уже был объявлен в федеральный, а затем и в международный розыск. Сейчас Gizmo находится на территории Украины и занимается поисковой оптимизацией. Не так прибыльно, но зато спокойно.

В чеченском плену

Деревянная бита, билет на поезд Москва — Киев, два российских паспорта на имя чеченцев из Урус-Мартановского и Шалинского районов, мобильный телефон, сим-карты, пара наушников, принтер HP, ноутбук и коммуникатор HTC. Все это вещественные доказательства по уголовному делу №1522/18915/12. В тексте приговора, который корреспонденты Forbes отыскали в реестре решений Приморского районного суда Одессы, нет ни фамилий, ни адресов. Только короткая фабула — неназванный компьютерщик из Москвы провел четверо суток в «чеченском плену».  Из Одессы его под охраной перевезли в Херсон, потом — в Симферополь и вернули назад в Одессу.

От пленника требовалось развернуть бот-сеть для кибератак и хищения денег в онлайн-банкинге, иначе похитители — суровые мужчины с Северного Кавказа — грозили переломать ему ноги битой.

Чеченцы знали, кто поможет им заработать в онлайне. В России Алексей «Pioneer» руководил заливщиками одного из подразделений хакерской группировки Carber. После того как в марте 2012 года ФСБ, МВД и детективы киберагентства Group-IB разгромили Carberp, Pioneer через Белоруссию сбежал на Украину и обосновался в Одессе.

«В Москве Gizmo и Pioneer вряд ли были знакомы, но их знали братья Покорские», — говорит источник, близкий к следствию. По его словам, Pioneer руководил заливщиками во второй ветке группировки Carberp. Алексею повезло: в день, когда происходили массовые задержания, его не оказалось дома. В Одессе, куда он бежал, хакера вычислили чеченцы. Пленнику удалось сделать звонок — и местные милиционеры его быстро нашли и освободили. Дело завершилось полюбовно: на суд Pioneer не ходил, претензий не выдвигал, чеченцам дали два года с отсрочкой исполнения приговора на три года и выпустили в зале суда. Pioneer по-прежнему находится на Украине, на вопросы Forbes через соцсети он не ответил.

«Всегда удобно прятаться за трансграничностью — воровать в одном месте, а прятаться в другом. У местных правоохранительных органов нет к тебе претензий, и они дают тебе дышать, — считает Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. — Атаки с Украины продолжаются. Последний тренд — взлом банковских систем. Ломают уже не клиентов банков, а уже из самих банков пытаются вывести крупные суммы».

«Хакерской столицей Одессу принято считать лишь потому, что здесь живу и работаю я», — заявил Forbes глава интернет-партии Украины Дмитрий Голубов. В начале нулевых Голубова обвиняли во взломе американских банковских систем и хищении $11 млн, а зарубежная пресса наделила его титулом «крестного отца» восточноевропейской хакерской мафии. «Я оправдан всеми судами, которые не нашли в моих деяниях состава преступления», — комментирует Голубов.

Кроме Голубова в Одессе есть еще несколько известных персонажей, замечает Дмитрий Волков, глава службы расследований детективного кибер-агентства Group-IB. Например, Legal-D — владелец одного из наиболее популярных сервисов по проведению DDOS-атак. На его сайте (который сейчас заблокирован) были указаны расценки: сутки от $50, месяц — от $1000. «Legal-D причастен ко многим политическим атакам, — говорит Волков. — Еще во время майдана он атаковал местные правительственные и новостные сайты. В последнее время Legal-D атаковал сайтыpolitikym.net,ura-inform.com, progorod.info, crime.in.ua.

Среди других местных интересных персонажей — Абдулла,  владелец одного из самых дорогих и надежных хостингов, которыми пользуются хакеры, кардеры, спамеры, создатели порно-ресурсов.

Когда-то он был участником нашумевшей киберпреступной группы RBN (Russian Business Network), но сейчас у него свой дата-центр, востребованный многими опасными киберпреступниками. Благодарные клиенты даже сочинили про Абдуллу песню: «Хостятся те, кто не любит класть бабки в банки. Те, кто знает, на что способен пластик с магнитной лентой…. Сервак не встанет и клиентам не о чем жалеть, ведь он пуленепробиваемый, как бронежилет».

«Абдулла давно пропал из Одессы, его видели в Иловайске, воющего в рядах одного из дагестанских ОПГ», — уверяет корреспондентов Forbes Голубов, и по тону его письма не понятно, говорит он серьезно или шутит. Но в оценках он категоричен: «Хакерское подполье в Одессе представлено тремя несовершеннолетними поцами, которых регулярно арестовывают за попытку взлома сайтов школ».

«Проделки американцев»

Во время одного из последних визитов в одесскую квартиру родителей Михаил Рытиков забрал все свои фотографии во взрослом возрасте. Вычистил и страницы в соцсети. А спустя несколько месяцев исчез. Рытикова объявил в розыск Интерпол. Его и несколько российских хакеров власти США обвиняли в краже данных 160 млн кредитных карт клиентов американских банков, магазинов, финансовых учреждений и даже биржы Nasdaq. «Мама, если случится что-то плохое, то я в этом не виноват — это все проделки американцев», — вспоминала в одном из интервью слова сына Людмила Рытикова.

В марте 2014 года американские сенаторы Марк Кирк и Марк Ворнер опубликовали заявление относительно киберпреступности на Украине. «Эксперты в области кибербезопасности говорят, что … украинский город Одесса имеет репутацию крупнейшего в мире интернет-рынка украденных кредитных карт», — говорится в заявлении. Сенаторы считают, что американские власти должны усилить совместную работу с украинской стороной, отправить на Украину агентов ФБР для помощи местным силовикам в поимке хакеров, а также усовершенствовать процедуру выдачи подозреваемых в США.

«Времена меняются, и Украина сейчас не самое спокойное место для хакеров, которые работают по США или Европе, — считает экс-сотрудник Центра информационной безопасности ФСБ. — Украина дружит с США, и им будет за счастье выдать гражданина России, попавшегося на киберпреступлении. Другое дело, если эти хакеры работают исключительно против России».

В Одессе борьбу с хакерами ведет Управление борьбы с киберпреступностью ГУМВД Украины в Одесской области, которое возглавляет Юрий Выходец. «Одесса — большой город, поэтому не удивительно, что у нас есть хакеры. Правда, говорить, что наш город — это столица, будет все же преувеличением. Это справедливо только в масштабах Украины, но никак не мира», — говорил в интервью украинскому ресурсу «Вести» Выходец. Попытки Forbes связаться с Выходцом не увенчались успехом, он постоянно был на совещаниях. Сейчас при попытке зайти на сайт Управления по борьбе с киберпреступностью Google выдает предупреждение о том, что сайт небезопасен — на нем происходит загрузка вредоносного ПО.

После присоединения Крыма и войны на юго-востоке Украины сотрудничество российских и украинских силовиков оказалось заморожено. На фоне этого украинские хакеры стали еще активнее атаковать российские госсайты и взламывать банковские счета, а специалисты по IT-безопасности — записываться в ополчение для защиты своего киберпространства.

В России весьма популярны истории о нелегальных кибергруппах, которые находятся на службе у ФСБ, СВР и АП: за работу на государство они получают индульгенцию за прошлые грехи.

Именно им приписывают массированные DDoS-атаки на cайты правительственных учреждений, банков, медиахолдингов Эстонии в апреле 2007 года и Грузии в августе 2008. «У нас в этом плане все намного хуже, потому что всех полухакеров сегодня приговоривают к реальным срокам, не предлагая им поработать на государство, — замечает Голубов. —  Правил индульгенции до сих пор нет, хотя я неоднократно это предлагал».  Глава интернет-партии сам баллотируется в Верховную раду и уже знает, какой закон нужен Украине.  «Я планирую внести законопроект о немедленном создании подобного органа [киберподразделения] на базе СБУ».

ПАВЕЛ СЕДАКОВ, ДМИТРИЙ ФИЛОНОВ
ИСТОЧНИК: FORBES