Контракт со взломом

Контракт со взломом

 

Хакер Алиса Шевченко взламывает компьютерные системы крупных компаний. За что ей платят?
 
В фабричных окнах загорается свет. Локомотив тянет вагоны через железнодорожный переезд. Кран поднимает грузы. Миниатюрный городок, появившийся в мае этого года в московском техноцентре Digital October, — не игрушка, а хакерский полигон, построенный для форума Positive Hack Days. За сотню километров от этого места, сидя в подмосковном коттедже, блондинка с татуировкой-иероглифом на левом предплечье взламывает со своего компьютера систему управления предприятием городка-полигона. Она побеждает в конкурсе «Взлом умного города» — легальной хакерской атаке, нацеленной на выявление слабых мест в инфраструктурных и промышленных системах.

«Я даже не ожидала такой тривиальности — около 10 критических уязвимостей всего за пару часов», — рассказывает Алиса Шевченко, она же Esage, она же владелица компании «Цифровое оружие и защита» с годовой выручкой около 10 млн рублей.

В 15 лет Алиса выучила язык ассемблера, но программистом не стала — ее больше интересовали взломы.

 

В 15 лет Алиса выучила язык ассемблера, но программистом не стала — ее больше интересовали взломы. Он бросила учебу в трех технических вузах, посчитав, что попусту теряет время, а сейчас ее приглашают читать лекции на кафедру защиты информации МГУ и спецфакультет МГТУ им. Баумана.

Свою первую компанию EsageLab, специализирующуюся на цифровой защите, Алиса Шевченко открыла в 2009 году. «Ей всегда было интересно узнать и понять, как все устроено изнутри. А потом использовать эти знания, для того чтобы обойти систему», — вспоминает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», где Шевченко пять лет работала вирусным аналитиком. Расследуя кражу денег в одном из российских банков, вспоминает Гостев, он показал Шевченко выявленный руткит-модуль (программу, которая в обход антивирусов скрытно управляет компьютером). Для Алисы-Esage руткиты были профессиональной страстью, и она вспомнила, что уже видела похожий. В итоге взломщик был обнаружен. А Шевченко почувствовала, что на противодействии киберпреступникам можно заработать: «Документы, которые раньше прятали в сейфах, переместились в компьютеры, на смену кешу приходил интернет-банкинг, и криминал двигался к тому, чтобы захватывать цифровые активы».

В начале 2000-х в России рынка тестирования проникновений и поиска уязвимостей практически не было, он появился к 2010 году, замечает Александр Поляков, технический директор из питерской компании Digital Security. На целевых атаках зарабатывали прежде всего хакеры-преступники, охотившиеся за деньгами или промышленными секретами. Поначалу бизнес EsageLab был связан с консалтингом и исследованиями целевых атак. Стартовых инвестиций не понадобилось: весь капитал заключался в навыках нескольких проверенных сотрудников и собственных компьютерах.

Первых крупных заказчиков EsageLab получила по рекомендации системного интегратора «ДиалогНаука», с руководством которого Шевченко была знакома. К примеру, в 2010 году один из российских банков обратился в EsageLab, чтобы разобраться, как с помощью сотен поддельных денежных переводов кибермошенники выводили суммы от $3000 до $30 000. Группа Шевченко нашла бреши, через которые атакующие внедрились в систему банка и могли бы вновь это сделать в любой момент. Такие расследования, которые показывали логику и сценарий атаки, занимали у EsageLab в среднем месяц работы и приносили $10 000–15 000 выручки.

Алиса ШевченкоАлиса Шевченко Фото Владимир Васильчикова для Forbes

Гендиректор «ДиалогНаука» Виктор Сердюк подтвердил Forbes факт сотрудничества с Шевченко, но раскрывать подробности не стал, сославшись на конфиденциальность информации. Судя по списку выигранных контрактов, клиентами интегратора были суды, Минобороны, структуры ФСО, аппарат Госдумы, Сбербанк, «Газпром», «Транснефть», МТС, «Мегафон». Партнерство «ДиалогНаука» с EsageLab было вполне логичным, замечает руководитель Group-IB Илья Сачков: для интеграторов поиск уязвимостей — это подготовка дальнейших поставок клиентам софта и оборудования.

В 2009 году Алиса Шевченко, по ее словам, получила от заказчиков 1,5 млн рублей. Обратился к ней и бывший работодатель. EsageLab тестировала один из антивирусов KasperskyLab. «Поработали хорошо, нашли много уязвимостей», — вспоминает предпринимательница.

Однако бизнес оказался не столь привлекателен, как казалось вначале: контракты на расследования и тестирования разовые, накладные расходы велики, команду надо постоянно держать в Москве.

Шевченко решила сосредоточиться на том, что у нее получалось лучше всего, — на взломах-проверках. Так можно было заполучить клиентов на длительное обслуживание.

В поисках новых вариантов партнерства Шевченко переговорила с Натальей Касперской. К тому времени соосновательница «Лаборатории Касперского» вышла из бизнеса бывшего мужа и развивала свою компанию InfoWatch. «Алиса занималась консультациями в области защиты от руткитов. Было непонятно, как на этом можно было заработать. Инвестировать мы не стали, но какими-то советами помогли», — вспоминает Касперская.

Владелице EsageLab нужно было около $150 000 на создание программного инструментария для управляемых взломов. За год с лишним она заработала недостающую сумму. В 2011 году Шевченко заключила первый контракт по поиску уязвимостей в ПО для компании «ИнформЗащита». А в следующем году — первый контракт по пентестам (испытаниям на проникновение) с Parallels. Поиск и ликвидация слабых мест в компьютерной системе через имитацию хакерских атак за рубежом называется offensive security (агрессивная защита информации), в России — «боевые учения». Команда Шевченко знает лишь название компании-клиента и по открытым источникам собирает информацию на ключевых сотрудников, как при подготовке к реальному киберпреступлению (например, через компьютер сисадмина можно проникнуть в критические узлы локальной сети). Дальнейшие действия —информация, не подлежащая разглашению.

«Мы всегда работаем по контракту с предоплатой. За штучные заказы уже не беремся», — говорит Шевченко. Почему заказчики «боевых учений» привлекают людей со стороны? «Держать таких специалистов в штате накладно, ведь пентесты делаются не каждый день», — объясняет вице-президент по безопасности банка «Тинькофф Кредитные системы» Станислав Павлунин (в 2013 году банк привлекал Шевченко для аудита кода и пентеста). Даже если у фирмы есть свой отдел реагирования на целевые атаки, возникает потребность проверить, насколько надежна защита, то есть провести внешний аудит.

Поиском уязвимостей, по словам Ильи Сачкова из Group-IB, в России сейчас занимаются не менее 30 больших компаний, преимущество Шевченко — в ее «бутиковости» и соответствующем качестве проверки.

«Я никудышный продавец, — признается Алиса. — В компании на мне лежит исследовательская задача — получение инновационных технологий».

Впрочем, клиенты, как правило, находят ее сами. Заказчики проверяют хакеров, а хакеры — заказчиков. «По одному контракту переговоры шли почти год, пока мы не стали доверять друг другу, — рассказывает Шевченко. — Мы используем дорогие технологии стоимостью $100 000–200 000, и они не должны попасть в руки к кому попало».

Год тому назад EsageLab была переименована в «Цифровое оружие и защиту» (ЦОР). Это не просто эффектное название: в декабре 2013 года технологии вторжения в программное обеспечение (intrusion software), которые создает и использует группа Шевченко, были внесены в реестр международного Вассенаарского соглашения, регулирующего экспорт обычных вооружений. Алиса Шевченко выходит на зарубежные рынки. Скоро в Сингапуре должна начать работу ее новая компания, которая будет продавать программное обеспечение для проведения реалистичных тестов на проникновение.

Насколько успешен легальный хакерский бизнес? По словам Шевченко, выручка EsageLab в 2012 году составляла 3 млн рублей, «Цифровое оружие и защита» по итогам 2014 года должна заработать около 10 млн рублей. На аренду офиса ЦОР не тратится, сотрудники работают дистанционно, ядро компании — пять человек, в зависимости от задач команда увеличивается до 10-15 человек.

Автор: Павел Седаков

Фото Владимира Васильчикова для Forbes

Источник: Forbes

Sex, drugs and Rock ’n Roll

Sex, drugs and Rock ’n Roll

Как игры со спецслужбами погубили бизнес-империю Павла Врублевского

В мае 2014 года года из ворот  рязанской колонии-поселения выехал белый Сadillac Escalade – владелец процессинговой компании Chronopay Павел Врублевский возвращался в Москву. Разуваться и выкидывать из окна ботинки согласно тюремной традиции Врублевский не стал: этот ритуал не сработал в декабре 2011 года, когда бизнесмена ненадолго выпустили из СИЗО, а потом суд все же отправил его в колонию. За решеткой Врублевский оказался за организацию DDoS-атаки на конкурента – питерскую компанию Assist. Ее крупнейший клиент «Аэрофлот» больше недели не мог принимать платежи через интернет. В лагере Врублевский освоил специальность пожарного, но ничего не горело. Вспоминает, как поил коров из брандспойта. «Натворили. Пострадали. Наказаны. Ну, бывает», – философски замечает Врублевский, давая Форбс первое после своего освобождения интервью.

Как и до ареста, Врублевский по-прежнему много говорит и много курит. Его пафосный офис в «Москва-Сити» с брюнетками-близняшками на ресепшен, громкие вечеринки в стиле «Волка с Уолл-стрит», личная охрана и бронированный Merсedes – все это уже в прошлом. Chronopay переехал в скромный офис возле станции метро «Спортивная». Врублевский раз в две недели ходит отмечаться к участковому и возмущается, что из «Яндекс.Видео» сыплются порноролики: «Меня как отца троих детей эта ситуация сильно беспокоит!» О прошлой жизни в его кабинете напоминает лишь позолоченный телефон Vertu на столе.

51f8wwxdw3lТрудно поверить, что именно этот человек стал героем книги Spam Nation, подноготную организованной киберпреступности бывшего журналиста Washington Post Брайна Кребса, который начал вести расследование о Врублевском еще в 2 009 году. «Раньше про Врублевского вспоминали на каждой международной конференции по IT-безопасности, теперь почти забыли, – говорит Илья Сачков, руководитель карте компании Group-IB, специализирующейся на раскрытии киберпреступлений. – Он гениальный человек, но оказался на темной стороне ».

Пытаясь сохранить бизнес, Врублевский много лет лавировал между МВД и ФСБ, завязывая знакомства с высокопоставленными лицами из спецслужб и во власти, но рискованная игра в конечном счете привела его за решетку. Как Врублевский строил свою империю и что от нее осталось?

ПРЕДПРОДАЖНАЯ ПОДГОТОВКА

Следственный изолятор ФСБ Лефортово – одна из самых строгих тюрем России. Тем удивительнее было видеть в один из осенних дней 2011 года арестанта, который, демонстративно закинув ноги на стол в адвокатской комнате СИЗО, перелистывал пухлую стопку бумаг. Дожидаясь суда, Врублевский, владелец контрольного пакета Chronopay, получил от Сбербанка предложение о покупке сервиса. Банк хотел провернуть сделку за два месяца, предложив за компанию $ 25-30 млн (сам бизнесмен оценивал ее в $ 100 млн). Врублевский прямо в Лефортово подписал предварительное соглашение о проведении должной осмотрительности, но сделка не состоялась – когда Врублевский в декабре +2011 года на несколько месяцев вышел на свободу, Сбербанк от покупки отказался. Источник Forbes в Сбербанке подтвердил факт переговоров, уточнив, что с уголовным делом Врублевского ни идея сделки, ни отказ от нее никак не связаны: «Chronopay – хороший инструмент, но« Яндекс.Деньги »предложили лучшие условия». (Сервис был куплен банком в декабре 2012 года.)

По словам Врублевского, купить Chronopay Хотели и инвестфонд сооснователя группы ПИК Юрия Жукова, и госбанк (по данным Forbes, речь идет о Газпромбанке). «Это некорректная информация. Может быть, и знакомились, но ничего конкретного не обсуждали », – сообщили Forbes в фонде Клевер Интернет инвестиций. Представитель Газпромбанка заявил Форбс, что «вопрос о приобретении Chronopay не стоит». Сам Врублевский отмечает, что сейчас процесс продажи компании заморожен и полным ходом идет ее реструктуризация. «Я человек нежадный, но жутко уставший», – говорит он.

Арест Врублевского сильно сказался на развитии его бизнеса. Как гласит сайт Chronopay, компания обеспечивает 45% платежей по банковским картам в российском интернете. По словам Врублевского, сейчас доля гораздо меньше, около 15%. От десятка иностранных представительств Chronopay остались лишь офисы в Голландии и Литве, число сотрудников сократилось с 200 до 70 человек. Выручка в России, правда, растет: в 2012 году, по данным СПАРК, она составляла $ 3 млн, в 2013 году – $ 4,2 млн, но чистую Прибыль компания показала в 2005 только году. «Наше развитие задержали. Те иностранные компании, которые стартовали одновременно с нами, стоят теперь $ 1,5-2 млрд », – признается Врублевский.

ПЕРВЫЕ ШАГИ

ChronoPay Врублевский создал в 2003 году вместе с Игорем Гусевым, чьи программисты написали софт. Компанию зарегистрировали в Нидерландах. Но партнерство продлилось всего несколько месяцев. Бизнесмены поссорились, Гусев ушел. Часть акций досталась Леониду Терехову, у которого Врублевский работал в юности. Сам Врублевский называет Терехова финансистом, но два собеседника Forbes утверждают, что он выходец из ГРУ.

В начале 2000 х в России доля платежей банковскими картами была минимальна, большинство расчетов шло наличными. Этим отчасти и объясняется открытие Chronopay в Нидерландах и дальнейшая экспансия на европейский рынок, а затем и в Латинскую Америку – Перу и Мексику.

Первыми клиентами Chronopay были компании из сегмента высокого риска – те, у кого большой процент отзывов платежей. К этой категории относятся сайты для взрослых, сервисы знакомств, продажа фармакологии (в частности, «Виагры). К 2009-2010 годам доля рискованных клиентов сократилась до 10%, у Chronopay Появились крупные «белые» Партнеры – Государственный «Ростелеком», «Мосэнерго», оператор связи МТС, авиаперевозчик «Трансаэро» и др. Выход на новый уровень бизнеса сопровождался сменой имиджа. Врублевский стал активным общественным деятелем – возглавил комитет по Электронной Коммерции при ассоциации Национальной Электронной Торговли участников (НАУЭТ), участвовал в рабочей группе Министерства связи по борьбе со спамом. Одно время офис Chronopay располагался в здании Центрального телеграфа, где находится и Минкомсвязи. «У нас в конце коридора была дверь, которая вела прямо в министерство», – вспоминает бывший топ-менеджер Chronopay. Человек из окружения Врублевского полагает, что Chronopay и общественная деятельность нужны были Врублевскому для прикрытия его «серого» бизнеса. Сам предприниматель причастность к проектам, которые ему приписывают собеседники Forbes, отрицает. О каком бизнесе речь?

РАСЦВЕТ ИМПЕРИИ

Бармен, жонглирующий бутылками. Обнаженные девушки с надписями Fethard и RX-Promotion на спине. Столы для покера. На вечеринке интернет-форума Крутопе в столичных «Лужниках» в июле 2 009 года посторонних почти не было: приглашение получили только полторы сотни из нескольких тысяч пользователей ресурса. «Общак замечательного Фета сегодня будет поделен все-таки?» – Эту фразу ведущего, шоумена Павла Воли гости встретили бурными овациями. «А тут претендентов много на 18 млн», – отреагировал Воля.

И анонимный интернет-банк Fethard, и форум веб-мастеров Крутопе, и партнерскую сеть RX-Promotion по продаже фармпрепаратов дешевле официальных аналогов, собеседники Forbes связывают с человеком, использующим псевдоним красных глаз. «То, что красных глаз и Павел Врублевский одно лицо – секрет Полишинеля», – утверждает собеседник Forbes из окружения бизнесмена. Сам Врублевский связь с активами красных глаз отрицает: «Но если бы это даже было так, то ничего плохого в этом я не вижу. Никакой запрещенной деятельности там не было ».

Красный глаз в анонимном интервью Forbes в 2006 году рассказывал, что сделал первые деньги на сайтах с порнографией, а для привлечения трафика на порноресурсы нужны были сайты-партнеры. Красный глаз создал форум Крутопе, на котором в лучшие годы было до 100 000 активных пользователей. В 2 008 году открылась «партнерка» RX-Promotion. Официальная биография Врублевского более скромная: его карьера началась в фирме по сертификации медицинского оборудования.

Врублевский говорит, что RX-Promotion была клиентом Chronopay, а владел ресурсом его знакомый Юрий Кабаенков: «У него был офис на нашем этаже, мы ему пытались помочь». В показаниях по делу Врублевского о DDoS-атаке Кабаенков рассказывал, что создавал техническую часть для RX-Promotion. Продвижение сайтов «партнерки» шло за счет спама. Врублевский перечислял ему за приток клиентов 5-7% от продажи одного лекарственного препарата. «В месяц за свои услуги я получал от $ 10 000 до $ 15 000», – говорится в показаниях Кабаенкова, что позволяет оценить годовой оборот RX-Promotion примерно в $ 2,4 млн. Связаться с Кабаенковым Форбс не удалось.

«Фарма – один из самых прибыльных бизнесов», – утверждает Илья Сачков из Group-IB. Он оценивает российский оборот нелегальных продаж медикаментов и контрафактной продукции в 2011 году в $ 142 млн, в 2012 году – в $ 173 млн.

Человек из окружения Врублевского говорит, что на долю RX-Promotion приходилось только 25-30% денег группы, а около 40% приносил процессинг проектов, связанных с программным обеспечением. Брайан Кребс считал причастным к Chronopay распространению фальшивых антивирусов, например, MacDefender. Как рассказывает знакомый Врублевского, большая часть платежей за софт шла через Мастер-банк, у которого Банк России год назад отозвал лицензию за отмывание денег. Затем средства со счетов выводились через фирмы однодневки-. При этом Chronopay работал не только с российскими, но и, например, с азербайджанскими банками. Наладить работу в Азербайджане помог экс-владелец Черкизовского рынка Тельман Исмаилов и люди из его окружения. «Я несколько раз встречался с Тельманом Мардановичем и его сыновьями, они на меня произвели очень хорошее впечатление, – аккуратно подбирая слова, говорит Врублевский. – Для меня Тельман был стратегическим партнером по развитию бизнеса Chronopay в Азербайджане ».

Что стало с «серым» бизнесом после ареста Врублевского? «Как-то существует, может, под другими названиями», – считает Илья Сачков. В 2011 году, после ареста Врублевского, на форумах веб-мастеров появилось сообщение от Хеллмана (считается, что этот псевдоним использовал Кабаенков) о том, что продвижением RX-Promotion теперь займется он. «После тех сообщений об RX-Promotion ничего не слышно», – говорит Сачков. Человек из окружения Врублевского утверждает, что «партнерка» работает, но уже в закрытом режиме, только с проверенными веб-мастерами.

ОБЩАК ФЕТА

Юг Приморского края. Маленький городок Хасан. До Москвы – тысячи километров. В 1968 году в Хасанском районе был организован оленник, любой желающий мог посмотреть на оленей в естественной среде обитания. Сейчас оленником владеет компания «Рось-С», до 2 008 года 50% в этой компании через дочернюю структуру «Хроно Фет Инвестментс» принадлежало Chronopay. Совладельцами были три партнера – Константин Пазычев, Максим Вологдин и Алексей Боков. «Мы хотели вместе развивать Chronopay в Уссурийске», – говорит Врублевский. В августе 2003 года была открыта компания «Хронопэй-Уссурийск», единственным владельцем КОТОРОЙ БЫЛ Константин Пазычев. Но сотрудничества не сложилось. Как говорит Врублевский, «из-за Пазычева». В ответ на дальнейшие вопросы отшучивается и вспоминает про сложность разведения оленей.

Оленник – единственная явная связь между Врублевским и предполагаемыми основателями банка Fethard. «В начале 2000 х я встречался с двумя молодыми людьми, которые позиционировали себя как владельцы Fethard. Одного из них звали Константин, второго, кажется, Максим », – вспоминает бывший партнер Врублевского Игорь Гусев. Директор Связаться с Пазычевым и Вологдиным Форбс не удалось.

О самом Врублевском Гусев, устроивший войну компроматов с экс-партнером в 2 010 году, говорить отказывается, не хочет «разжигать огонь». Против Гусева в России тоже было возбуждено дело – о незаконном предпринимательстве. Его считают владельцем «фармпартнерки» ГлавМеда и называют одним из крупнейших спамеров. Сейчас, как утверждает Гусев, его фармбизнес «поставлен на паузу», а сам он занялся офлайновым проектом.

По словам Гусева, владельцы Fethard предлагали долю в проекте в обмен на продвижение среди веб-мастеров. После той встречи Гусев с ними больше не пересекался. Возможность продвинуть Fethard была у Врублевского – через форум Крутопе, где он пользовался почти безграничным авторитетом. «Парни из Уссурийска продали« Фет », Паша пообещал клиентов», – рассказывает знакомый Врублевского. О связи Врублевского с Fethard на допросах по делу «Аэрофлота» заявляли еще один обвиняемый Игорь Артимович и свидетель – бывший сотрудник ФСБ Александр Алмакаев.

Чем интересен Fethard? Этот зарегистрированный в Уругвае интернет-банк был полностью анонимным. Достаточно было указать адрес электронной почты, общение шло через нее или ICQ. Соответственно, при расчетах виден был только номер клиента. Реальное имя не требовалось и при выводе средств из Fethard – можно конвертировать их в другие электронные деньги (например, в системе WebMoney).

Данные о счетах клиентов за 2006 год, с которыми ознакомился Форбс, свидетельствуют о том, что годовой оборот превышал $ 700 млн. Согласно показаниям Игоря Артимовича, Врублевский рассказывал ему о доходе от Fethard в размере $ 100 000-150 000 в месяц.

В конце 2007 года все клиентские счета были заморожены: кто-то вывел из банка средства. Человек из окружения Врублевского говорит, что тот подозревал «людей из Приморья». Примерно в это время и происходит ликвидация фирм в Уссурийске. Игорь Артимович в показаниях вспоминает, что Врублевский подозревал и своего партнера Михаила Жиленкова (мужа внучки первого президента РФ Бориса Ельцина). «Пусть говорят», – комментирует Врублевский заявление о том, что его с Жиленковым называют владельцами Fethard. При этом знакомства с Жиленковым он не отрицает. Жиленков запрос Forbes об интервью проигнорировал.

МЕЖДУ МВД И ФСБ

«Русские были чемпионами мира по выпивке», – вспоминает о своей командировке в Россию Энди Крокер, британский сыщик из отдела по борьбе с преступлениями в сфере высоких технологий. Крокер прилетел в Москву в 2 004 году, расследуя дело о DDoS-атаке на британскую букмейкерскую контору Canbet Спорт Букмекеры. За прекращение атак киберпреступники требовали денег. Сыщики узнали, что вымогатели находились в России, вскоре аресты прошли в городе Балаково Саратовской области, Астрахани и Санкт-Петербурге.

Об этой киберохоте в России американский журналист Джозеф Менн написал книгу Фатальная системная ошибка. Но в ней опущен один момент. Выйти на след членов «балаковской группы» полицейским помогал Врублевский, рассказал Forbes бывший сотрудник Бюро специальных технических мероприятий (БСТМ) МВД. По его словам, Врублевский имел отношение к банку, которым пользовались киберпреступники, и знал операторов, которые переводили деньги. Скорее всего, речь идет именно о Fethard. Врублевский подтвердил Forbes, что в разгар расследования к нему обратились за помощью несколько сотрудников БСТМ и два английских сыщика. «Приехали к нам в офис, поговорили, потом я поехал с англичанами в« Царскую охоту »- напоить их по-русски», – вспоминает Врублевский, уходя от дальнейших расспросов.

В России расследованием компьютерных преступлений занимаются две структуры – Центр информационной безопасности (ЦИБ) ФСБ и БСТМ МВД. Ключевым сотрудником обоих структур был выходец из КГБ генерал-полковник Борис Мирошников: он сначала работал в ФСБ, потом перешел в МВД. В окружении Врублевского было несколько человек, которые дружили с Мирошниковым или служили под его руководством. Врублевский пытался выйти на него лично, но тот на контакт упорно не шел.

«Борис Михайлович принял решение никогда и ни при каких обстоятельствах не пересекаться со мной», – говорит основатель Chronopay и признается, что его такое отношение «несколько нервировало». Борис Мирошников, в 2011 году вышедший в отставку, не захотел отвечать на вопросы Forbes, а один из его сотрудников назвал Врублевского «мастером блефа». Зато контакт с Врублевским удалось наладить в сентябре 2007 года сотрудникам полковника Сергея Михайлова, руководителя одного из подразделений ЦИБ ФСБ. Чекистов интересовал все тот же Fethard.

Дружба с силовиками со стороны казалась крепкой – МВД вручало Врублевскому благодарственные письма, Врублевский заказывал блокноты и флешки с логотипами ЦИБ ФСБ и Chronopay (они были изъяты при обысках в 2011 году). Но завершилась эта дружба так же внезапно, как и началась. В декабре +2007 года МВД возбудило уголовное дело о незаконной банковской деятельности Fethard, по которому Врублевский проходил свидетелем. Милиционеры бодро взяли старт – несколько обысков, изъятие серверов, сейфов. «Нам это порядком надоело. Однажды менты вынесли сейф, открыли, а внутри оказались кирпичи », – вспоминает бывший сотрудник Chronopay. Весной 2008 года дело было прекращено. Несколько месяцев спустя следователь по делу Тому Станислав Мальцев перешел работать в службу безопасности Chronopay.

КАДРЫ РЕШАЮТ

«У нас не было и нет никаких« крыш ». Вопросы безопасности мы решаем своими силами – у нас свои полковники найдутся », – объясняет Врублевский кадровую политику компании. Следователь Мальцев был не единственным ценным кадровым приобретением Врублевского. Еще в апреле 2 008 года службу безопасности компании, как говорится в материалах дела, возглавил Владимир Степков – бывший Оперативник РУБОПа, специализировавшийся на освобождении заложников. В том же году Врублевский взял на работу Дмитрия Кожанова, экс-помощника главы ФАПСИ. В 2010 году в компанию пришли люди, связанные со службой безопасности «Аэрофлота».

vrublevsky_pic03

Врублевский активно рекрутировал на работу не только отставников, но и действующих сотрудников ФСБ. Выглядело это так. На вечеринке Крутопе в «Лужниках» он познакомился с майором Максимом Пермяковым из ЦИБ ФСБ, который занимался исследованиями компьютерных вирусов, заодно администрировал а официальный сайт
и почтовый сервер ФСБ. Пермяков был на хорошем счету, но его, как замечали сослуживцы, не устраивало жалование – он говорил, что на гражданке специалисты его уровня зарабатывают в 5-6 раз больше. Врублевский решил эту проблему.

Полгода спустя Пермяков свел Врублевского с Алексеем Ковыршиным – об этом он сообщил в своих показаниях. Они вместе учились на факультете информационной безопасности Института криптографии и связи Академии ФСБ России. Врублевский уверяет, что Ковыршин, ставший техническим директором Chronopay, тоже служил в ЦИБ, но в официальной биографии упоминаний об этом нет. Когда Врублевского посадили, именно Ковыршин возглавил компанию.

В итоге под крышей Chronopay, как в Иностранном легионе, собрались самые неординарные личности: бывшие офицеры ФСБ, МВД, СВР. Секретарем, как рассказывают бывшие коллеги, работала блондинка Аня – дочь высланного из СССР американского шпиона, предпродажной подготовкой Chronopay занимался крестник английской королевы Кристофер Смит.

В кабинете Врублевского в шкафах темнеют корешки собраний сочинений Ленина, Маркса и Энгельса. Расположившись за массивным столом, над которым нависает двуглавый орел, он со знанием дела рассуждает о спецслужбах, вербовках и угрозах национальной безопасности. «Все, что связано со спецслужбами, часто является некой интеллектуальной игрой. Понять, какую роль выбрали для тебя и почему, очень сложно », – Врублевский поднимает глаза к потолку. По его мнению, итогом оперативной игры должна была стать вербовка – его и Гусева, но силовики просчитались. «Они переоценили мою роль, хотя я никогда не являлся каким-то« боссом мафии », и недооценили роль Гусева, чья вовлеченность была на порядок больше», – рассуждает Врублевский.

CHRONOPAY ПОД УДАРОМ

Январские каникулы 2010 года Врублевский провёл в горах Швейцарии. В это время из внутренней сети Chronopay были украдены документы, записи телефонных разговоров и переписка сотрудников. Все это выложили в сеть. Для Chronopay утечка опасна тем, что Visa и MasterCard могли разорвать отношения с компанией из-за разглашения информации.

В марте депутат Госдумы Илья Пономарев отправил депутатский запрос начальнику Следственного комитета при МВД Алексею Аничину. В нем депутат пишет про связи Врублевского с Крутопе, спамом и утверждает, что группа Врублевского была интегрирована в могущественную киберпреступную группировку – Русская Бизнес Сеть (RBN), созданную, как считается, белорусским хакером и торговцем детской порнографией Александром Рубацким.

Письмо Пономарева достигло цели: дело реанимировали Fethard. Депутат уверяет, что его целью было не уголовное преследование Врублевского, а реакция министра связи Щеголева: почему он назначает столь противоречивую фигуру главой рабочей группы по спаму? «Ничего личного, Паша очень яркий и интересный человек, просто так судьба сложилась», – объясняет Пономарев в интервью Forbes. Врублевский считает, что инициатором расследования стал Гусев, который не пожалел $ 1,5 млн за его посадку.

Оперативное сопровождение уголовного дела вели давние знакомые Врублевского – сотрудники ЦИБ. В ответ, по словам предпринимателя, его служба безопасности принимала меры, чтобы снять давление со стороны чекистов – отправляла на сотрудников ЦИБ жалобы в Генпрокуратуру и Службу безопасности ФСБ. «Это не было войной, просто мы вели себя очень активно», – замечает Врублевский. В разгар расследования он пытался выйти на Мирошникова из МВД, а когда не получилось, через Тельмана Исмаилова познакомился с замдиректора ФСО Виктором Золотовым.

На этом фоне Врублевский проиграл битву за «Аэрофлот», крупнейшего клиента для процессинговых компаний в России. Его основной конкурент Assist зарабатывал на процессинге авиаперевозчика 1,8 млн рублей в месяц. «Chronopay постоянно пытался забрать« Аэрофлот », – говорил позже следователю гендиректор Assist Игорь Войтенко (давать комментарий для статьи он отказался).

Врублевский мечтал собрать процессинг всех крупных российских авиаперевозчиков на базе дочерней структуры Chronopay, компании «Е-Авиа». Это позволило бы создать единую систему бронирования авиабилетов – сейчас приходится пользоваться зарубежными. «Я предлагал« Аэрофлоту »даже контроль в этой компании», – рассказывает Врублевский.

В начале лета +2010 года «Аэрофлот» провел тендер на создание единого платежного решения, обслуживавшего онлайновые и офлайновые платежи. Технико-коммерческое предложение от Chronopay подготовил недавно принятый на работу топ-менеджер Антон Бутивщенко, сын бывшего члена Совета директоров «Аэрофлота» Дмитрия Бутивщенко. «Тендер был отменен, но по заключению экспертов« Аэрофлота »компания Chronopay представила наиболее полное и детальное предложение, максимально учитывающее пожелания заказчика», – пишет Бутивщенко-младший в графе «достижения» на своей странице в LinkedIn.

В конечном счете победа досталась Банковскому производственному центру (БПЦ), действовавшему в интересах Альфа-банка. В БПЦ и Альфа-банке итоги не комментируют. «Видимо, предложение« Альфы »устроило« Аэрофлот »больше, чем наше», – разводит руками Врублевский.

АТАКА НА ASSIST

Около 11 часов утра 15 июля 2010 года, сидя за ноутбуком в съемной московской квартире, питерский хакер Игорь Артимович ввел на странице управления бот-сетью адрес компании Assist. Так началась девятидневная DDoS-атака на оператора электронных платежей «Аэрофлота», которая обошлась авиаперевозчику, по его оценкам, в 194 млн рублей, для Assist – в 1 млн рублей, а для Врублевского закончилась тюрьмой и потерей части бизнеса. Следствие построило цепочку: с помощью Игоря Артимовича и его брата Дмитрия Врублевский отдал распоряжение бывшему чекисту Максиму Пермякову атаковать Assist. За атаку несколькими электронными платежами перевели более $ 20 000. Зачем это нужно было Врублевскому?

Есть несколько версий. Следствие считало, что мотивом была корысть – Врублевский пытался добиться контракта. На первых допросах сам Врублевский признавался следователю, что атака была сделана из мести Assist. Третью версию предложили сотрудники Chronopay: после атаки на свою компанию Врублевский пытался показать, что сбои бывают не только у них, но не рассчитал последствия. DDоS обычно занимается полиция,
а тут подключилось ФСБ.

«ФСБ играла в расследовании первую скрипку, это было понятно: угроза национальному перевозчику плюс одиозный фигурант, – говорит бывший участник расследования, сотрудник ЦИБ. – Факт атаки, безусловно, был, фигуранты свою вину признали, материалы не сфабрикованы, а если в доказательствах были разные коллизии и нестыковки – такое бывает, это человеческий фактор ».

Уголовное дело было возбуждено только через год после DDoS– 26 мая 2011 года. Источник, близкий
к спецслужбам, не исключает, что, если бы Врублевский не воевал с сотрудниками ФСБ из-за Fethard, уголовное дело вряд ли появилось бы и уж точно не дошло бы до суда. «У Паши тогда было ощущение непогрешимости, он себя убеждал, что всесилен и может решить все проблемы», – говорит бывший менеджер Chronopay. Вышло наоборот.

Девятого июня в Санкт-Петербурге был задержан Игорь Артимович, 22 июня в Москве – Пермяков. Вечером 23 июня пограничники задержали в Шереметьево загорелого Павла Врублевского, прилетевшего с семьей с Мальдив. Врублевский говорит, что был готов к аресту – в интернете накануне выложили «арестантское дело» Игоря Артимовича, включая его признательные показания. «Это был ясный намек мне. В аэропорту меня ждали адвокаты, – вспоминает Врублевский. – Но я надеялся все быстро решить на месте. Судя по материалам, у дела были нулевые судебные перспективы ».

Пока следователи ФСБ ехали в аэропорт, Врублевский мог говорить по телефону. «Он из аэропорта звонил всем подряд, пытался даже выйти на контакт с [вице-премьером правительства] Сергеем Ивановым», – говорит источник, близкий к спецслужбам.

ФОТО НА ПАМЯТЬ

фото Владимира Васильчикова для Forbes

В кабинете Врублевского на стене висит фотография. На трибуне стадиона, облокотившись о перила, стоят двое довольных мужчин – руководитель администрации президента Сергей Иванов и Павел Врублевский. Свел столь непохожих людей баскетбол. Иванов – президент Единой лиги ВТБ, созданной в 2008 году году ВТБ и Российской федерацией баскетбола, а компания Chronopay выступала одним из ее спонсоров. Врублевский сумм спонсорского контракта не называет, но источник в Chronopay уверяет, что траты были солидные – примерно $ 1,5 млн. Сейчас бюджет Лиги составляет около $ 10 млн.

Врублевский говорит, что с Сергеем Ивановым у него не было личных отношений. «Один раз мы просили Сергея Борисовича помочь нам по одному белейшему и чистейшему проекту – Создание аудиогида На базе ГЛОНАСС для экскурсий по музеям. Он в определенный момент помог, что дальше стало с проектом, я не знаю ». Тем не менее, когда Врублевского арестовали, фотография, которая просочилась в прессу, вызвала вопросы у спецслужб. В Лефортово Врублевского несколько раз допрашивали, общается ли он с Ивановым. «Считали, что я все подстроил. Меня проверяли, подкидывали провокации », – говорит Врублевский.

Звонок Иванову из аэропорта Врублевский отрицает. «Я не уверен, что у Сергея Борисовича вообще есть мобильный телефон. Я не мог обратиться к Иванову. Его фото и так засветилось в чудовищной истории, к которой он не имел никакого отношения ». К моменту сдачи номера в печать Иванов на запрос Forbes не ответил. Врублевский говорит, что после ареста список его контактов сильно поредел. «После Лефортово я со многими прекратил общаться, чтобы они не залетали в мои проблемы лишний раз». Бизнесмен уверяет, что пришлось прекратить общение с совладельцем Chronopay Леонидом Тереховым и даже со своим лучшим другом.

НА СЛУЖБЕ У ГОСУДАРСТВА

«Фактически на Врублевского, кроме Assist, ничего нет – проверки и уголовные дела были прекращены, – говорит бывший сотрудник ФСБ. – У каждого есть какие-то тайные вещи – ошибки молодости, первый заработанный миллион, и мы не хотим, чтобы они были явными ».

Сейчас Врублевский занимает в Chronopay скромную должность консультанта по финансовым вопросам. «Я остаюсь владельцем контрольного пакета, но все оперативное управление в руках у гендиректора Ковыршина», – объясняет Врублевский. Устраивает ли его такое положение? Бывший сотрудник Chronopay вспоминает, что раньше Врублевский все контролировал сам и у него даже не было «правой руки»: «Он держал всех на удалении, это была федерация самоуправляемых менеджеров. В бизнесе Павел – одиночка, он любит независимость и не любит делиться ».

Сейчас он занят реорганизацией компании, но о деталях предпочитает не распространяться. Есть версия, что Врублевского выпустили не просто так и могут использовать теперь в государственных интересах.

В начале мая президент Владимир Путин подписал закон «О национальной платежной системе», ее созданием займется Банк России. О необходимости ее создания Врублевский говорил в своих интервью еще в 2010 году. В конце июня 2014 года на сайте Chronopay появилось заявление, в котором компания поддержала ограничения для платежных систем. Компания уже перенесла в Россию процессинговые центры, штаб-квартира переехала из Амстердама в Москву.

Идея Врублевского собрать под крышей «Е-Авиа» процессинг авиаперевозчиков не реализована. Но над созданием национальной системы бронирования авиабилетов работает теперь «Ростех».

Врублевский уверяет, что ему неинтересно работать на государство: «! После поения коров ничем уже не хочется заниматься – ни борьбой со спамом, ни национальной платежной системой – такой демотиватор»

В середине разговора с Forbes Врублевскому звонит Дмитрий Артимович, который сидел в той же колонии: тот прошел в суде процедуру УДО и скоро окажется на свободе. «Прошел? Ну отлично! – Радуется Врублевский. – Ладно, потом поговорим ». Эта страница в жизни Врублевского и его знакомых, похоже, скоро будет перевернута.

ПАВЕЛ СЕДАКОВ, ДМИТРИЙ ФИЛОНОВ

ФОТО: ВЛАДИМИР ВАСИЛЬЧИКОВ

ИСТОЧНИК: FORBES

Криминалисты из интернета

Криминалисты из интернета

Илья Сачков и его партнеры создали крупнейшего частного игрока на рынке расследований киберпреступлений. Услугами Group-IB пользуются известные компании и спецслужбы

В апреле 2009 года основатель Group-IB Илья Сачков оказался в подмосковном пансионате «Лесные дали», где проходила ежегодная IT-конференция «РИФ+КИБ». Прогуливаясь по холлу, он высматривал новых клиентов. Неожиданно ему позвонили и попросили вернуться в Москву: со счета столичной строительной компании украли 9 млн рублей, и Сачкову предстояло выяснить, кто это сделал. Обычная работа.

Вскоре он уже отдавал распоряжения в офисе этой фирмы на Ленинском проспекте: вызвать полицию, отключить компьютеры от сети, собрать все ноутбуки. На столе выросла горка «железа», которое предстояло отвезти в лабораторию для поиска следов вирусного заражения. Взгляд Сачкова привлек один из ноутбуков — он был приоткрыт. Детектив пробежал глазами письмо в Outlook: владелец ноутбука, местный сисадмин, недавно обналичил похищенные в компании деньги. «Это было самое быстрое расследование в моей жизни, — улыбаясь, рассказывает Forbes Сачков. — Просто нам тогда сильно повезло».

Созданная 10 лет назад компания Group-IB специализируется на расследовании и предотвращении преступлений в компьютерной сфере. Если не считать отделы расследований больших интернет-компаний вроде «Лаборатории Касперского», работающих на внутренние потребности компаний, Group-IB является крупнейшим в России частным кибердетективным агентством. Компьютерных криминалистов здесь больше, чем в соответствующем подразделении Экспертно-криминалистического центра МВД России. За три года, по данным компании, выручка Group-IB выросла более чем в 10 раз, прогноз Сачкова на 2013 год — $36 млн.

«ШТУЧНЫЙ ТОВАР»

Офис Group-IB расположен на территории бывшего завода в районе метро «Электрозаводская», без провожатого здесь легко заблудиться. На каждой двери электронные замки, и даже если сам гендиректор пришел без электронного пропуска — стучи не стучи, внутрь не пустят. Сердце компании, компьютерная криминалистическая лаборатория, занимает совсем небольшое помещение, 4 на 10 м. Десяток столов с мониторами, стеллажи с оборудованием, проводами, компьютерами. Обычный с виду черный чемоданчик — на самом деле мобильный криминалистический комплекс стоимостью около полумиллиона рублей, изготовленный в Израиле. Он позволяет мгновенно считать информацию с цифрового устройства. Подсоединив к нему смартфон, детективы увидят всю переписку с него, даже в Skype, а по точкам подключения Wi-Fi и координатам сделанных фотоснимков смогут составить карту перемещений абонента. Выпотрошив таким образом телефон одного из участников банды, грабившей дальнобойщиков в Ленинградской области, детективы Group-IB получили информацию об остальных налетчиках и передали ее полиции.

Возраст кибердетективов — 20–30 лет, каждый, по словам Сачкова, «штучный товар», ведь ни один российский вуз не выпускает криминалистов по расследованию компьютерных преступлений.

Чтобы найти сотрудников, глава Group-IB ходит в институты, читает лекции и проводит олимпиады по компьютерной криминалистике. Костяк компании составляют выходцы из родного для Сачкова МГТУ им. Баумана. Всех кандидатов на работу проверяют на «полиграфе», а также с использованием «управляемой провокации»: время от времени подставные «клиенты» предлагают продать информацию налево или выдать нужную экспертизу. «За многие годы не было ни одного прокола», — с гордостью говорит Сачков.

А риск есть: криминалисты Group-IB однажды наблюдали за хакером, который на кражах в интернет-банкинге зарабатывал до $20 млн в месяц, соблазн для неустойчивых людей слишком велик. Особенно с учетом того, что средняя зарплата детектива — 70 000–100 000 рублей в месяц. Есть бонусы: корпоративные курсы английского, боевые искусства, йога и даже деньги на покупку делового костюма для встреч. Но костюмы чаще висят в шкафах, детективы предпочитают им джинсы и футболки.

ДЕТЕКТИВНЫЙ СТАРТАП

Зимой 2003 года первокурсник факультета защиты информации МГТУ им. Баумана Илья Сачков перед самой сессией попал в Боткинскую больницу. Вместо учебников друзья принесли ему в палату книжку бывших сотрудников ФБР Криса Просиса и Кевина Мандиа Incident Response: Investigating Computer Crime. Речь в ней шла о компьютерной криминалистике — в США это был уже сложившийся и прибыльный бизнес. Сачкову идея понравилась.

Хакеры-романтики первой волны, взламывающие сайты скорее из спортивного интереса, к тому времени остались в прошлом. С начала 2000-х взломщики начали активно монетизировать свои навыки. «Заработать и оставаться как можно дольше незаметными — вот ради чего они стали работать», — вспоминает то время эксперт по информационной безопасности Cisco Systems Алексей Лукацкий.

Киберпреступники объединялись, появлялись свои партнерские программы, службы поддержки, биржи, кадровые службы и даже свой арбитраж. У крупных группировок была четкая специализация: например, «Балаковская» группа устраивала DDoS атаки на британских букмекеров, вымогая деньги за их прекращение. Другие осваивали «карточный бизнес» — кражу данных кредитных и дебетовых карт, деньги с которых воровались или тратились на заказы в интернет-магазинах. Третьи начинали громить онлайн-банкинг за рубежом — в России системы дистанционного банковского обслуживания в то время еще не были развиты.

Частных расследователей в этой области в России не было совсем, монополия на расследования киберпреступлений была у Бюро специальных технических мероприятий (БСТМ) МВД и Центра информационной безопасности (ЦИБ) ФСБ. Сачков вспоминает, что как-то на конференции познакомился с офицером из управления «К», расследующего киберпреступления, и спросил, можно ли попасть к ним на работу.

Милиционер, смерив студента взглядом, покачал головой: «У нас нет вакансий». И Сачков решил основать свою компанию.

Деньги на открытие бизнеса, $5000, дал старший брат,  «Бауманка» выделила комнату под лабораторию. Первыми сотрудниками стали однокурсники Ильи — два из них до сих пор работают в компании: Дмитрий Волков возглавляет отдел расследований, Игорь Катков — технический директор. Первый существенный контракт у Group-IB появился лишь через несколько месяцев. Топ-менеджеру крупной российской нефтяной компании на корпоративную почту пришли письма с угрозами опубликовать компрометирующие фотографии. «Расследование заняло две недели, вычислили сотрудницу компании, которая, используя прокси-сервера в Голландии, шантажировала своего босса», — вспоминает Сачков. Гонорар компенсировал вложенные $5000, и даже осталась небольшая прибыль.

Корпоративный шпионаж, утечка информации, несанкционированный вход в почту, взломы сайтов — первые кейсы были интересны, но не приносили большой прибыли. В то время расследование в среднем стоило около $10 000–40 000. «Банки нас боялись из-за нашего агрессивного маркетинга и молодости коллектива, по той же причине в МВД вначале к нам относились с большим недоверием: как студенты могут проводить расследования?» — вспоминает Сачков.

Компания пыталась продвигать свои услуги на Западе и даже достигла определенных успехов. «Мы общались с иностранными коллегами, старались помогать в их расследованиях, часто помогали нейтрализовать опасные ботнеты и таким образом попали в  зарубежную тусовку криминалистов», — рассказывает Сачков. С Microsoft, например, Group-IB сотрудничает с 2007 года. «Мы считаем наших коллег ведущими экспертами в области киберпреступности в стране», — говорит Людмила Теплова, представитель Microsoft в России. Американцы привлекают Group-IB для обнаружения и нейтрализации ботнетов, исследования вредоносных программ и т. д. Сумму контракта ни Group-IB, ни Microsoft не разглашают.

Но вплоть до конца 2000-х годов детективному стартапу отчаянно не хватало специалистов, оборудования и, главное, денег для развития. В 2010 году все это появилось — благодаря хакерам.

ИНВЕСТОРЫ И ХАКЕРЫ

В 2010 году хакеры взломали один из сайтов Leta Group, представлявшую в России словацкую антивирусную компанию ESET. «Мои айтишники локализовали угрозу, но на вопрос, кто это сделал и зачем, ответить не смогли», — вспоминает основатель и совладелец компании Leta Group Александр Чачава. За ответом он пришел в офис Group-IB, где тогда работало человек 15, и они ему сразу понравились. «Хакеры зарабатывали на темной стороне гигантские деньги, а эти ребята наступали им на горло», — поясняет Чачава, решивший стать совладельцем Group-IB.

Осенью 2010 года Чачава и его однокурсник Сергей Пильцов стали владельцами половины Group-IB — через ООО «Группа информационной безопасности». По 25% в OOO получили Чачава и Пильцов, 20% принадлежало Илье Сачкову, по 10% — еще трем сотрудникам-основателям. Выручка Group-IB в 2010 году составила $3 млн.

По сути это были инвестиции в стартап: у Group-IB не было выстроенного маркетинга и даже четких расценок за услуги, а у новых инвесторов — никакой стратегии выхода, говорит Чачава. Он вспоминает, как спорил с Сачковым по поводу оплаты одного расследования для банка, за которое Group-IB запросила 50 000 рублей. «Я спрашиваю: почему так мало? А они: да это же заняло всего полтора дня. Говорю: вы же сэкономили банку миллион долларов, возьмите хотя бы 7%, как страховая», — вспоминает Чачава.

Сколько денег они с партнером потратили на покупку доли и развитие Group-IB, он не сказал (Сачков тоже отказался говорить об этом). Топ-менеджер одной из российских IT-компаний оценивает сделку в $2 млн — примерно столько ежегодно инвестирует в стартапы Leta Capital, венчурный фонд Leta Group.

Деньги Leta Group позволили увеличить штат Group-IB впятеро, до 70 человек, открыть офисы в Нью-Йорке и Сингапуре и закупить оборудование, включая те самые «чемоданчики».

Как смотрят на это соответствующие органы? До 2010 года Group-IB чаще всего делала экспертизы для МВД и ФСБ бесплатно, говорит Сачков. Три года назад государство все же начало оплачивать экспертизы: деньги приходят по разовым договорам, в среднем около 300 000 рублей, что в общем укладывается в рыночные расценки ($10 000–15 000). «Бесплатно сейчас делаем только экспертизы по интересным для нас кейсам — не больше 5–10 бесплатных экспертиз в квартал», — уточняет Сачков.

Кроме того, в Group-IB есть бывшие сотрудники силовых ведомств. «Но у нас все же преобладают гражданские, бывших сотрудников Экспертно-криминалистического центра МВД не больше 5–6 человек», — говорит Сачков. «Бывшие» со связями необходимы в этом бизнесе. «В США частное лицо может получить значок помощника шерифа и разыскивать бандитов или киберпреступников, у нас западную модель воспроизвести невозможно», — говорит Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. «Если посмотреть наш закон о частной детективной деятельности, так в России ее вообще быть не должно», — добавляет он. Сам Стоянов в 2006 году в звании майора ушел в свободное плавание, несколько лет его компания самостоятельно занималась расследованиями, а в 2012-м вошла в состав «Лаборатории Касперского». Мелкие частные компании в этом бизнесе не выживут, уверен Стоянов, это бизнес больших корпораций. В его отделе всего шесть сотрудников, но он может пользоваться всеми ресурсами «Лаборатории», компании с выручкой $628 млн в 2012 году и штатом 2800 человек.

Свесившись с крыши на веревках, спецназовцы в черных касках и бронежилетах вместе с выломанной рамой ввалились в окно 15-го этажа. «Звон падающих стекол, крики «На пол!», подозреваемый ползал по полу в трусах и визжал», — красочно описывает в своем отчете криминалист Group-IB Артем Артемов финальную стадию операции по задержанию весной 2012 года одного из лидеров хакерской группы Carberp. От хакеров пострадали клиенты 100 банков по всему миру, только в I квартале 2012-го они похитили минимум 130 млн рублей.

Момент захвата детективы Group-IB наблюдают как зрители, их основная работа сделана раньше. Когда преступники задержаны, криминалисты Group-IB проводят экспертизу их компьютеров и серверов, чтобы найти связи с преступлением. «Наша задача — предоставить аналитическую информацию и выстроить логику расследования, если ее не видят сотрудники полиции», — объясняет глава отдела расследований компании Дмитрий Волков. После завершения расследования сотрудники Group-IB выступают свидетелями и экспертами в суде, но исход процесса может быть разный.

«Заказчики часто хотят конечный результат: вы получите деньги, как только мы увидим человека в тюрьме. Если не сел — поработали зря», — объясняет Руслан Стоянов. Почасовая плата за расследование в России не принята, чаще работу оплачивают поэтапно. Компьютерная криминалистическая экспертиза у Group-IB стоит $10 000–15 000, расследование с выездом на место происшествия, экспертизой и фиксацией цифровых следов, поиском преступников и их персональных данных — минимум $200 000–300 000. Но у частных детективов есть специфические риски. «Банк может заплатить за расследование кейса 8 млн рублей, а может и 2 млн. Говорят: бюджет такой, больше не можем», — говорит Сачков.

Расследование кибератаки занимает обычно один-два месяца. В сборе информации помогают не только социальные сети, но и агентурная сеть. «Мы есть на хакерских форумах, подпольных андеграундных площадках: смотрим, кто о чем пишет, кто чем занимается», — поясняет Сачков.

Если хакер украл базу, через несколько дней он обязательно выложит ее на продажу.

Те же методы используют спецслужбы: ФБР в свое время создало закрытый форум Market, которым хакеры активно пользовались вплоть до начала массовых арестов его участников.

Кибердетективы не имеют права проводить обыски, прослушивать телефоны и вести наружное наблюдение, но используют в своей работе те же методы сбора и анализа информации, что и спецслужбы. Кроме того, говорит Сачков, до 20% всех экспертиз Group-IB обеспечивают силовики — МВД, ФСБ, ФСКН и Следственный комитет. И иногда детективов обвиняют в том, что они дружат с «органами».

ДЕЛО ВРУБЛЕВСКОГО

В июле 2010 года на сайте «Аэрофлота» вдруг перестали проходить электронные платежи. Сервер процессинговой компании Assist, обслуживавшей авиаперевозчика, подвергся мощной DDoS-атаке и «лежал» девять дней. «Аэрофлот» считал убытки: компания потеряла не меньше 147 млн рублей.

Спустя год в аэропорту Шереметьево пограничники задержали загорелого мужчину, прилетевшего с женой и детьми с Мальдив. Это был Павел Врублевский, один из создателей процессинговой системы Chronopay, главный подозреваемый в деле об атаке на «Аэрофлот». Полгода Врублевский провел в СИЗО Лефортово, где написал признательные показания. Позже, выйдя под подписку о невыезде, заявил, что оговорил себя под давлением. Но суд в итоге приговорил Врублевского в июле 2013 года к 2,5 годам колонии, обвинив его в организации DDoS-атаки на своего конкурента, Assist.

Врублевский заявил в своем блоге, что его дело было сфабриковано, и обвинил привлеченных экспертов — «Лабораторию Касперского» и Group-IB — в необъективности.

«Обвинение стартовало именно с экспертизы Group-IB, в нашем деле она сыграла неблагоприятную роль», — говорит адвокат Врублевского Людмила Айвар. Она настаивает, что институт экспертов должен быть независим от ведомств. «Когда эксперт много лет работает с ФСБ, это называется «эксперт ведомства», у них уже устойчивые связи и они уверены в результате», — полагает Айвар. «Любой эксперт разобьет в пух и прах заказную криминалистику, и это будет конец бизнеса. Какой смысл ее делать? — возражает Сачков. — Я уверен, что Врублевский лично заказал DDoS. Это по-своему гениальный человек, но он оказался на темной стороне».

Слишком тесные отношения российских частных детективов со спецслужбами беспокоят не только Врублевского и его адвокатов. «Рынок расследования компьютерных инцидентов жестко контролируется государством, в частности ФСБ», — считает главный редактор Агентуры.ру Андрей Солдатов. По его данным, в последнее время несколько частных CERTов [компьютерных групп реагирования на чрезвычайные ситуации] должны были запуститься в России, но не запустились — все ждали, какие правила для этой деятельности напишет ФСБ. Учитывая непрозрачный характер отношений таких компаний с ФСБ, «абсолютно невозможно гарантировать, что специалисты этих компаний не будут работать по просьбе ФСБ, предоставляя свои мозги, экспертную оценку или технические мощности», — добавляет Солдатов. В ФСБ на вопросы Forbes о сотрудничестве с Group-IB не ответили.

СНОВА ОДНИ

«Мы не лезем в политику, не работаем по [Алексею] Навальному, не занимаемся шпионажем или информационными войнами между странами — все эти вещи могут помешать нашему международному бизнесу», — убеждает Сачков. Чем тогда объяснить, что бизнес компании за последние годы растет как на дрожжах? Если в 2011 году выручка, по данным компании, составила $5,3 млн, то в 2012-м — $14,2 млн, а по итогам 2013 года она составит $36 млн.

Group-IB научилась продавать свои услуги, объясняет этот взлет Сачков. Еще в 2012 году в коммерческом отделе компании работал один человек, сегодня — девять. «Мы не ждем, когда к нам обратятся, сами активно ищем клиентов». Изменилась и модель бизнеса: на расследования и экспертизы теперь приходится менее половины выручки, около 43%, а остальное приносят услуги по предотвращению преступлений, которые продают по подписке: мониторинг и защита брендов (Brand Point Protection, 26% доходов в структуре выручки), мониторинг ботнетов — зараженных компьютерных сетей (Bot-Trek, 12%), аудит по информационной безопасности (12%), консультации (7%), поясняет Сачков. «Бренд становился известнее, и мы увеличили стоимость услуг и сервисов».

Еще до того как Госдума в 2013 году приняла новый закон о борьбе с «пиратством», Group-IB стала предлагать свои услуги по защите авторских прав. Одним из первых клиентов на этом направлении в 2009 году стал Microsoft: Group-IB боролась с сайтами, нелегально распространяющими ее софт. Самый свежий контракт подписан несколько месяцев назад с компанией «Амедиа», представляющей интересы студий HBO, CBS, FOX, Sony.

«В рамках партнерства с «Амедиа» мы заблокировали 60 000 ссылок на их сериалы и фильмы. «Игра престолов» и «Во все тяжкие» — самые популярные сериалы у пиратов», — рассказывает сотрудник Group-IB Георгий Пуляевский.

Стоимость услуги по борьбе с онлайн-пиратством начинается от $10 000 в месяц в зависимости от того, идет фильм в прокате или премьера прошла и он является «библиотечным», поясняет Руслан Кривулин, руководитель направления Brand Point Protection.

C апреля 2013 года Group-IB стала партнером QIWI по поиску мошеннических сайтов, которые используют бренд компании или пытаются присвоить деньги пользователей. «Group-IB проводит оперативные действия с беспрецедентной скоростью не только в Рунете, но и по всей глобальной сети», — сказал Forbes директор по безопасности «Группы QIWI» Владимир Загрибелин. — Среднее время жизни мошеннического сайта в мировой практике составляет 5 дней, а среднее время закрытия такого сайта специалистами Group-IB — около 22 часов». Контракт по защите брендов приносит Group-IB $10 000–30 000 в месяц.

Несколько дороже ($5000–50 000 в месяц) стоят услуги мониторинга Bot-trek, поиск информации о клиентах банков и платежных систем, чьи логины, пароли, номера карт стали известны мошенникам. Детективы сообщают о «засвеченных» клиентах банкам, и те перевыпускают карты или просят сменить логины-пароли. Выстроить отношения с банками помог Артем Сычев, бывший научный руководитель Сачкова в «Бауманке», а сейчас заместитель начальника главного управления безопасности и защиты информации Банка России.

По словам Сачкова, Group-IB работает со всеми российскими банками из первой десятки, самый крупный — Сбербанк. «Со службой безопасности Сбербанка мы познакомились в 2010-м, когда обнаружили большую бот-сеть, созданную для хищения денег у клиентов. Мы бесплатно отправили в Сбербанк данные, попросили заблокировать клиентов. В итоге стали стратегическими партнерами», — вспоминает Сачков. В портфеле Group-IB — контракты с Альфа-банком, «Связным», ВТБ, «Возрождением».

Больше, чем банки, платят лишь горнодобывающие и нефтяные компании за мониторинг своей внутренней сети от заражения вредоносным программным обеспечением. Услуга Advanced Persistent Threat стоит $1,2–2 млн в год. Среди заказчиков Group-IB — «Газпром», «Роснефть», «Норильский никель», ТНК-BP.

Group-IB стала прибыльной в 2011 году, а в октябре 2013 года совладельцы Leta Group Чачава и Пильцов продали свои доли менеджерам компании во главе с Сачковым, которые получили для этого кредит в одном из российских банков. Сумму сделки стороны не называют (участники рынка оценивали пакет в $2 млн), но Чачава утверждает, что IRR составил 30%, он «получил сумму, которая соответствовала ежегодному увеличению моих первоначальных инвестиций на 30%. На 32%, если быть точным».

Развитие ситуации в стране всячески способствует бизнесу Group-IB. В октябре 2013 года Госдума приняла в первом чтении законопроект, расширяющий полномочия ФСБ в сфере информационной безопасности. Как объяснял спикер Сергей Нарышкин, проект закона направлен на пресечение преступлений с использованием IT-технологий.

«Для нас это хорошо. Чем больше расследований, тем больше будет заказов на экспертизы», — уверен Сачков.

По оценке самой Group-IB, ущерб от действий киберпреступников в России в 2012 году составил $1,9 млрд. Детективам есть куда расти.

ПАВЕЛ СЕДАКОВ

ФОТО ЮРИЯ ЧИЧКОВА ДЛЯ FORBES

ИСТОЧНИК: FORBES

WikiLeaks на продажу

WikiLeaks на продажу

Создатели биржи информации Joker.buzz и «Анонимный интернационал» поставили торговлю компроматом на поток. Как устроен их бизнес?

В мае 2 015 бывшая сотрудница года Минобороны России Ксения Большакова получила с неизвестного Адреса письмо от Международной Биржи Информации  Joker.buzz. Ей сообщали, что вся ее деловая и личная переписка за последние четыре года, а также фотографии, видео, SMS и сообщения в мессенджерах будут проданы с аукциона. Большакова ответила, что ничего покупать не собирается и даже готова отправить свои приватные снимки «для оживления архива». Хакеры шутку не оценили.

В июле вся ее информация была выставлена ​​на аукцион за 350 биткоинов – это почти $ 100 000, а в августе похитители предложили сотрудникам Департамента военной контрразведки ФСБ выкупить лот с 50-процентной скидкой – в переписке якобы были обнаружены незашифрованные служебные документы, например, о размещении атомных подводных лодок и комплексов «Искандер». «Вымогательство чистой воды», – отрезает Большакова в интервью Forbes.

Ее переписка не была целью хакеров – они сами признают, что их интересовал начальник Ксении Роман Филимонов, экс-руководитель Департамента строительства Минобороны и бывший вице-губернатор Московской области.

За информацией высокопоставленных лиц развернулась настоящая охота.

Сейчас на бирже продается информация якобы с устройств премьер-министра Дмитрия Медведева, его пресс-секретаря Натальи Тимаковой, ее мужа – бывшего сотрудника ВТБ Александра Будберга, брата заместителя председателя правительства Аркадия Дворковича и еще нескольких бизнесменов и госчиновников и близких к ним людей.

Поисками похитителей информации в разное время занимались ФСО, Центр информационной безопасности ФСБ, Восьмое управление Минобороны, которое отвечает за шифрование связи, но хакеры по-прежнему недосягаемы. В сентябре они запускают англоязычную версию сайта и обещают выложить новые информационные массивы. Торговля конфиденциальной информацией всегда была прибыльным бизнесом, но теперь технические средства помогают похищать информацию даже у первых лиц государства, а прибыль, получаемая через аукцион, больше, чем у традиционных ресурсов с компроматом.

Forbes узнал, как работает этот нелегальный бизнес.

СОВМЕСТНЫЙ ПРОЕКТ

За столом сидят трое: Анатолий Собчак в полосатой майке, Владимир Путин в бирюзовом спортивном костюме с красными полосками, его жена Людмила. Супруга Путина оживленно спорит с Собчаком. Перед ними накрытый стол: фужеры, пиво, закуски. Эта любительская видеозапись, сделанная в 1992 году на даче Собчака, была выставлена ​​на продажу на онлайн-аукционе Libertas.bz. Торги стартовали с 30 биткоинов, а продан лот был за 330 биткоинов. Покупатель неизвестен.

Запущенный осенью 2014 года портал Libertas.bz, по словам его владельцев, задумывался как аналог российского Wikileaks, где информаторы могли бы не только анонимно разместить информацию, но и заработать на ней. Тогда же создатели онлайн-аукциона Libertas.bz вышли на членов «Анонимного интернационала» и предложили работать вместе. «До этого мы некоторые свои массивы продавали самостоятельно и даже сами задумывались о создании подобной площадки», – сообщает Forbes представитель «Анонимного интернационала», представившийся как Льюис (интервью для Forbes он дает через крипточат).

Впервые «Анонимный интернационал» (также известен как «Шалтай Болтай-») заявил о себе в декабре 2013 года, выложив в сеть текст новогоднего обращения Владимира Путина, а самой резонансной их акцией считается взлом Twitter-аккаунта премьер-министра Дмитрия Медведева. Через специальный блог «Шалтая Болтая-» также публиковалась переписка Аркадия Дворковича, депутата Госдумы Роберта Шлегеля, бывшего заместителя начальника управления внутренней политики Администрации президента Тимура Прокопенко и других чиновников. «Есть мнение, что эти ресурсы [биржа,« Анонимный интернационал »] используются для слива компрометирующей информации в рамках аппаратной борьбы», – говорит источник, близкий к правоохранительным органам.

После того как перепиской одного из «взломанных» бизнесменов заинтересовался Следственный комитет, тот поспешил побыстрее выкупить информацию с биржи.

«Это никакая не политика и не борьба за свободу интернета, это бизнес. Ребята давно и прочно работают с информацией за хорошие деньги », – уверяет собеседник Forbes, знакомый с деятельностью« Анонимного интернационала ». «Информацию выгодно похищать только у известных персон, – замечает Алексей Тюрин, директор департамента защищенности компании Digital Security. – На такие данные всегда найдутся покупатели, будь то конкуренты, представители медиа, либо сам владелец конфиденциальных сведений. Вообще, это похоже на хороший коммерческий проект ».

«Мы не торгуем компроматом в стиле пиар-агентств, мы даем сырую информацию», – уверяет Льюис. По словам источника Forbes, часть команды «Анонимного интернационала» действительно зарабатывала на добыче информации по заказу частных и официальных лиц. С появлением биржи у них открылись новые возможности. После того как создатели биржи договорились о совместной работе с «Анонимным интернационалом», сайт Libertas.bz был закрыт, и 7 апреля 2015 года биржа была перезапущена под именем Joker.buzz.

Льюис рассказывает, что в группу «Анонимного интернационала» входит 10-12 человек. В команде биржи два человека – «основатель», который решает организационные вопросы и ведет переговоры, и «техник», отвечающий за техническую сторону сайта. Цели для атаки определяются на общем собрании в крипточате. Льюис говорит, что новые лоты появляются каждый день, но проблема в том, что «Анонимному интернационалу» не хватает рабочих рук – два аналитика, которые разбирают гигабайты переписки, «тонут в информации». В качестве средства платежа были выбраны запрещенные в России биткоины, они обеспечивают анонимность. «По карте, даже если она и на вымышленное имя, можно отследить участников транзакции», – поясняет Льюис.

УЦЕНКА ИНФОРМАЦИИ

Первые месяцы работы биржи были не особо удачными. В аукционе по продаже информационного массива, якобы принадлежащего Михаилу Дворковичу, брату Аркадия Дворковича, принял участие лишь один человек. Тогда продавцы решили провести краудфандинг – собрать с посетителей сайта деньги, чтобы выложить информацию в общий доступ, но акция не увенчалась успехом.

В итоге «Дворкович» ушел по бросовой цене 11 биткоинов единственному претенденту.

Из размещенного на бирже массива, скопированного якобы у супруга помощницы вице-премьера Натальи Тимаковой Александра Будберга, произошла утечка. Представители «Анонимного интернационала» объясняют это тем, что кто-то из постоянных подписчиков решил попробовать получить доступ к массиву Будберга самостоятельно – один из его аккаунтов был взломан повторно. Члены «Анонимного интернационала» не любят конкурентов и заявляют, что они заткнули дыру сами.

Итоги аукциона по личной переписке Медведева были аннулированы. Сейчас этот массив висит «на лотке» – так называют бессрочные аукционы. «Он у нас исполняет роль витрины, но, возможно, мы и снизим цену раза в три. На подходе новые лоты для витрины », – заявляет Льюис. О ком именно идет речь, говорить отказывается. В сентябре «Анонимный интернационал» обещает выпустить демоверсию массива Тимура Прокопенко с его почты и мобильных устройств.

Ситуация изменилась, когда к реализации лотов подключились посредники – клиенты, которые уже покупали раньше массивы информации и теперь самостоятельно выходят на тех, кому потенциально могут быть интересны выставленные на бирже лоты. Например, одно из столичных детективных агентств вело переговоры о выкупе лотов с членом совета директоров ЗАО «Газпромнефть-Аэро» Леваном Кадагидзе и Ильей Гудковым, генеральным директором ФКУ «Ространсмодернизация». В «Газпром нефти» уверяют, что в компании не зафиксировано утечек коммерческих или иных конфиденциальных данных, а единичные случаи, когда информация попадала в интернет, касались личной переписки сотрудников. В «Ространсмодернизации» на вопросы Forbes не ответили.

По словам Льюиса, за пару месяцев «Анонимный интернационал» наторговал на бирже на 1000 биткоинов (около $275 000). Очень быстро ушли массивы, якобы принадлежащие Левану Кадагидзе, Илье Гудкову, Ивану Саввиди (депутат Госдумы, владелец компании «Донской табак»). После того как переписка якобы пресс-секретаря Медведева Натальи Тимаковой была уценена, ее выкупили за 150 биткоинов. Не исключено, что этот массив покупал иностранец. «Писал на английском. По IP-адресу, стилю общения, оговоркам можно сделать такой вывод», — рассказывает Льюис. Тимакова от комментариев по этой теме отказалась. «Лоты стали продаваться даже быстрее, чем мы ожидали, — замечает Льюис. — Мы стали пользоваться биржей как основным каналом продажи».

Механизм покупки следующий. Между сторонами не происходит личных встреч или телефонных переговоров — все контакты ведутся через защищенный мессенджер Threema. Покупателя просят завести счет в биткоинах и положить туда сумму, равную стоимости лота. После тестового микроплатежа на указанный «Анонимным интернационалом» счет покупатель переводит остальную сумму — частями или полностью. Биржа за свои услуги получает 20%. Все, что зарабатывает «Анонимный интернационал», по словам Льюиса, тратится на новые сервисы, связанные с его деятельностью. «Мы не знаем точно, кто именно покупает массив — сам фигурант, его конкуренты или его близкие, которые делают ему подарок», — говорит Льюис. При этом он говорит, что есть клиенты, которые оставляют заявки, и информация не выставляется на биржу, а сразу передается им. «Интересует все, что человек скрывает, — переписка, фото, сообщения с устройств. Но у нас высокие расценки, и не за все беремся. Нам заказывали Навального, вернее, выкидывали такое предложение, но мы вежливо отказались», — рассказывали Льюис.

Сейчас главный лот на бирже — массив информации о гибели малайзийского Boeing (рейса MH-17) за рекордную сумму 35 000 биткоинов (около $10 млн). Его продавцом, по информации Forbes, является Федеральный информационный центр «Аналитика и безопасность». Один из создателей центра, экс-глава службы безопасности Бориса Березовского Сергей Соколов рассказал Forbes, что в результате расследования им удалось получить записи переговоров радиообмена офицера боевого управления с летчиком военного самолета, находившегося в момент катастрофы рядом с Boeing-777, видеозапись из кабины ЗРК-БУК, сделанная мобильным телефоном, данные радиоэлектронного перехвата телефонных переговоров сотрудников иностранных спецслужб, заключения взрывотехнической экспертизы.

Соколов подчеркивает, что в лот входят не распечатки, а именно носители информации — мобильные телефон, флешка, магнитный носитель в виде катушки с проволокой, который ФИЦ выкупал у фигурантов дела. «Итогом нашего расследования стала версия о теракте на борту Boeing, который организовали иностранные спецслужбы», — утверждает Соколов. Льюис говорит, что отношение к расследованию у него настороженное, но лот представляет большую общественную значимость: обычно сайт посещают 100-200 уникальных посетителей в день (изредка доходило до 2000), но, когда выставили информацию по самолету, посещаемость подскочила до 10 000 человек.

СЛАБОЕ ЗВЕНО

Взломать Twitter-акаунт Дмитрия Медведева хакерам не представляло особого труда — якобы логин и пароль был записан у него в заметках на iPad. «Зачастую даже VIP-персоны уверены, что защищать нужно только рабочие аккаунты, а их личные ресурсы никто не станет ломать. При этом давно известно, что через доступ к индивидуальному аккаунту преступники могут захватить контроль над корпоративными и даже государственными ресурсами», — объясняет Тюрин из Digital Security.

«Человек всегда самое слабое звено системы защиты, — замечает директор Учебного центра «Информзащита» Михаил Савельев. — В крупных корпорациях порой сложнее всего защитить именно руководителя. Его сложно заставить соблюдать правила, рекомендации он порой просто не слышит, ввиду того что голова его занята глобальными проблемами, а перечить или указывать ему на ошибки подчиненные боятся».

Тем более что арсенал у хакеров разнообразен, особенно когда есть денежный ресурс: перехват сигналов при помощи подставных Wi-Fi роутеров и фальшивых точек мобильной связи, кратковременный физический доступ к устройствам (от карманника до подкупленного официанта), доступ к резервным копиям, взлом через уязвимости в программном обеспечении, социальная инженерия. «Учитывая хаотичный характер взломов, очень похоже на то, что они ломают все, что ломается», — замечает Тюрин.

Например, жертве на почту отправляется письмо со ссылкой — так происходит заражение трояном для дальнейшего получения доступа к информации. Чтобы у человека не возникло сомнений, письма приходят от реальных партнеров (для этого сначала взламываются их компьютеры) или потенциальных клиентов. Существует несколько программ, с помощью которых можно было получить пароли от iCloud и почты, просканировать локальную сеть или установить удаленный контроль.

Расследованием взлома Медведева и Тимаковой занималось ФСО, взлома сотрудников Минобороны — Восьмое управление Генштаба и ФСБ. После того как летом 2014 года была взломана почта начальника Департамента имущественных отношений Минобороны Дмитрия Куракина, а весной 2015-го — помощницы экс-руководителя Департамента строительства Минобороны Романа Филимонова, и без того суровые меры безопасности в военном ведомстве были усилены. «У нас и раньше было строго: работает своя локальная сеть, доступ в соцсети закрыт, вся почта просматривается офицером, телефоны глушатся», — рассказывает сотрудник ведомства. По его словам, взлом данных высокопоставленных сотрудников нанес репутационный ущерб, но никакой утечки гостайны не произошло.

Сами хакеры уверяют, что не стали бы торговать гостайной.

Но и без этого их деятельность подпадает под целый ряд статей, замечает Михаил Савельев: если информация была украдена с помощью технических средств – это статья 272 УК РФ, если есть факт незаконного ознакомления с почтой (электронной, бумажной) – 138 УК РФ, если там присутствует информация о личной жизни – 137 УК РФ, а если это еще и похищенная и незаконно введенная в оборот коммерческая тайна, то это статья 183 УК РФ. Если в продаваемых сведениях нет заявленной информации, то есть это фейк или недостоверные данные, то продавец подпадает под статью 159 УК РФ (мошенничество).

«Единственным «окончательным» решением этого вопроса с точки зрения официальных властей может быть поимка создателей ресурса с последующим блокированием сайта», — замечает Тюрин. Но вычислить создателей, обладающих высокой квалификацией в сфере ИТ, невероятно сложно.

ПАВЕЛ СЕДАКОВ

ИСТОЧНИК: FORBES

Ловец сетью

Ловец сетью

Подполковник спецслужб в отставке Андрей Масалович создал программу Avalanche для борьбы с сетевыми угрозами. За что власти и корпорации ценят разработку?

Русские, вперед!» – Десяток парней в масках высаживают двери торгового центра «Бирюза» в Бирюлево. Из разбитых окон валит дым, в полицейских летят бутылки и камни. Предотвратить погром, которым закончился 13 октября 2013 года народный сход, силовики не смогли, хотя информация о нем была. «За три часа до начала беспорядков у меня в ноутбуке зажглась красная лампочка – сигнал тревоги, – вспоминает 53-летний Андрей Масалович, президент консорциума« Инфорус »и разработчик поисково-аналитической системы Avalanche. – Мы заметили, что в группе «Суровое Бирюлево» в соцсети и на ресурсе «Я-Русский» началась прямая координация протестов ».

После событий в Бирюлево cистему раннего предупреждения на базе Avalanche – «Лавина Пульс» – использовали в МВД, в управлении оперативно-разыскной информации (УВОИ). От государства не отстает и бизнес – банки и корпорации все более активно берут на вооружение технологии выявления угроз и слежения за конкурентами. Как это работает?

РОБОТЫ И СКАНЕРЫ

В июне 2011 года года хакеры из итальянского крыла группы Anonymous взломали сервер CNAIPIC, местной киберполиции, и выкачали почти 8 Гб служебной информации. Утечку засек Avalanche. «Хвастаться хакеры начали раньше, чем докачали, – вспоминает Масалович. – Я успел найти их архив и cкачать оттуда 200 Мб данных ». В улове обнаружилось много внутренней информации российских компаний, в том числе по строительству АЭС в Бушере в Иране – например, табель учета рабочего времени сотрудников, выполнявших монтажные работы, и протокол технического совещания компании, входившей в ГК «Росатом»: киберполиция собирала документы, связанные с повреждением насосного агрегата расхолаживания первого контура АЭС. Узнав об утечке, Масалович сразу поставил в известность службу безопасности «Росатома». Когда узнавший об утечке репортер дозвонился до компании, ему четко рассказали про плановый ремонт, отсутствие грифа секретности на документах и ​​о том, что ситуация под контролем. Представитель «Росатома» комментировать эту историю для статьи не стал.

Система Лавина похожа на конструктор: по желанию заказчика она собирается из различных кубиков и устанавливается на сервере или в облаке.

Первый кубик – управляемые роботы, которые прочесывают открытые источники, или «белый» интернет: СМИ, соцсети, форумы, блоги. Второй Компонент Avalanche – сканер безопасности Webbez, разработанный компанией «Веб Безопасность». Сканер оперативно проверяет сайты клиента на распространенные уязвимости, засекает вирусы на страницах, выявляет типовые ошибки администрирования. С сентября 2011 года Масалович консультировал разработчиков «Веб безопасности», а осенью 2012 года предложил интегрировать сканер Webbez в лавину. Кроме аудита и защиты сайтов сканер может собирать и накапливать материалы из так называемого серого интернета. «Эта особенность востребована по линии конкурентной разведки», – замечает совладелец «Веб Безопасности» Александр Толстой. По его словам, за время работы было составлено более 10 000 отчетов о текущем уровне безопасности сайтов как госсектора, так и частных компаний.

Третий компонент – семейство следящих роботов, которые наблюдают за «пристрелянными» ресурсами. Например, владельцам одного металлургического комбината на Среднем Урале портила кровь местная оппозиция, периодически устраивавшая забастовки, голодовки или перекрытие дороги. Руководство комбината хотело знать об этих акциях заранее. Первым делом Масалович «пристрелял» источники, за которыми следит лавина, – сайты, где публикуется компромат, соцсети и форумы, где высказываются нелояльные сотрудники, журналисты. В истории с комбинатом было два источника: на одном из сайтов выкладывали компромат на руководство комбината, а на ветке форума оппозиционеры обсуждали планы. Настроив лавина, команда Масаловича заранее готовила справку-прогноз для руководства комбината.

Четвертый компонент – эксплоиты, то есть программы, которые проникают через уязвимости и выкачивают информацию. «Это боевая часть Avalanche, она предназначена не для всех клиентов», – говорит уже Масалович.

Клиенту все эти технические детали не нужны – интерфейс системы прост, вся собранная информация представлена ​​наглядно на восьми экранах. Открывая ноутбук, Масалович показывает панель лавина.

Слева в списке проектов несколько тем, за которыми он следил недавно: «приморские партизаны» (анализировались сепаратистские настроения на Дальнем Востоке), Украина, фанатские группировки.

В зависимости от важности новости отмечаются зеленым, желтым или красным цветом.

Интерфейс настраивают под каждого заказчика. Например, ситуационный экран Москвы выглядит так: «Радикальные и оппозиционные политические лидеры» (посты Навального), «Митинги и политические акции», «Радикальный ислам», «Выходцы с Северного Кавказа», «Международные террористические группировки», «Политические партии», «Националистические акции и объединения», «Тема дня» (грубые шутки о Путине оппозиционера Гальперина). Для наглядности информацию для руководителей снабжают фотографиями, а одному из заказчиков визуализировали информационные атаки в виде летящих к цели ракет.

Скриншот ситуационного экрана Avalanche по МосквеСкриншот ситуационного экрана Лавина по москве Avalanche

Система использует технологию «умных папок» – информация, которую разыскивают в интернете роботы, автоматически распределяется по темам, что облегчает работу по составлению отчетов, прогнозов или досье. Правда, без вмешательства человека не обходится: за работой системы в удаленном режиме наблюдает дежурная смена – оператор, аналитик и админ. В штате группы «Инфорус», которая занимается системой лавина, 35 человек. При необходимости привлекаются «наемники» – специалисты по нейтрализации ботов и троллей.

ЛЕШИЙ ИЗ ФАПСИ

В августе 1998 года года Андрей Масалович Вышел из казино Монте-Карло в приподнятом настроении – выиграл 300 франков. Тут его и настигли новости о дефолте. В России у него был вполне успешный бизнес, связанный с продажей компьютерных программ для краткосрочного прогнозирования на фондовом рынке, офис в Столешниковом переулке и собственный ресторан «Тренд-клуб». После дефолта – $ 40 000 долгов и замолчавший телефон.

В прошлой жизни он был инженером закрытого НИИ «Квант», создавшим советский суперкомпьютер МВС-100, и экс-подполковником ФАПСИ (до 1991 года – 16-го управления КГБ), воспринимавшим мир как «арену жесткого информационного противоборства». В кризис Масалович решил вернуться к интернет-разведке и своим разработкам в области технологий анализа и прогнозирования.

Идея Создания Лавина родилась после знакомства с профессором Гарвардского университета Грэмом Эллисоном, экс-заместителем министра обороны США, на конференции в Бостоне. Эллисон посетовал, что, когда его аналитикам нужна информация, на них с экрана выплескивается «лавина данных». Масалович пообещал помочь и через полгода передал профессору жесткий диск с поисково-аналитической системой Лавина («Лавина»). За разработку, по его словам, заплатили приличную сумму – хватило на пятикомнатную квартиру в Москве с видом на парк.

Разработкой заинтересовались и его бывшие коллеги: Масалович отодвинул на три года все коммерческие заказы и стал работать на государство. Как эта система использовалась? Вот лишь один пример. По словам Масаловича, два года назад к его группе обратились заказчики одной из структур «Ростехнологий». Они узнали, что Рок-Айленд, американская военная база в Иллинойсе, планирует провести тендер на поставку различных типов нестандартных боеприпасов для Афганистана, к участию в конкурсе могут быть допущены иностранные компании. Масаловича попросили выяснить подробности. «За неделю до объявления тендера следящие роботы приносят мне полный комплекс тендерной документации в черновиках – план закупок, условия поставок, цены», – гордится Масалович. По словам источника в «Росвооружении», американцы не допускали россиян к участию в тендерах. «Информацию о конкурсе, может быть, собирали для того, чтобы выбить командировку в США, выиграть что-то было нереально», – предположил собеседник Forbes.

Внимание Масаловича к тайнам Пентагона и ЦРУ не осталось незамеченным. После того как он «ковырнул» их ресурсы, Масаловича, по его словам, включили в базу ЦРУ как руководителя группы хакеров под кличкой Леший.

Раньше Создатель Лавина часто бывал в США – на учебе, в командировках, на форумах. Сейчас в США уже не ездит и даже техникой Apple, не пользуется – не хочет рисковать.

Одним из первых его гражданских заказчиков был аппарат правительства. «О необходимости мониторинга заговорили после« Норд-Оста », – вспоминает Масалович. По его словам, Avalanche Должна была стать одним из блоков комплексной информационно-аналитической системы, но премьера Михаила Касьянова сменил Михаил Фрадков, началась ротация чиновников, подготовка проекта была сначала отложена, а потом и вовсе свернута.

«Интернет тогда не воспринимался как источник дестабилизации, а без этого задачи Лавина сводятся к рутинному сбору новостей», – замечает Масалович.

Система тестировалась в режиме «пилота», поэтому возглавлявший в 2003-2004 годах аппарат правительства Константин Мерзликин лавина не припомнил. «Использовалась только своя закрытая система документооборота и информационная лента« Интерфакса », других систем не было», – уверяет Мерзликин.

ИНТЕРНЕТ ВЫКЛЮЧИЛСЯ

Mercedes Резко затормозил – прямо из-под колес иномарки выскочил двухлетний мальчик и с плачем бросился к матери. «Оставь их, поехали!» – Окрикнули из салона перепуганного водителя, который хотел было предложить свою помощь. В служебной машине, которая скрылась с места ДТП в подмосковном Новогорске, находился вице-президент Газпромбанка Александр Шмидт.

После того как эта история в апреле 2 012 года взорвала интернет, Шмидт подал в суд на блогера, родителей мальчика и газету «Коммерсантъ». «Юристы и пиарщики компании настроили против себя весь интернет – вместо Шмидта все стали чихвостить сам банк», – вспоминает Масалович, которого привлекли для решения деликатной проблемы. В результате на время суда в связи с ДТП большое количество негативных напоминаний о Газпромбанке ушло в фон. «Интернет просто выключился. Avalanche показывает угрозы, откуда приходит негатив. Следующий шаг – информационное противоборство », – говорит Масалович. В августе 2 013 года Шмидт ушел из банка. Газпромбанк на вопросы не ответил.

Система лавина не единственное решение для мониторинга интернета (см. Таблицу). По словам Дмитрия Сидорина, гендиректора компании Kribrum, эти системы открыто предлагают свои услуги для бизнеса: защита онлайн-репутации компании, поиск позитивных и негативных упоминаний о продукте, компании или ее руководителе, обнаружение авторов, наблюдение за сообщениями сотрудников компании в социальных сетях. Он оценивает рынок мониторинга в 1000-2000 заказчиков, темпы роста – 40-50% в год.

Одно из главных отличий Лавина от конкурентов – система не просто мониторит соцсети, RSS-потоки, но и перехватывает интересующую заказчика информацию, прежде чем та из блогов, закрытых форумов, FTP-серверов попадает в Twitter, Facebook или электронные СМИ, и заранее предупреждает об угрозах.

«Задача номер один разведчика – принести информацию раньше всех», – замечает Масалович.

«Они умеют очень хорошо искать информацию, включая скрытые возможности, и, вероятно, анализировать ее достоверность – не всему тому, что можно найти в скрытом интернете, можно верить», – говорит об Лавина Михаил Савельев, директор учебного центра «Информзащита». С его точки зрения, очень важно, что целенаправленный сбор информации по многим темам велся долгие годы. «И никакие попытки зачистить ее, скрыть не пройдут – у лавина эта информация останется в анналах», – замечает Савельев.

Продвижением Лавина в коммерческом секторе занимается системный интегратор «ДиалогНаука» с годовой выручкой 580 млн рублей. По словам гендиректора Виктора её Сердюка, заказчики системы есть «в сфере электроэнергетики, страхового бизнеса, банковского и телекоммуникационного сектора». По словам Масаловича, клиентов около восьмидесяти. Названий компаний и условий сотрудничества оба предпочитают не афишировать. Выручка от реализации системы, по словам Масаловича, составляет 50-80 млн рублей в год.

На 2015 год уже есть пять крупных заказов. На сайте госзакупок Forbes удалось найти лишь тендер на поставку роботизированной системы поиска Лавина 2.7 для «Агентства по ипотечному и жилищному кредитованию» за 1,6 млн рублей.

В КУЛАКЕ

Две трети выручки от установок Лавина по-прежнему приходится на правительственные или силовые структуры. «Собственно, лавина – пример нишевого штучного решения именно для них», – замечает Сидорин из Kribrum. В разное время самыми крупными заказчиками Масаловича были Минобороны, ФСБ, МВД и «Росатом». Лавина использовали и во время Олимпиады в Сочи, когда для руководства МВД готовили справки об угрозах из интернета – компромате, провокациях. Сейчас количество заказов от госструктур растет у всех разработчиков.

«Государство в последние годы не жалеет денег на кибербезопасность. Пальцы собираются в кулак », – замечает Масалович.

Например, по Информации Forbes, одной из российских компаний недавно предложили через анализ активности в соцсетях подсчитать количество участников ноябрьских митингов против реформы медицины.

Пока Масалович только мечтает о том, чтобы работать с государством на полную мощность, как американская система интеллектуального Анализа Данных больших Palantir, которой пользуются в АНБ, ЦРУ, ФБР и глобальных корпорациях. Сидя в столичном офисе, он вытаскивает из архива сообщение о теракте в Волгограде в октябре 2013 года – террористка-смертница Наида Асиялова взорвала пассажирский автобус, шесть человек погибли. Кликнув на фамилию смертницы, Масалович получает дерево связей – судя по открытым источникам, Асиялова была связана с махачкалинской диверсионно-террористической группой. Весь процесс у него занял пару секунд. Если бы лавина был подключен к базам спецслужб, еще несколько секунд потребовалось бы на получение полного досье или аналитической справки. «Но такого взаимодействия нет, никто не хочет делиться своими базами», – замечает Масалович.

Скриншот «дерева связей», которое строит Лавина по открытым источникамСкриншот «дерева связей», которое строит Лавина по открытым источникам Avalanche

Американская Palantir объединяет сообщения в соцсетях и СМИ, базы Интерпола, досье спецслужб, штрафы дорожной полиции, данные о перелетах, транзакции по банковским картам и т. д., представляя все это в виде удобной и красивой картинки. Несколько лет назад венчурный фонд ЦРУ In-Q-Tel инвестировал в Palantir $ 2 млн, выручка в 2014 году – $ 450 млн, а стоимость компании Palantir Technologies оценивается в $ 5 млрд. Считается, что именно Palantir вывел спецслужбы на след Усамы бен Ладена.

В России, в отличие от США, пока нет единого ситуационного центра, куда бы стекалась информация из различных баз данных. «У каждого ведомства есть свои локальные базы – у Минобороны своя, у МВД несколько разных баз», – говорит Илья Сачков, руководитель группы карте компании IB, специализирующейся на предотвращении и раскрытии киберпреступлений. Причина в традиционном для госведомств желании иметь собственную базу и выборочно делиться информацией из-за особенностей закона и боязни утечек. «Росфинмониторинг» не так давно рискнул и приобрел информационно-аналитическую базу i2 IBM (в США ею пользуются ФБР и ЦРУ), но желающих использовать зарубежные технологии немного. Как и во времена СССР, ставка на отечественные разработки.

«Я думаю, что Palantir наполовину чистая бутафория, которую втюхивают Пентагону, – скептически замечает основатель« Ашманов и партнеры »Игорь Ашманов. – То же самое и у нас. Люди из ФСБ или администрации президента, которым поставлена ​​задача не допустить Майдана, – такие же потребители, как и те, кто смотрит по телевизору рекламу шампуня. Им предлагают волшебную систему, которая обещает сделать их на 78% сильнее и способными побороть экстремизм ».

Не смущает ли Масаловича, что его система помогает государству контролировать интернет?

Разработчик говорит, что слежка со стороны корпораций гораздо опаснее, чем со стороны спецслужб.

И что сам он не против мирного протеста – его дети ходили на митинги оппозиции. «Но я всегда их предупреждаю, что протест могут использовать провокаторы. И гражданская война в России может начаться с того, что человек в форме полицейского застрелит подростка », – предупреждает подполковник ФАПСИ в отставке.

ПАВЕЛ СЕДАКОВ, ДМИТРИЙ ФИЛОНОВ

ФОТО СЕРГЕЙ МЕЛИХОВ ДЛЯ FORBES

ИСТОЧНИК: FORBES

Дикое киберполе

Дикое киберполе

Одесса стала неформальной столицей украинских взломщиков, и именно сюда приводят электронные следы громких хакерских атак 

В Одессе возле памятника Дюку на Приморском бульваре стоит двухэтажный автобус, но он никуда не едет. Внутри — бар. Коньяк здесь подают в пробирке, супчик — в мензурке. Ранний посетитель — мужчина в отглаженных брюках и остроносых ботинках, — махнув водки, подсаживается к журналисту из России и вызывается показать местные достопримечательности. Через полчаса разговора выясняется, что навязывающий себя гид — бывший офицер спецслужб, а его расспросы становятся открыто подозрительными.

Эта история вполне характерна для приморского города. «Одесса — удивительный город, там агент на агенте, и плетутся интриги спецслужб всего мира», — со знанием дела говорит основатель одного из российских подпольных форумов для web-мастеров. Спецслужбам есть на кого там охотиться. Одесса считается неформальной столицей украинских хакеров, и именно сюда последние годы приводят электронные следы громких международных хакерских атак, мошенничества в онлайн-банкинге, DDoS-атак на сайты российских госучреждений и компаний.

Несколько российских киберпреступников после облав в России нашли здесь убежище.

«Киберпреступность с самого начала своего существования тяготела к Одессе, — говорит Forbes Константин Корсун, 43-летний полковник, экс-офицер подразделения по борьбе с хакерами Службы безопасности Украины (СБУ).  — Могу лишь предположить, что это как-то связано с высокой степенью коррумпированности местных правоохранительных органов и их тесными связями с «традиционным» криминалитетом. А может, им [хакерам] там просто климат нравится, море, достаточно большой город, в котором легко затеряться». Forbes выяснил, кто и почему скрывается в Одессе.

Осколки Carberp

«Мы услышали грохот. Сильный грохот. Дверь квартиры открылась, и мы забежали внутрь. В темноте рыскали красные точки лазерных прицелов, слышался звон падающих на пол осколков разбитых окон, и раздавались крики: «На пол!», «Включите свет!» Подозреваемый ползал по полу коридора в трусах и визжал. Я осмотрелся: на рабочем столе в комнате стояли ноутбук и моноблок, раскиданы флешки и телефоны», — вспоминает криминалист Group-IB Артем Артемов операцию по задержанию в Москве одного из лидеров хакерской группы Carberp. От ее действий пострадали клиенты 100 банков по всему миру, только за три первых месяца 2012-го киберпреступники похитили минимум 130 млн рублей.

Чуть позже появилось и видео захвата: спустившись с крыши на веревках, бойцы спецназа МВД «Рысь» выломали раму и ввалились в окно 15-го этажа. Это произошло 4 марта 2012 года, а в мае того же года участник форума Antichat под ником GizmoSB написал встревоженный пост: «Какими средствами возможно вызвать бан ролика на ютуб? Может, жестко накрутить просмотры или DDoS определенного ролика даст результат?»

Под ником GizmoSB скрывался член той самой хакерской группы Carberp — 25-летний Роман, который, как считает следствие, отвечал за создание и функционирование бот-сети — цепи компьютеров, зараженных вредоносной программой. Всю техническую работу за Gizmo выполняли другие люди — вирусописатели,  программисты, но именно Gizmo давал заливщикам реквизиты компаний — они проверяли баланс клиентов банков, выжидая момент, когда лучше увести деньги. Руководителями группы заливщиков и группы обнала в Carberp были братья Александр и Николай Покорские.

Их отец, по словам источника Forbes, имел отношение к ГРУ Генштаба РФ.

Про самого GizmoSB известно немного. Он родился в Абхазии. Пока учился в одном из московских университетов, искал способы заработать, например, открыть ферму по разведению осетров. Но деньги принесла не рыба, а хакерские форумы. Роман начинал с DDoS-атак, которые приносили небольшой доход, в среднем около $100 в день. «С моими познаниями даже на мороженное не заработаешь)) мне просто нужен хороший поток траффика… очень большое количество траффика … 50-100 к в день», — писал Gizmo в сентябре 2008 года.

В тот год, считает следствие, и была создана группа Carberp, состоявшая минимум из 8 человек, которые за четыре года совершили тысячи хищений у компаний по всей России. Для комфортной работы «заливщиков» руководители группы открыли офис, замаскированный под сервис по восстановлению данных.

В марте 2012 года начались аресты — были задержаны восемь членов Carberp, в том числе и Gizmo, но позже его отпустили под подписку о невыезде. Хакер не стал дожидаться суда и уехал на родину в Абхазию. Через 5 месяцев он сделал поддельные документы на имя гражданина Литвы и вылетел в Кипр на встречу с беременной женой. В то время он уже был объявлен в федеральный, а затем и в международный розыск. Сейчас Gizmo находится на территории Украины и занимается поисковой оптимизацией. Не так прибыльно, но зато спокойно.

В чеченском плену

Деревянная бита, билет на поезд Москва — Киев, два российских паспорта на имя чеченцев из Урус-Мартановского и Шалинского районов, мобильный телефон, сим-карты, пара наушников, принтер HP, ноутбук и коммуникатор HTC. Все это вещественные доказательства по уголовному делу №1522/18915/12. В тексте приговора, который корреспонденты Forbes отыскали в реестре решений Приморского районного суда Одессы, нет ни фамилий, ни адресов. Только короткая фабула — неназванный компьютерщик из Москвы провел четверо суток в «чеченском плену».  Из Одессы его под охраной перевезли в Херсон, потом — в Симферополь и вернули назад в Одессу.

От пленника требовалось развернуть бот-сеть для кибератак и хищения денег в онлайн-банкинге, иначе похитители — суровые мужчины с Северного Кавказа — грозили переломать ему ноги битой.

Чеченцы знали, кто поможет им заработать в онлайне. В России Алексей «Pioneer» руководил заливщиками одного из подразделений хакерской группировки Carber. После того как в марте 2012 года ФСБ, МВД и детективы киберагентства Group-IB разгромили Carberp, Pioneer через Белоруссию сбежал на Украину и обосновался в Одессе.

«В Москве Gizmo и Pioneer вряд ли были знакомы, но их знали братья Покорские», — говорит источник, близкий к следствию. По его словам, Pioneer руководил заливщиками во второй ветке группировки Carberp. Алексею повезло: в день, когда происходили массовые задержания, его не оказалось дома. В Одессе, куда он бежал, хакера вычислили чеченцы. Пленнику удалось сделать звонок — и местные милиционеры его быстро нашли и освободили. Дело завершилось полюбовно: на суд Pioneer не ходил, претензий не выдвигал, чеченцам дали два года с отсрочкой исполнения приговора на три года и выпустили в зале суда. Pioneer по-прежнему находится на Украине, на вопросы Forbes через соцсети он не ответил.

«Всегда удобно прятаться за трансграничностью — воровать в одном месте, а прятаться в другом. У местных правоохранительных органов нет к тебе претензий, и они дают тебе дышать, — считает Руслан Стоянов, глава отдела расследований компьютерных инцидентов «Лаборатории Касперского» и бывший сотрудник Управления специальных технических мероприятий (УСТМ) ГУВД по Москве. — Атаки с Украины продолжаются. Последний тренд — взлом банковских систем. Ломают уже не клиентов банков, а уже из самих банков пытаются вывести крупные суммы».

«Хакерской столицей Одессу принято считать лишь потому, что здесь живу и работаю я», — заявил Forbes глава интернет-партии Украины Дмитрий Голубов. В начале нулевых Голубова обвиняли во взломе американских банковских систем и хищении $11 млн, а зарубежная пресса наделила его титулом «крестного отца» восточноевропейской хакерской мафии. «Я оправдан всеми судами, которые не нашли в моих деяниях состава преступления», — комментирует Голубов.

Кроме Голубова в Одессе есть еще несколько известных персонажей, замечает Дмитрий Волков, глава службы расследований детективного кибер-агентства Group-IB. Например, Legal-D — владелец одного из наиболее популярных сервисов по проведению DDOS-атак. На его сайте (который сейчас заблокирован) были указаны расценки: сутки от $50, месяц — от $1000. «Legal-D причастен ко многим политическим атакам, — говорит Волков. — Еще во время майдана он атаковал местные правительственные и новостные сайты. В последнее время Legal-D атаковал сайтыpolitikym.net,ura-inform.com, progorod.info, crime.in.ua.

Среди других местных интересных персонажей — Абдулла,  владелец одного из самых дорогих и надежных хостингов, которыми пользуются хакеры, кардеры, спамеры, создатели порно-ресурсов.

Когда-то он был участником нашумевшей киберпреступной группы RBN (Russian Business Network), но сейчас у него свой дата-центр, востребованный многими опасными киберпреступниками. Благодарные клиенты даже сочинили про Абдуллу песню: «Хостятся те, кто не любит класть бабки в банки. Те, кто знает, на что способен пластик с магнитной лентой…. Сервак не встанет и клиентам не о чем жалеть, ведь он пуленепробиваемый, как бронежилет».

«Абдулла давно пропал из Одессы, его видели в Иловайске, воющего в рядах одного из дагестанских ОПГ», — уверяет корреспондентов Forbes Голубов, и по тону его письма не понятно, говорит он серьезно или шутит. Но в оценках он категоричен: «Хакерское подполье в Одессе представлено тремя несовершеннолетними поцами, которых регулярно арестовывают за попытку взлома сайтов школ».

«Проделки американцев»

Во время одного из последних визитов в одесскую квартиру родителей Михаил Рытиков забрал все свои фотографии во взрослом возрасте. Вычистил и страницы в соцсети. А спустя несколько месяцев исчез. Рытикова объявил в розыск Интерпол. Его и несколько российских хакеров власти США обвиняли в краже данных 160 млн кредитных карт клиентов американских банков, магазинов, финансовых учреждений и даже биржы Nasdaq. «Мама, если случится что-то плохое, то я в этом не виноват — это все проделки американцев», — вспоминала в одном из интервью слова сына Людмила Рытикова.

В марте 2014 года американские сенаторы Марк Кирк и Марк Ворнер опубликовали заявление относительно киберпреступности на Украине. «Эксперты в области кибербезопасности говорят, что … украинский город Одесса имеет репутацию крупнейшего в мире интернет-рынка украденных кредитных карт», — говорится в заявлении. Сенаторы считают, что американские власти должны усилить совместную работу с украинской стороной, отправить на Украину агентов ФБР для помощи местным силовикам в поимке хакеров, а также усовершенствовать процедуру выдачи подозреваемых в США.

«Времена меняются, и Украина сейчас не самое спокойное место для хакеров, которые работают по США или Европе, — считает экс-сотрудник Центра информационной безопасности ФСБ. — Украина дружит с США, и им будет за счастье выдать гражданина России, попавшегося на киберпреступлении. Другое дело, если эти хакеры работают исключительно против России».

В Одессе борьбу с хакерами ведет Управление борьбы с киберпреступностью ГУМВД Украины в Одесской области, которое возглавляет Юрий Выходец. «Одесса — большой город, поэтому не удивительно, что у нас есть хакеры. Правда, говорить, что наш город — это столица, будет все же преувеличением. Это справедливо только в масштабах Украины, но никак не мира», — говорил в интервью украинскому ресурсу «Вести» Выходец. Попытки Forbes связаться с Выходцом не увенчались успехом, он постоянно был на совещаниях. Сейчас при попытке зайти на сайт Управления по борьбе с киберпреступностью Google выдает предупреждение о том, что сайт небезопасен — на нем происходит загрузка вредоносного ПО.

После присоединения Крыма и войны на юго-востоке Украины сотрудничество российских и украинских силовиков оказалось заморожено. На фоне этого украинские хакеры стали еще активнее атаковать российские госсайты и взламывать банковские счета, а специалисты по IT-безопасности — записываться в ополчение для защиты своего киберпространства.

В России весьма популярны истории о нелегальных кибергруппах, которые находятся на службе у ФСБ, СВР и АП: за работу на государство они получают индульгенцию за прошлые грехи.

Именно им приписывают массированные DDoS-атаки на cайты правительственных учреждений, банков, медиахолдингов Эстонии в апреле 2007 года и Грузии в августе 2008. «У нас в этом плане все намного хуже, потому что всех полухакеров сегодня приговоривают к реальным срокам, не предлагая им поработать на государство, — замечает Голубов. —  Правил индульгенции до сих пор нет, хотя я неоднократно это предлагал».  Глава интернет-партии сам баллотируется в Верховную раду и уже знает, какой закон нужен Украине.  «Я планирую внести законопроект о немедленном создании подобного органа [киберподразделения] на базе СБУ».

ПАВЕЛ СЕДАКОВ, ДМИТРИЙ ФИЛОНОВ
ИСТОЧНИК: FORBES